Tech Blog - Einschränkungen bei der AD
Top Sieben Herausforderungen bei Microsoft Active Directory
Microsoft Active Directory (AD) ist eigentlich eine zuverlässige, skalierbare Lösung für die Verwaltung von Benutzern, Ressourcen und Authentifizierung in einer Windows-Umgebung. Wie bei jedem Software-Tool gibt es jedoch auch hier Einschränkungen, die es zu überwinden gilt.
1. Active Directory hängt von Windows Server ab
Obwohl Active Directory mit LDAP (Lightweight Directory Access Protocol) kompatibel ist, gibt es viele Erweiterungen und Interpretationen der LDAP-Spezifikation. Softwarehersteller entscheiden sich manchmal für die Implementierung optionaler Aspekte von LDAP, die von Active Directory nicht unterstützt werden. Daher ist es schwierig, ihre Produkte in einer Active Directory-Umgebung zu verwenden. Zum Beispiel ist es technisch möglich, Kerberos unter Unix zu implementieren und dann Vertrauensstellungen mit Active Directory herzustellen, aber der Prozess ist schwierig und Fehltritte sind häufig. Daher fühlen sich viele Unternehmen gezwungen, sich auf Windows-basierte Systeme zu beschränken.
2. Hohe Lizenz- und Wartungskosten
Microsoft verwendet Clientzugriffslizenzen (CALs) für das Windows Server-Betriebssystem, das Active Directory zugrunde liegt. Seit Windows Server 2016 ist Microsoft zur Pro-Kernel-Lizenzierung übergegangen: Die Preise beginnen jetzt bei 6.156 US-Dollar für Server mit zwei Prozessoren mit jeweils acht Prozessor-Kernels. Die Kosten verdoppeln sich, wenn Prozessoren mit 16 Kernels verwenden werden. Das kann man nur schwer schlucken, zumal Open LDAP und ApacheDS beide kostenlos sind.
3. Unbequeme Protokollierung und Auditing
Viele Dinge in Active Directory müssen ordnungsgemäß protokolliert, überwacht und analysiert werden. Beispielsweise müssen Sie in der Lage sein, kritische Fehler und Änderungen an AD-Objekten und Gruppenrichtlinien im Auge zu behalten, da sie sowohl die Leistung als auch die Sicherheit beeinträchtigen könnten. AD-Logs sind jedoch sehr technischer Natur. Um die benötigten Daten zu finden, sind langwierige manuelle Such- und Filterfunktionen oder erweiterte PowerShell-Skriptfähigkeiten erforderlich. Ebenso sind Warnungen und Berichte nur durch eine Kombination von komplizierten PowerShell-Skripts und Taskplaner möglich. Jedes Ereignisprotokoll ist auf 4 GB begrenzt, was zu einem schnellen Überschreiben von Protokollen und dem Verlust wichtiger Ereignisse führen kann. Schließlich ist die PowerShell-Suchmaschine veraltet, unter der die Leistung leidet. Zum Beispiel liest jedes Mal, wenn Sie Datensätze nach Zeit gefiltert lesen, das gesamte Ereignisprotokoll sequenziell, Datensatz für Datensatz, bis es den angeforderten Datensatz findet. Dies zwingt Unternehmen, SIEM- und Active Directory-Auditing-Lösungen zu integrieren, um Protokollspeicher- und Analyseprozesse zu vereinfachen und zusätzlich Geld für Dinge zu investieren, die in AD von vorn herein enthalten sein könnten.
4. AD-Abstürze führen zu Netzwerkausfällen
Wenn Ihre AD offline ist, treten die folgenden Probleme auf:
- Benutzer werden von Dateifreigaben getrennt, sobald ihre Authentifizierungssitzung abläuft, normalerweise innerhalb weniger Stunden.
- Bei Software oder Hardware, die auf Active Directory-Authentifizierung basiert (z. B. IIS-Sites und VPN-Server), können sich Benutzer nicht mehr anmelden. Je nach Konfiguration werden aktuelle Benutzer entweder sofort abgemeldet oder vorhandene Sitzungen bleiben bis zur Abmeldung aktiv.
- Benutzer können sich auf Computern anmelden, die sie kürzlich verwendet haben, da sie ein zwischengespeichertes Kennwort oder ein Authentifizierungsticket haben. Wer jedoch einen bestimmten PC noch nicht benutzt oder länger nicht benutzt hat, kann sich erst anmelden, wenn die Verbindung zum DC wieder hergestellt ist. Schließlich kann sich niemand mit einem Domänenkonto anmelden, da die zwischengespeicherten Authentifizierungen innerhalb weniger Stunden ablaufen.
- Active Directory-Server spielen oft auch die Rolle von DNS- und DHCP-Servern. In diesem Fall können Computer, während AD offline ist, Probleme beim Zugriff auf das Internet und sogar das lokale Netzwerk selbst haben. Um diese Probleme zu vermeiden, wird empfohlen, mindestens zwei Active Directory-Domänencontroller mit Failover zu verwenden. Auf diese Weise können Sie Windows Server neu installieren, es als neuen Domänencontroller in einer vorhandenen Domäne einrichten und alles ohne Ausfallzeiten replizieren. Dies verursacht jedoch zusätzliche Kosten für die Hardware- und AD-Lizenzierung.
5. AD ist anfällig für Hacker
Da Active Directory einer der beliebtesten Verzeichnisdienste ist, gibt es viele Techniken und Strategien, um ihn zu hacken. Da er nicht in einer DMZ gefunden werden kann, verfügt der AD-Server normalerweise über eine Internetverbindung, über die Angreifer die Möglichkeit hätten, remote auf die Schlüssel zu zuzugreifen. Eine besondere Schwachstelle ist, dass Active Directory das Kerberos-Authentifizierungsprotokoll mit symmetrischer Kryptographie-Architektur verwendet. Microsoft hat zwar bereits viele Schwachstellen gepatcht, aber es werden immer wieder neue entdeckt und ausgenutzt.
6. AD verfügt nicht über GUI-Verwaltungsfunktionen
Microsoft bündelt mehrere Dienstprogramme mit AD, z. B. Active Directory-Benutzer und -Computer (ADUC) und Gruppenrichtlinien-Verwaltungskonsole (GPMC), um Organisationen beim Verwalten von Daten und Richtlinien innerhalb des Verzeichnisses zu helfen. Diese Tools sind jedoch sehr eingeschränkt. Um beispielsweise Objektparameter in großen Mengen einzufügen, ist PowerShell-Skripting erforderlich. es gibt keine Warnung; Die Berichterstellung beschränkt sich auf den Export in eine TXT-Datei. AD-Delegierungsfunktionen sind ebenfalls begrenzt, daher greifen Organisationen oft auf das Aufteilen von Domains zurück, um Grenzen für den administrativen Zugriff zu erstellen, wodurch eine Verzeichnisinfrastruktur entsteht, die schwer zu verwalten ist. Um diese Probleme zu umgehen, verwenden Unternehmen häufig Lösungen von Drittanbietern, die es ihnen ermöglichen, AD in großen Mengen zu verwalten und zu steuern. Dadurch erhalten sie eine bessere Kontrolle über das Identitäts- und Objektzugriffsmanagement und die Kontoverwaltung. AD-Management-Tools von Drittanbietern können Vorgänge zum Erstellen, Entfernen und Ändern von Accounts, Gruppen und Gruppenrichtlinien automatisieren sowie bei der Untersuchung von Kontosperrungen helfen.
7. AD bietet kein Self-Service-Portal für Endbenutzer
Es ist oft sinnvoll, Benutzern zu erlauben, bestimmte Aktionen selbst auszuführen, z. B. ihre eigenen Profile zu bearbeiten und ihre Passwörter zurückzusetzen, wenn sie sie vergessen haben. Active Directory erfordert jedoch einen administrativen Zugriff für diese Vorgänge. Daher müssen Mitarbeiter den IT-Helpdesk anrufen, um kleinere Probleme zu beheben. Dadurch werden Geschäftsabläufe verzögert und Helpdesk-Kosten erhöht. All diese Probleme können durch zusätzliche Self-Service-Management-Tools gelöst werden, aber dies erfordert eine weitere Investition zu dem, was bereits für AD bezahlt wurde. Active Directory ist ein großartiges Tool, und es entwickelt sich immer noch, wenn auch langsam. Wenn Sie Active Directory in Ihre Umgebung integrieren möchten, sollten Sie wissen, dass Sie für eine bessere AD-Verwaltung und Berichterstellung zusätzlich in Lösugen von Drittanbietern investieren müssen. Natürlich können Systemadministratoren benutzerdefinierte Skripts oder Programme schreiben, um die Nachteile nativer Tools zu umgehen und die AD-Verwaltung mithilfe von Scripting-Schnittstellen und Frameworks, die von Microsoft oder anderen Parteien bereitgestellt werden, zu automatisieren und zu verbessern. Es erfordert jedoch fortgeschrittene Fähigkeiten und relativ viel Zeit, um die Skripte zu schreiben, zu pflegen und auszuführen und den Output zu verarbeiten, um entsprechende verwertbare Informationen zu erhalten. Diese verzögerte Reaktion kann auch zu ernsthaften Sicherheitsproblemen führen. Die grundlegenden AD-Beschränkungen wie Log-Datei-Überschreibungen und fehlender Delegierung bleiben zudem bestehen.
Netwrix Tipps für die Suche nach Drittanbieter-Lösungen
Viele Unternehmen suchen daher nach Lösungen von Drittanbietern, die AD-Audits, sowie das AD-Management und -Reporting verbessern und automatisieren können. Bei der Suche sollte man beachten, dass die Lösungen auch eine Transparenz über die gesamte Infrastruktur hinweg bieten kann, nicht nur für AD, sondern auch für Exchange, Dateiserver und SharePoint. Zudem sollte sie in SIEM- sowie Unix- und Linux-Systeme integrierbar sein. Stellen Sie sicher, dass Sie als Admin selbst steuern können, wer was genau verwalten kann, und die Vorgänge zur Erstellung, Entfernung, Änderung von Konten, Gruppen und Gruppenrichtlinien automatisierbar sind. Fügen Sie Bonuspunkte hinzu, wenn die Lösung Self-Service-Funktionen anbietet, die das Support-Team entlasten kann. Stellen Sie auch sicher, dass die Lösung einen vollständigen Audit-Trail über Jahre hinweg erfassen und speichern kann, um die Sicherheitsuntersuchungen zu unterstützen und vor allem regulatorische Anforderungen zu erfüllen.