Active Directory ist die Grundlage für das Sicherheits- Aktivierenund IT-Management in Windows Server-basierten IT-Infrastrukturen. Es speichert und schützt alle Sicherheitsbausteine, einschließlich der für die Authentifizierung verwendeten Benutzerkonten, der Sicherheitsgruppen, die für die Autorisierung aller auf allen Servern gespeicherten Ressourcen verwendet werden, und der Prüfung aller Identitäts- und Zugriffsverwaltungsaufgaben. Darüber hinaus ist es der Mittelpunkt der administrativen Delegierung in Windows-basierten Umgebungen.
Infolgedessen wird ein erheblicher Teil der Zugriffsbereitstellung in Active Directory durchgeführt, um Geschäftsanforderungen wie die folgenden zu erfüllen:
Delegierung administrativer Pflichten zur Erfüllung der Anforderungen des IT-Managements und zur Erzielung von Kosteneinsparungen
Bereitstellung des Zugriffs für Gruppenbesitzer und -manager für die projektspezifische Gruppenverwaltung
Bereitstellung des Zugriffs auf Branchen- und andere Dienstkonten von AD-integrierten Diensten
Bereitstellung des Zugriffs für interne oder vom Anbieter bereitgestellte AD-integrierte Anwendungen
Bereitstellung des Zugriffs für Sicherheits-/andere Dienste, die bei der Identitäts-/Zugriffsverwaltung helfen
In den meisten AD-Umgebungen ist die Zugriffsbereitstellung seit Jahren eine fortlaufende Aktivität, und als Ergebnis wurden in den meisten Bereitstellungen erhebliche Mengen an Zugriffsbereitstellung vorgenommen, und daher gibt es buchstäblich Tausende von Berechtigungen, die zahlreichen Personen unterschiedliche Zugriffsebenen gewähren. Gruppen und Dienstkonten.
Die Notwendigkeit, Active Directory-Berechtigungen zu prüfen
Die Notwendigkeit, Active Directory (AD)-Berechtigungen zu prüfen, ist eine sehr wichtige und sehr häufige Anforderung für Organisationen. Es ist sehr üblich, weil in allen Organisationen verschiedene Interessenvertreter Dinge wissen müssen wie:
Wer hat welchen Zugriff im AD?
Wer hat welchen Zugriff auf bestimmte Objekte im AD?
Wer kann welche Vorgänge für bestimmte AD-Organisationseinheiten ausführen?
An wen werden welche administrativen Aufgaben, wo im AD und wie delegiert?
Die Notwendigkeit, Antworten auf diese Fragen zu haben, wird durch verschiedene Aspekte des IT- und Sicherheitsmanagements vorangetrieben, wie z.
IT-Audits, die von internen Anforderungen und/oder Anforderungen zur Einhaltung gesetzlicher Vorschriften getrieben werden
Sicherheitsrisikobewertung und Minderungsmaßnahmen zur Risikobewältigung
Ergebnisse von Sicherheitslückenanalysen und Penetrationstests
In all diesen Fällen besteht die einzige Gemeinsamkeit darin, dass Sie wissen müssen, wer welchen Zugriff auf AD hat, und dieser Bedarf kann durch die Durchführung einer Active Directory-Zugriffsprüfung erfüllt werden.
So prüfen Sie Active Directory-Berechtigungen
Die Notwendigkeit, Active Directory-Berechtigungen zu prüfen, ist daher aus den oben genannten Gründen ein häufiger Bedarf. In den meisten Organisationen müssen zahlreiche IT-Mitarbeiter in verschiedenen Rollen wie Domänenadministratoren, delegierte Administratoren, IT-Sicherheitsanalysten, IT-Auditoren, IT-Manager, Anwendungsentwickler und andere irgendwann herausfinden, wer was hat Zugriff in Active Directory, entweder auf ein einzelnes Active Directory-Objekt oder in einer OU von Objekten oder über eine gesamte Active Directory-Domäne.
Um diese Anforderung zu erfüllen, führen die meisten IT-Mitarbeiter eine Prüfung der Active Directory-Berechtigungen durch, in der Hoffnung, herauszufinden, wer welchen Zugriff in AD auf ein oder mehrere Objekte hat, und versuchen daher, die Active Directory-Berechtigungen zu prüfen dieses Lebensbedürfnis erfüllen.
Es gibt jedoch einen sehr wichtigen Punkt, den die meisten IT-Mitarbeiter oft versehentlich übersehen, nämlich dass sie eigentlich nicht herausfinden müssen, wer welche Berechtigungen in Active Directory hat, sondern wer welche effektiven Berechtigungen in Active Directory hat.
Infolgedessen investieren sie weiterhin viel Zeit und Mühe in den Versuch, AD-Berechtigungen über Befehlszeilentools, Skripte und andere Mittel zu prüfen. Dadurch verlieren sie in der Regel nicht nur viel Zeit und Mühe, sondern, was noch wichtiger ist, sie erhalten ungenaue Daten, deren Vertrauen zu falschen Zugriffsentscheidungen führen kann, und dies kann zur Einführung eines nicht autorisierten Zugriffs in AD führen. die ein ernsthaftes Risiko für ihre Sicherheit darstellen können.
Der Grund dafür, dass man wissen muss, wer welche effektiven Berechtigungen in AD hat und nicht wer welche Berechtigungen in AD hat, liegt darin, dass es effektive Berechtigungen/Zugriff sind, die sich darauf auswirken, welchen Zugriff ein Benutzer tatsächlich in AD hat.
Der Unterschied zwischen Berechtigungen und effektiven Berechtigungen in Active Directory
Es ist sehr wichtig, den Unterschied zwischen Berechtigungen und effektiven Berechtigungen in Active Directory zu verstehen, da er den Unterschied zwischen genauen und ungenauen Informationen und folglich den Unterschied zwischen Sicherheit und Kompromittierung bedeuten kann.
Die Berechtigungen, die ein Benutzer in Active Directory hat, sind lediglich die Berechtigungen, die einem Benutzer in verschiedenen Zugriffssteuerungseinträgen (ACEs) in einer ACL gewährt werden. Solche Berechtigungen können vom Typ „Erlauben“ oder „Verweigern“ und „Explizit“ oder „Vererbt“ sein. Sie könnten auch für ein Objekt gelten oder nicht gelten, wie es der Fall ist, wenn sie nur vorhanden sind, um stromabwärts an andere Kindobjekte vererbt zu werden, für die sie gelten könnten.
Im Gegensatz dazu sind die effektiven Berechtigungen eines Benutzers der resultierende Satz von Berechtigungen, die er/sie hat, wenn Sie alle Berechtigungen berücksichtigen, die für ihn/sie gelten könnten, im Lichte aller Zugriffskontrollregeln wie Verweigern überschreiben von Zulassen und explizites Überschreiben Geerbte Berechtigungen und basierend auf allen Erweiterungen von Zugriffen, die allen Sicherheitsgruppen gewährt werden, zu denen der Benutzer gehören könnte, direkt oder über verschachtelte Gruppenmitgliedschaften sowie über die Interpretation spezieller SIDs wie Selbst, Jeder, Authentifizierte Benutzer usw.
Wenn ein Benutzer versucht, auf das AD zuzugreifen, um eine Operation auszuführen, wie z. B. Daten lesen, ein Objekt erstellen, ein Attribut ändern, ein Objekt löschen usw., hängt es in Wirklichkeit von seinen effektiven Berechtigungen ab, ob der angeforderte Zugriff gewährt wird oder nicht. was das System auf der Grundlage aller für ihn/sie geltenden Berechtigungen berechnet, basierend auf den oben beschriebenen Faktoren.
Daher besteht die einzige Möglichkeit, herauszufinden, wer wirklich welche Zugriffsrechte in Active Directory hat, darin, effektive Berechtigungen zu ermitteln, und nicht, zu ermitteln, welche Berechtigungen ein Benutzer in Active Directory hat.
So ermitteln/prüfen Sie effektive Berechtigungen in Active Directory
Wenn Sie jemals versuchen herauszufinden, wer welchen Zugriff in AD hat oder wer welchen Zugriff oder welche Aufgaben delegiert hat, müssen Sie effektive Berechtigungen ermitteln/prüfen, nicht einfache Berechtigungen. Die Frage ist also, wie man effektive Berechtigungen in AD bestimmt/überprüft.
Da dieses Konzept effektiver Berechtigungen so wichtig ist, stellt sich heraus, dass es tatsächlich eine Registerkarte „Effektive Berechtigungen“ gibt, die der Bestimmung/Überprüfung effektiver Berechtigungen in Active Directory in den Microsoft-Tools „Active Directory-Benutzer und -Computer“ gewidmet ist Sie können darauf zugreifen, indem Sie auf die Registerkarte Sicherheit und dann auf Erweitert klicken.
Das Problem bei dieser Registerkarte ist jedoch, dass sie nicht immer genau ist und sich daher für genaue Ergebnisse nur schwer auf sie verlassen kann. Ein weiteres Problem dabei ist, dass es Ihnen zu jedem Zeitpunkt nur zeigen kann, welche effektiven Berechtigungen ein bestimmter Benutzer hat. Um also genau herauszufinden, wer alle bestimmte effektive Berechtigungen für ein Objekt hat, müssen Sie die Identität von jedem manuell eingeben Einzelperson in Ihrer Domäne.
Während dies in kleinen Domänen mit nur wenigen Benutzern möglich ist, wird dies in Domänen mit Tausenden von Benutzern praktisch unbrauchbar, da Sie die Identität jedes Benutzers in der Domäne eingeben müssen, was sehr lange dauern kann.
Obwohl es in den nativen Tools von Microsoft eine ganze Registerkarte gibt, die der Bestimmung effektiver Berechtigungen in AD gewidmet ist, ist dies daher kaum nützlich und lässt das IT-Personal mit einem sehr schwierigen und wichtigen Problem zurück, das es selbst lösen muss.
Um effektive Berechtigungen zu bestimmen, müssen alle Sicherheitsberechtigungen, die in der ACL eines Objekts angegeben sind, manuell überprüft und effektive Berechtigungen manuell bestimmt werden, indem alle Faktoren berücksichtigt werden, die für eine genaue Bewertung erforderlich sind.
Zu solchen Faktoren gehören Aspekte wie, ohne darauf beschränkt zu sein, die Identifizierung aller Berechtigungen, die auf jedes Objekt anwendbar sind, die Erweiterung aller Sicherheitsgruppen und die Überschneidung aller relevanten expliziten und geerbten Berechtigungen.
Dieser Vorgang kann einige Zeit in Anspruch nehmen, ist aber sicherheitsrelevant und somit unerlässlich für den Betrieb eines sicheren AD. Dieser Prozess kann ebenfalls viel Zeit in Anspruch nehmen, aber die neuesten verfügbaren Tools, die diesen Prozess automatisieren können, können Organisationen dabei helfen, viel Zeit und Mühe zu sparen.
Überwachungsberechtigungen in Active Directory
Wie oben erwähnt, müssen IT-Mitarbeiter in den meisten Fällen effektive Berechtigungen prüfen und nicht nur einfache Berechtigungen in AD. Es gibt jedoch Zeiten, in denen Sie versuchen, Berechtigungen in Active Directory zu überwachen.
Dies wird normalerweise benötigt, um Fragen zu beantworten wie:
Wo werden einem bestimmten Benutzer/einer bestimmten Gruppe Berechtigungen in AD gewährt?
Wo hat ein bestimmter Benutzer/eine bestimmte Gruppe eine bestimmte Art von Berechtigungen in AD?
Wem werden explizite/ererbte Berechtigungen in/an einer OU in AD gewährt?
Welche Benutzer/Gruppen haben welche Berechtigungen auf einem AD-Objekt / in einer OU/Domäne?
In solchen Fällen müssen Berechtigungen in AD geprüft werden, und der einfachste Weg, Berechtigungen in AD zu prüfen, ist die Verwendung eines guten Active Directory-Berechtigungsanalysators. Der Vorteil der Verwendung eines guten Berechtigungsanalysators besteht darin, dass er Ihnen helfen kann, automatisch herauszufinden, wer welche Berechtigungen wo in AD hat, und somit die ganze harte Arbeit für Sie erledigt.
Die andere Möglichkeit besteht darin, AD-ACLs/Berechtigungen aller Objekte in der Organisationseinheit/Domäne in eine Excel-Datei zu kopieren und dann zu versuchen, Ihre eigene Filterung und Analyse durchzuführen. Der Nachteil dieses Ansatzes ist, dass Sie Dinge wie das Erweitern von Gruppenmitgliedschaften, das Identifizieren einzelner Berechtigungen, die in Zugriffsbitmasken festgelegt sind, usw. immer noch selbst tun müssen, aber mit etwas Aufwand ist dies möglich.
Wenn Sie jedoch versuchen, AD-Berechtigungen Aktivierenzu prüfen, um festzustellen, wer welchen Zugriff auf AD hat oder ob eine bestimmte Person bestimmten Zugriff auf ein bestimmtes AD-Objekt hat, müssen Sie, wie bereits erwähnt, die effektiven Berechtigungen korrekt bestimmen Active Directory.