Illustration: Absmeier, JosepMonter

Unternehmen kaufen inzwischen im Rahmen ihrer BYOD-Richtlinien eine Vielzahl unterschiedlicher Geräte für den professionellen Einsatz. Für die Belegschaft hat das in der Regel Vorteile, während IT-Abteilungen die Entwicklung eher mit Sorge betrachten.

Sie sind gezwungen, sehr viel mehr Geräte mit aktuellen mobilen Technologien im Auge zu behalten als jemals zuvor. Kann die Migration von Active Directory (AD) in die Cloud zur zentralen Ressource werden, wenn die Konsumerisierung der Technik weitergeht?

Wir haben dazu mit Dan Conrad, Field Strategist bei One Identity gesprochen:

Wie verwalten Unternehmen infolge von Covid-19 ihre Systeme angesichts einer Belegschaft, die weithin über geografische Großräume verteilt ist?

Dan Conrad: Viele Projekte, die in den letzten Monaten aufgrund der Pandemie sehr schnell umgesetzt wurden, standen bereits auf der langfristigen Roadmap der Unternehmen. Diese »Enabler« sind wichtig, denn inzwischen befindet sich ein Großteil der Systeme und Anwendungen nicht mehr vor Ort. Mit diesen Veränderungen ändert sich zwangsläufig die Vorgehensweise bei den Sicherheitsmaßnahmen. Jetzt steht die Identität des Benutzers im Mittelpunkt. Wer dauerhaft auf Remote-Working-Szenarien umstellt, der sollte Mitarbeiterschulungen in diesen Prozess einbeziehen.

Remote Working hat für beide Seiten, Arbeitnehmer und Unternehmen, Vorteile. Die dürfen allerdings nicht zu Lasten der Sicherheit gehen. Das gilt gleichermaßen für die physische Umgebung und das Netzwerk, über das Mitarbeiter auf Unternehmensressourcen zugreifen.

Was muss sich beim Einsatz von Active Directory ändern, um ein hohes Sicherheitslevel zu gewährleisten?

DC: Seit seiner Einführung im Jahr 2000 hat AD sich erheblich verändert. Initiativen wie Zero Trust werden es weiter verändern. Im Kern ist AD eine SSO-Lösung, die den simplen Zugriff auf Objekte gewährt und so das Benutzererlebnis vereinfacht. AD und Azure AD haben die Dinge ein wenig verändert. Sie bieten immer noch eine gute Nutzererfahrung, haben aber auch einige der Schwachstellen beseitigt. Beispielsweise ist die Idee, jedes Unternehmenssystem mit AD zu verbinden, obsolet geworden. AAD und Lösungen wie InTune erlauben ein Systemmanagement, ohne dass man jedem System »vertrauen« muss, dadurch minimiert man die damit verbundenen Risiken.

Die Rolle der IT hat sich in Zeiten des Remote Working grundsätzlich gewandelt. Ist Active Directory in diesem Szenario noch zweckmäßig?

DC: Auch beim Remote Working muss sich jeder Benutzer eines Unternehmenssystems authentifizieren. AD ist hier immer noch führend. AAD nutzt diese SSO-Erfahrung für Unternehmensapplikationen, unabhängig davon, ob sie lokal oder cloudbasiert sind. AD ist immer noch der De-facto-Standard für die Authentifizierung und funktioniert für diesen Zweck noch einwandfrei.

Ist die Migration von Active Directory in die Cloud für Unternehmen heute unerlässlich für ein sicheres Asset Management?

DC: Die Cloud bietet andere Möglichkeiten, AD zu schützen als es bei der Bereitstellung vor Ort der Fall ist. Der Hauptunterschied besteht darin, dass anfällige Systeme von einem vertrauenswürdigen Bereich getrennt werden. Beim einem lokalen AD wird den meisten, wenn nicht allen, Systemen vertraut, oder sie sind mit dem AD des Unternehmens verbunden. Hybrid AD/AAD kann als Enabler fungieren, indem man darüber SSO sowohl für lokale als auch für Cloud-Systeme/Apps bereitstellt. Das erlaubt die gleiche SSO-artige Benutzererfahrung sowohl für Systeme, die in die Domain eingebunden sind als auch für BYOD-Systeme und solche, die nicht in die Domäne eingebunden sind. Wird ein mit der Domäne verbundenes System kompromittiert, hat ein Angreifer theoretisch Zugriff auf die gesamte Unternehmensinfrastruktur. Wird ein nicht an die Domain angebundenes System kompromittiert, hat der Angreifer einen sehr viel eingeschränkteren Zugriff.

Unternehmen steigen mehr und mehr auf ein Hybrid-Cloud-Modelle um. Wie wirkt sich das auf das Asset Management aus?

DC: Wenn Firmen eine Hybrid-Cloud verwenden, haben sie die Möglichkeit, Assets wie Workstations und Roaming-Notebooks in der Cloud zu verwalten. Das ist ein eklatanter Unterschied zum lokalen Modell, bei dem ein System entweder direkt oder über ein VPN mit dem Unternehmensnetzwerk verbunden sein muss.

Wie wird sich das IT-Asset-Management nach Covid-19 entwickeln?

DC: Viele Unternehmen, deren Mitarbeiter derzeit von zu Hause arbeiten, werden dieses Modell vermutlich nicht gänzlich wieder aufgeben. Firmen müssen sich also Gedanken machen, ob sie beim bisherigen Bereitstellungsmodell hinsichtlich der Sicherheit die richtigen Schritte unternommen haben. Die Benutzer sollten verstehen, welche Auswirkungen mangelnde Sicherheit haben kann, insbesondere, wenn es um Identitätssicherheit geht. Wenn tatsächlich große Benutzergruppen nicht wieder in die Büroumgebung zurückkehren, um dort die Unternehmensinfrastruktur zu nutzen, verändert sich das Asset-Management. Man kann beispielsweise VPNs für Remote-Benutzer verwenden. Die VPNs sollten aber so umgestellt werden, dass sie eine vollständig mobile/remote arbeitende Belegschaft unterstützen.

96 Artikel zu „Active Directory“

NEWS | IT-SECURITY | STRATEGIEN | TIPPS

Active Directory von Microsoft offenbart Schwächen bei Hackerangriff – automatisierte Sicherheitsmaßnahmen notwendig

8. Februar 2018

Zwei IT-Sicherheitsforscher haben während der Sicherheitskonferenz »BlueHat IL« eine neue Angriffstechnik gegen die Active-Directory-Infrastruktur veröffentlicht. »DCShadow« genannt, ermöglicht dieser Angriff einem Angreifer mit den entsprechenden Rechten, einen bösartigen Domänencontroller zu erstellen, der bösartige Objekte in eine laufende Active Directory-Infrastruktur replizieren kann (Weitere Details unter … https://blog.alsid.eu/dcshadow-explained-4510f52fc19d). Gérard Bauer, Vice President EMEA beim IT-Sicherheitsexperten Vectra,…