Sicherheitsverschärfungsanleitung

Zusammenfassung

Mit der zunehmenden Aufmerksamkeit für Informationssicherheit ist es für alle IT-Administratoren essenziell, die Sicherheit innerhalb ihrer bestehenden Infrastruktur zu stärken, um mögliche Sicherheitsverletzungen zu vermeiden. Dieses Dokument konzentriert sich auf die besten Möglichkeiten zur Konfiguration von ADAudit Plus, um sicherzustellen, dass Ihre Informationen geschützt bleiben.

Sicherheitsverstärkung für ADAudit Plus

1. Das Prinzip des geringsten Privilegs befolgen

Ein Active Directory (AD)-Benutzerkonto ist in der Regel mit ADAudit Plus zum Sammeln von protokollierten Daten verbunden. Wenn ein Konto für einen Domänenadministrator verwendet wird, beginnt ADAudit Plus sofort mit der Überwachung von Änderungen innerhalb Ihrer AD-Umgebung. Im Allgemeinen hat ein Domänenadministrator-Konto jedoch mehrere erweiterte Rechte und Privilegien, die für ADAudit Plus nicht erforderlich sind. Aus diesem Grund empfehlen wir, dedizierte Benutzerkonten zu erstellen, die nur die für ADAudit Plus erforderlichen Privilegien und Berechtigungen haben, um ihre Aufgaben zu erfüllen. Auf diese Weise wird selbst im Falle einer Kompromittierung eines dedizierten Benutzerkontos die Auswirkung der Sicherheitsverletzung von vornherein eingedämmt. Hier sind die erforderlichen Privilegien und Berechtigungen für ADAudit Plus aufgeführt.

2. Sichern des integrierten Administratorkontos

ADAudit Plus verfügt über ein integriertes Administratorkonto mit höchsten Privilegien. Standardmäßig ist das Passwort dieses Kontos für jeden Kunden von ADAudit Plus gleich, was bedeutet, dass Sie dieses Passwort ändern müssen, um es angemessen abzusichern. Wenn dieser Schritt übersehen wird, lassen Sie Ihr System verwundbar.

3. Aktivieren von HTTPS für eine sichere Kommunikation

Wir empfehlen, HTTPS anstelle von HTTP zu verwenden, um den sicheren Transport von Informationen über Ihr Netzwerk zu gewährleisten. Dies können Sie über die Benutzeroberfläche im Admin-Tab tun. Navigieren Sie zu den Einstellungen unter Allgemeine Einstellungen → Verbindung.

Diese Einstellungen können weiter optimiert werden, indem Sie die folgende XML-Datei anpassen:

• conf\server.xml → connector (finden Sie den HTTPS-Connector, der Ihrer konfigurierten Portnummer entspricht).

  Wenn Sie nur eine bestimmte Version des Transport Layer Security (TLS) zulassen möchten, nämlich TLSv1, TLSv1.1 oder TLSv1.2, können Sie die anderen Versionen deaktivieren, indem Sie den folgenden Parameter ändern und nur die erforderlichen TLS-Versionen beibehalten:

• sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  Wenn Sie Cipher-Suiten deaktivieren oder einschränken möchten, können Sie dies tun, indem Sie den folgenden Parameter ändern, sodass nur die erforderlichen Cipher-Suiten enthalten sind:

• ciphers = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
  TLS_RSA_WITH_AES_128_CBC_SHA256,
  TLS_RSA_WITH_AES_128_CBC_SHA,
  TLS_RSA_WITH_AES_256_CBC_SHA256,
  TLS_RSA_WITH_AES_256_CBC_SHA"

Mit diesen Änderungen können Sie die gesamte Kommunikation über ADAudit Plus sichern und die Sicherheit erhöhen.

4. Zugriff auf den ADAudit Plus-Server einschränken

Um die Sicherheit von ADAudit Plus weiter zu stärken, empfehlen wir, den Zugriff auf den ADAudit Plus-Server einzuschränken und damit unbefugten Zugriff zu verhindern. Sie können die lokalen Richtlinieneinstellungen im Tab Benutzungsrechtezuweisung im Gruppenrichtlinien-Verwaltungs-Editor definieren, um Lokale Anmeldung zulassen oder Verbindung über Remotedesktopdienste zulassen, nur für eine bestimmte Gruppe von Benutzern zu erlauben. Auf diese Weise reduzieren Sie die Angriffsfläche Ihrer Infrastruktur.

5. Zugriff auf den Installationsordner von ADAudit Plus einschränken

Administratoren können den Zugriff auf den Installationsordner von ADAudit Plus einschränken, indem sie die Ordnersicherheitsberechtigungen ändern. Dies stellt sicher, dass niemand außer berechtigten Benutzern Zugriff auf die Dateien von ADAudit Plus hat.

6. Überwachung von Änderungen am Installationsordner von ADAudit Plus

ADAudit Plus protokolliert Änderungen an seinem Installationsordner, indem die Systemzugriffskontrollliste (SACL) konfiguriert wird, wenn die Datei-Integritätsüberwachung (FIM) auf dem Server, auf dem die Anwendung installiert ist, aktiviert ist. Auf diese Weise können Sie sichergehen, dass niemand die Informationen manipuliert hat.

Hinweis: Dies erfordert auch die entsprechende Lizenz.

7. Sicherung Ihrer Datenbank mit zusätzlichem Passwortschutz

ADAudit Plus verfügt über eine integrierte, passwortgeschützte PostgreSQL-Datenbank, die nur autorisierten Mitarbeitern den Zugang ermöglicht. Standardmäßig erstellt der PostgreSQL-Dienst ein Benutzerkonto mit uneingeschränkten Rechten - ähnlich einem Domänenadministrator-Konto in AD - um verschiedene administrative Aktionen durchzuführen. ADAudit Plus ändert das Standardpasswort dieses Kontos und erstellt ein weiteres Benutzerkonto mit eingeschränkten Rechten. Dieses neue Konto hat eingeschränkte Berechtigungen, wird verwendet, um eine Verbindung zur Datenbank herzustellen und ist verschlüsselt, um die Sicherheit zu gewährleisten.

8. Delegieren und Überwachen von Technikern

Technikerrollen können so konfiguriert werden, dass der Zugriff auf bestimmte Berichte eingeschränkt wird. Diese Rollen können auch Technikern die Durchführung administrativer Funktionen wie das Hinzufügen oder Entfernen von Servern zur Überwachung, das Ändern von Konfigurationseinstellungen usw. verbieten. Darüber hinaus bietet ADAudit Plus eine detaillierte benutzerbasierte Nachverfolgung aller durchgeführten Aktionen.

9. Sicherung des Datentransfers über das Netzwerk

Für das Sammeln von Ereignisprotokollen ermöglicht es ADAudit Plus, zwischen den folgenden Ereignisabrufmodi zu wählen:

• Echtzeitmodus
• Nativer Modus
• EvtQuery-Modus
• WMI-Modus

Standardmäßig verschlüsseln Echtzeit- und EvtQuery-Mode die über das Netzwerk übertragenen Daten. Die WMI- und nativen Modi verschlüsseln standardmäßig die übertragenen Daten nicht, aber die Verschlüsselung kann im WMI-Modus für erhöhte Sicherheit aktiviert werden. Wir empfehlen, dass Administratoren den Echtzeitmodus verwenden, um einen sicheren Datentransfer sicherzustellen und sofortige Updates zu allen AD-Änderungen zu erhalten.

10. Einschränkung des Datenbankzugriffs über die Benutzeroberfläche

ADAudit Plus deaktiviert standardmäßig den Datenbankzugriff über seine Benutzeroberfläche und ermöglicht nur dem standardmäßigen Administratorkonto, diese Option zu aktivieren. Der Administrator kann auch auswählen, welche Konten dieses Privileg haben. Dies verhindert, dass andere Technikerkonten Informationen aus der Datenbank ändern oder löschen.

11. Sicherung archivierter Daten

Um den Speicherplatzverbrauch in der Datenbank zu reduzieren, können historische Daten komprimiert und separat gespeichert werden. Diese Dateien können zu einem späteren Zeitpunkt wiederhergestellt werden. Diese archivierten Dateien sind durch ADAudit Plus passwortgeschützt, um die Sicherheit zu gewährleisten. Für eine zusätzliche Sicherheitsebene empfehlen wir, den Zugriff auf die Ordner, die diese Dateien enthalten, einzuschränken.

12. Schutz exportierter und geplanter Berichte

Wenn ein Benutzer einen Bericht in einem bestimmten Format (PDF, CSV usw.) exportiert oder wenn ein Benutzer einen bestimmten Bericht plant, um ihn lokal zu speichern, werden die Dateien von ADAudit Plus passwortgeschützt. Es wird auch empfohlen, die Ordnersicherheitsberechtigungen für den Ordner, der diese Dateien enthält, zu ändern, um unbefugten Zugriff zu verhindern.

13. Verwendung von LDAP über SSL

ADAudit Plus ermöglicht es Administratoren, das Lightweight Directory Access Protocol (LDAP) über Secure Sockets Layer (SSL) zu aktivieren, um sicherzustellen, dass alle Kommunikationen von Active Directory-Daten verschlüsselt sind. Dies kann über die Benutzeroberfläche von ADAudit Plus unter Verbindungseinstellungen durchgeführt werden.