98% der Sicherheitsbedrohungen beginnen mit Active Directory.
Active Directory ist buchstäblich der Schlüssel zu Ihrem Königreich. Wenn die richtigen Sicherheitsprinzipien nicht eingerichtet sind und Sie Ihren Benutzern übermäßige Rechte erteilen, setzen Sie sich potenziellen Sicherheitsbedrohungen aus.
In Active Directory gibt es zahlreiche Sicherheitsprotokolle, aus denen Sie wählen können, um eine Politik der geringsten Privilegien zu implementieren, bei der Sie nur denjenigen administrativen Zugriff gewähren, die ihn auch wirklich benötigen.
In diesem Blog gehen wir genau darauf ein, was Sicherheitsgruppen in Active Directory sind, was der Unterschied zwischen Verteilergruppen und Sicherheitsgruppen ist, wofür Sicherheitsgruppen verwendet werden können und wie man sie genau erstellt.
Was sind Active Directory Gruppen?
Active Directory ist im Allgemeinen ein Programm, das Benutzer in verschiedene Gruppen einteilt. Es ist eine zentralisierte Plattform, die die meisten Unternehmen nutzen, um ihre Computerkonten zu verwalten und den Zugang zu sensiblen Daten zu gewähren.
Eine Active Directory-Gruppe ist eine Gruppe von Benutzern, die Zugang zu bestimmten Ressourcen erhalten haben. Es gibt zwei Möglichkeiten, Gruppen diesen Zugriff zu gewähren: durch einen Global Unique Identifier (GUID) oder einen Security Identifier (SID).
SIDs werden meist verwendet, wenn der Zugriff auf bestimmte Benutzer gewährt werden soll, während GUIDs verwendet werden, wenn Benutzer gruppiert werden, die alle Zugriff auf dieselben Ressourcen benötigen.
Gruppen können auf der Grundlage einzelner Benutzer erstellt werden, die alle Zugriff auf bestimmte Ressourcen benötigen, oder sie können auf der Grundlage globaler Gruppen (z. B. Abteilungen) oder Mitglieder einer bestimmten Domäne erstellt werden.
Die zwei Arten von Active Directory-Gruppen
Active Directory-Gruppen werden in zwei Kategorien unterteilt – Active Directory-Sicherheitsgruppen und Active Directory-Verteilungsgruppen.
Welchen Typ von Gruppe Sie tatsächlich benötigen, hängt von der erforderlichen Funktion der Gruppe ab. Verteilergruppen sind insofern einfacher, als sie verwendet werden, wenn nur einseitige Benachrichtigungen vom zentralen Controller erforderlich sind. Sicherheitsgruppen sind komplexer und werden eingesetzt, wenn Sie Benutzern den Zugriff auf Daten und deren Änderung ermöglichen wollen.
Sicherheitsteams müssen Sicherheitsgruppen weitaus mehr Aufmerksamkeit schenken, um sicherzustellen, dass die Berechtigungen nicht außer Kontrolle geraten und die Risiken für die Sicherheit Ihrer Daten gemindert werden.
Warum sollten Sie Active Directory-Sicherheitsgruppen verwenden?
Sicherheitsgruppen sind von entscheidender Bedeutung, wenn es darum geht, angemessene Zugriffsrechte für Ihre sensibelsten Daten zu erhalten. Die Möglichkeit, Benutzer in Töpfen zu gruppieren, um ihnen verschiedene Berechtigungsstufen zuzuweisen, ist unglaublich nützlich, um eine Politik der geringsten Privilegien aufrechtzuerhalten.
Zum Beispiel können Sie Active Directory-Sicherheitsgruppen verwenden, um Mitgliedern des Vorstands hohe Berechtigungen zuzuweisen, damit sie Finanzinformationen und KPIs für ihre Kollegen einreichen können. Sie können auch Sicherheitsgruppen verwenden, um neuen Mitgliedern niedrigere Berechtigungen zuzuweisen.
Active Directory-Sicherheitsgruppen können auch über das AD-Portal geändert werden, wo Benutzer verschoben oder vollständig entfernt werden können.
Wie man eine Sicherheitsgruppe in Active Directory erstellt
Die folgenden Schritte gelten für Windows 10 und für Windows Server 2016. Bitte beachten Sie, dass Sie Mitglied der Gruppe „Domänenadministratoren“ sein müssen oder bereits über die richtigen Berechtigungen verfügen, um selbst neue Gruppen erstellen zu können.
- Öffnen Sie die Active Directory-Konsole „Benutzer und Computer“.
- Wählen Sie den Container aus, in dem Sie Ihre Gruppe speichern möchten (z.B. „Benutzer“).
- Klicken Sie auf „Aktion“ – „Neu“ – „Gruppe“
- Benennen Sie Ihre Gruppe über das Textfeld „Gruppenname“ und geben Sie eine Beschreibung ein.
- Abhängig von Ihrer Active Directory Forest-Infrastruktur wählen Sie den richtigen Gruppenbereich: Global oder Universal.
- Klicken Sie auf „Sicherheit“ als Gruppentyp und klicken Sie dann auf „Ok“, um Ihre Sicherheitsgruppe zu erstellen.
Wie Sie die Sicherheit Ihrer Active Directory-Sicherheitsgruppen verbessern
Viele Unternehmen müssen sich mit Ein-, Austritten und Umzügen innerhalb ihrer Umgebung auseinandersetzen. Wenn Benutzer ihre Rolle wechseln, das Unternehmen verlassen oder eine neue Rolle übernehmen, ändern sich auch ihre erforderlichen Berechtigungen.
Leider kommunizieren viele Unternehmen nicht effektiv genug mit den IT- und Sicherheitsteams, um sicherzustellen, dass die Berechtigungen und Mitglieder von Sicherheitsgruppen angemessen gepflegt werden. Im schlimmsten Fall könnte dies dazu führen, dass Insider-Bedrohungen Ihre sensiblen Daten in die Hände bekommen.
Die Lepide Data Security Platform ermöglicht es Ihnen, sofort eine Liste von Benutzern zu erstellen, die als „übermäßig berechtigt“ eingestuft wurden, oder Warnmeldungen in Echtzeit zu generieren, wenn Berechtigungen geändert werden, so dass Sie die erforderlichen Maßnahmen ergreifen können, um Ihre Politik der geringsten Berechtigung aufrechtzuerhalten.
Um die Lösung in Aktion zu sehen, vereinbaren Sie noch heute einen Termin mit einem unserer Techniker.