Active Directory-Überwachung mit PRTG

Active Directory (AD) ist ein Verzeichnisdienst, der von Microsoft für den Einsatz in einer Windows Server-Umgebung entwickelt wurde. Er bietet Authentifizierungs- und Autorisierungsfunktionen sowie einen Rahmen für andere verwandte Dienste. Das Verzeichnis selbst ist eine LDAP-Datenbank, die vernetzte AD-Objekte enthält.

Bei der Active Directory-Überwachung werden Ereignisse, die in einer AD-Umgebung auftreten, verfolgt und aufgezeichnet. Dazu gehören Aktionen wie Anmeldungen, Änderungen an Benutzerkonten, Zugriff auf Dateien oder Ressourcen und administrative Aktivitäten. Auditing hilft Unternehmen bei der Aufrechterhaltung von Sicherheit, Compliance und Verantwortlichkeit, indem es eine detaillierte Aufzeichnung darüber liefert, wer was, wann und von wo aus innerhalb des Netzwerks getan hat. Typische Komponenten des Audit-Prozesses sind Audit-Richtlinien, Audit-Protokolle und Audit-Berichte.

Eine der vielen Funktionen, die Active Directory erfüllt, ist die eines Torwächters, der kontrolliert, welche Benutzer Ressourcen im Netzwerk nutzen können und in welchem Umfang sie mit diesen Ressourcen interagieren. Dateifreigaben, Dateiserver, Anwendungen, Internetzugang, Drucker: alle hängen von Active Directory ab, um den Zugriff zu erlauben oder zu verweigern. Daher ist es für Systemadministratoren von entscheidender Bedeutung, den Überblick darüber zu behalten, wie AD diese Ressourcen schützt.

Microsoft hat in AD ausgezeichnete Audit-Funktionen integriert. An- und Abmeldung, Objektzugriff, Richtlinienänderungen, Kontoverwaltung und viele andere Aktivitäten hinterlassen detaillierte Protokolle im Windows Security Event Log. Leider kann die AD-Überwachung selbst in einem kleinen Netzwerk eine riesige Anzahl von Protokoll-Ereignissen erzeugen, so dass es sehr schwierig ist, die wirklich wichtigen Ereignisse im Auge zu behalten. Active Directory-Überwachungstools wie PRTG helfen Ihnen, diese Ereignisse im Auge zu behalten und Sie zu warnen, wenn etwas nicht so funktioniert, wie es sollte.

Ein Active Directory (AD)-Audit umfasst mehrere wichtige Sicherheitsaspekte, um die Integrität, Verfügbarkeit und Vertraulichkeit der AD-Umgebung zu gewährleisten. Nachfolgend sind einige wichtige Sicherheitsaspekte aufgeführt, die typischerweise bei einem AD-Audit eine Rolle spielen

Verwaltung von Benutzerkonten

• Bereitstellung und Aufhebung der Bereitstellung von Konten: Sicherstellen, dass Benutzerkonten gemäß den festgelegten Richtlinien erstellt, geändert und deaktiviert werden und dass inaktive Konten umgehend deaktiviert werden.
• Privilegierte Konten: Überprüfen Sie die Nutzung und Verwaltung privilegierter Konten, um sicherzustellen, dass sie angemessen genutzt werden und nicht übermäßig privilegiert sind.

Passwort-Richtlinien

• Komplexitätsanforderungen: Überprüfen Sie, ob die Passwortrichtlinien Komplexitätsanforderungen durchsetzen, um schwache Passwörter zu verhindern.
• Verfall und Rotation: Prüfen Sie, ob die Passwörter regelmäßig ablaufen und ob die Benutzer verpflichtet sind, sie regelmäßig zu ändern.
• Kontosperrung: Stellen Sie sicher, dass Richtlinien zur Kontosperrung vorhanden sind, um Brute-Force-Angriffe zu verhindern.

Gruppenrichtlinien-Objekte (GPOs)

• Richtlinien-Konfiguration: Überprüfen Sie die GPOs, um sicherzustellen, dass sie gemäß den bewährten Sicherheitsverfahren und den Unternehmensrichtlinien konfiguriert sind.
• Anwendung und Umfang: Vergewissern Sie sich, dass GPOs korrekt angewendet und auf die entsprechenden Benutzer und Computer beschränkt werden.

Zugriffskontrollen

• Berechtigungen und Rechte: Überprüfen Sie die Berechtigungen für kritische AD-Objekte (z. B. Organisationseinheiten, Benutzerkonten), um sicherzustellen, dass sie nach dem Prinzip der geringsten Berechtigung festgelegt sind.
• Rollenbasierte Zugriffskontrolle (RBAC): Überprüfen Sie, ob der Zugriff auf der Grundlage von Rollen und Verantwortlichkeiten gewährt wird.

Auditing und Protokollierung

• Ereignisprotokollierung: Stellen Sie sicher, dass die Protokollierung für kritische AD-Aktivitäten wie Anmeldeereignisse, Änderungen an AD-Objekten und administrative Aktionen aktiviert ist.
• Überprüfung der Protokolle: Überprüfen und analysieren Sie die Protokolle regelmäßig auf Anzeichen für verdächtige oder nicht autorisierte Aktivitäten.

Sicherheitskonfiguration

• Grundlegende Sicherheitseinstellungen: Überprüfen Sie, ob die AD-Umgebung mit den grundlegenden Sicherheitseinstellungen und -konfigurationen übereinstimmt.
• Patch-Verwaltung: Stellen Sie sicher, dass AD-Server und Domain-Controller regelmäßig mit Sicherheits-Patches aktualisiert werden.

Replikation und Verfügbarkeit

• Zustand der Replikation: Überprüfen Sie den Zustand und die Konfiguration der AD-Replikation, um die Datenkonsistenz auf allen Domain Controllern sicherzustellen.
• Backup und Wiederherstellung: Überprüfen Sie, ob regelmäßig Backups von AD erstellt und Wiederherstellungsverfahren getestet werden.

Dienst-Konten

• Nutzung und Verwaltung: Überprüfen Sie die Dienstkonten, um sicherzustellen, dass sie angemessen verwendet werden und über die erforderlichen Mindestberechtigungen verfügen.
• Passwort-Verwaltung: Stellen Sie sicher, dass die Passwörter für Dienstkonten sicher verwaltet, regelmäßig geändert und ordnungsgemäß gespeichert werden.

Sicherheitsrichtlinien

• Einhaltung: Stellen Sie sicher, dass AD-Richtlinien mit den organisatorischen und gesetzlichen Sicherheitsanforderungen übereinstimmen.
• Durchsetzung von Richtlinien: Überprüfen Sie, ob die Sicherheitsrichtlinien in der gesamten AD-Umgebung einheitlich durchgesetzt werden.

Physische Sicherheit

• Domain-Controller-Sicherheit: Stellen Sie sicher, dass der physische Zugang zu Domain Controllern eingeschränkt und überwacht wird.

Reaktion auf Vorfälle

• Monitoring und Warnungen: Stellen Sie sicher, dass Mechanismen zur Erkennung von und Reaktion auf Sicherheitsvorfälle innerhalb der AD-Umgebung vorhanden sind.
• Verfahren zur Behandlung von Zwischenfällen: Überprüfen Sie, ob es klare Verfahren für den Umgang mit Sicherheitsvorfällen im Zusammenhang mit AD gibt.

Einhaltung der Vorschriften und Berichterstattung

• Regulatorische Anforderungen: Stellen Sie sicher, dass AD-Konfigurationen und -Praktiken den relevanten gesetzlichen und Compliance-Anforderungen entsprechen (z. B. GDPR, HIPAA).
• Audit-Berichte: Erstellen und überprüfen Sie Berichte, um die Einhaltung der Vorschriften zu dokumentieren und Bereiche mit Verbesserungsbedarf zu identifizieren.

Nein. PRTG ist eine proprietäre Monitoring-Software, mit der Sie Ihre gesamte IT-Infrastruktur überwachen können, einschließlich:

• SSL Monitoring: PRTG ermittelt, inwieweit Ihre Verbindungen geschützt sind. Sie können also feststellen, ob Ihre Verbindungen stark, schwach oder gar nicht geschützt sind.
• Ping Monitoring: PRTG verwendet Ping, um die Verfügbarkeit aller Ihrer Netzwerkgeräte zu überprüfen. Wenn der Ping fehlschlägt, werden Sie sofort benachrichtigt.
• QoS Monitoring: Ist Ihre Leitung ruckelig? Werden Ihre Videoanrufe ständig unterbrochen? Wenn ja, dann haben Sie ein Problem mit der Qualität Ihres Dienstes. Mit PRTG können Sie eine einfache und effektive QoS-Überwachung einrichten und Werte wie Latenz und Jitter überwachen.
• Windows Leistungsindikatoren Monitoring: Finden Sie Engpässe im Netzwerk, verbessern Sie die Leistung Ihres Systems und Ihrer Anwendungen und erhalten Sie Informationen über Anwendungen, die auf einem IIS-Server laufen, mithilfe von Windows-Leistungsindikatoren.
• Monitoring von Webservern: PRTG kann die Verfügbarkeit Ihrer Webserver überwachen, einschließlich CPU, Speicher, Webserverleistung, Ladezeiten und mehr.
• Und vieles mehr

Wenn Sie Microsoft Entra ID (ehemals Azure AD) verwenden und ein Auge darauf haben wollen, was dort passiert, haben wir auch für Sie gesorgt.

Richten Sie zum Beispiel einen Microsoft Azure Subscription Cost Sensor ein, um Ihre Abonnement-Kosten im Griff zu behalten. Oder erstellen Sie einen benutzerdefinierten PRTG Sensor zur Überwachung von Aktivitäten, die ein Risiko darstellen könnten:

• Lassen Sie sich über riskante Anmeldungen informieren, zum Beispiel aus einem ungewöhnlichen oder verdächtigen Land
• Erhalten Sie Warnungen über unmögliche Reiseaktivitäten, z.B. wenn sich ein Konto von Deutschland aus anmeldet und zwei Minuten später von Hongkong aus
• Überprüfen Sie AD-Konten, von denen Microsoft annimmt, dass sie einem Risiko ausgesetzt sind
• Behalten Sie ein Auge auf neue Geräte, die für die Multi-Faktor-Authentifizierung registriert sind

In PRTG sind „Sensoren“ die grundlegenden Monitoring-Elemente. Ein Sensor überwacht in der Regel einen Messwert in Ihrem Netzwerk, z.B. den Traffic eines Switchports, die CPU-Last eines Servers oder den freien Speicherplatz auf einer Festplatte. Im Durchschnitt benötigen Sie etwa 5-10 Sensoren pro Gerät oder einen Sensor pro Switch-Port.