Energiekonzern | Konzeption einer sicheren Active Directory-Struktur
SUCCESS STORYDa das Active Directory das Herzstück der IT-Infrastruktur eines Unternehmens darstellt, war es uns und unserem Kunden besonders wichtig, alle relevanten Aspekte mit dem Fokus auf die IT-Sicherheit zu betrachten. Eine spezielle Anforderung unseres Kunden beim sicheren Neuaufbau aller Active Directory Domänen bestand in der Konzeption und Umsetzung desTier-Models.
Dadurch werden die unterschiedlichen Sicherheitsbereiche (Tiers) segmentiert und gegeneinander gegen Kompromittierung abgesichert. Zu den weiteren Anforderungen unseres Kunden zählte neben der Härtung der Domaincontroller auch die Absicherung des Netzwerkverkehrs zum Domaincontroller über LDAPS mittels einer PKI-Infrastruktur.
Umsetzung
Um ein Höchstmaß an Sicherheit auf allen Ebenen zu gewährleisten, wurden die Systeme und Benutzerkonten nach dem erweiterten Tier-Model in verschiedene Bereiche aufgeteilt. Dabei erhält jeder Bereich dedizierte Adminstratorzugänge, sodass beispielsweise bei einem erfolgreichen Hackingangriff auf einen Administrator lediglich Zugriff auf die Clients, nicht aber auf die Server möglich ist. Die Reichweite eines Hackerangriffs wird somit eingeschränkt und das Risiko einer unternehmensweiten Kompromittierung minimiert.
Da Microsoft keine einfache Implementierung des Tier-Models unterstützt, haben die Experten von CCVOSSEL die Anforderung des Kunden über die Nutzung von strukturierten OU-Strukturen, Gruppenrichtlinien und Gruppenstrukturen umgesetzt. Infolge dieser Anforderung wurde der Aufbau mehrerer gesonderter Zonen nötig, für die jeweils ein eigenes Active Directory konzipiert wurde. So konnte wiederum die Sicherheit der gesamten IT-Infrastruktur verbessert werden.
Weiterhin haben die IT-Security Consultants der CCVOSSEL GmbH die Struktur des DNS geplant und aufgebaut sowie eine sichere Integration dessen in das Active Directory sichergestellt. Außerdem wurde eine Azure Site angebunden und mehrere AD-Sites konzeptioniert. Dabei wurde ein hybrider Ansatz zur Positionierung von Domaincontrollern (on prem und Cloud) in Azure verfolgt.
Zur Härtung der Domaincontroller wurden umfangreiche Härtungsrichtlinien implementiert.Außerdem wurden Richtlinien für mächtige Konten wie administrative und Servicekonten konzeptioniert, was auch für Group Managed Service Accounts erfolgte. Die Projektmitarbeiter von CCVOSSEL konzipierten außerdem die Gruppenrichtlinien zur fundamentalen Absicherung der Infrastruktur.
Speziell für unseren Kunden wurde eine individuelle Schemaerweiterung im Active Directory implementiert. Schlussendlich konnten alle notwendigen Objekte vom bisherigen AD in das neue, gesicherte AD migriert werden.
Fazit & Ausblick
Dank einer Zusammenarbeit auf Augenhöhe zwischen den Experten der CCVOSSEL und den
Projektbeteiligten auf Kundenseite konnte die Active Directory-Struktur sicher konzeptioniert und umgesetzt werden, sodass es jetzt reibungslos und vor allem sicher funktioniert.
