Allgemein

Active Directory (AD) ist ein zentraler Verzeichnisdienst von Microsoft, der zur Verwaltung von Benutzern, Computern und Ressourcen innerhalb eines RUB dient. Über Active Directory können Benutzerkonten, Zugriffsrechte, Gruppenmitgliedschaften sowie Sicherheitsrichtlinien einheitlich gesteuert werden. Mitarbeitende melden sich einmal mit ihren persönlichen Zugangsdaten an und erhalten je nach Berechtigung Zugriff auf benötigte Systeme, Anwendungen und Dateien. Einrichtungen der RUB haben die Möglichkeit einen eigenen Bereich im zentralen Active Directory zu erhalten und die Vorteile des Software as a Service zu nutzen. Dadurch wird die Administration vereinfacht, die Sicherheit erhöht und eine strukturierte Benutzerverwaltung ermöglicht. Der Service ist grundfinanziert, es fallen somit keine zusätzlichen Kosten an.

Zonenkonzept

Das Microsoft-Tiering-Modell sichert das Active Directory durch eine vertikale Trennung von Berechtigungsebenen ab: Tier 0 verwaltet die Identitätsinfrastruktur (DCs), Tier 1 die Serveranwendungen und Tier 2 die Endgeräte. Das strikte Prinzip verhindert, dass hochprivilegierte Konten auf weniger sicheren Systemen angemeldet werden, um den Abzug von Anmeldedaten zu unterbinden.

Innerhalb der Tiers 1 und 2 implementieren wir zusätzliche „Brandschutzzonen“ zur horizontalen Isolation. Durch diese administrative Segmentierung werden Systeme in voneinander getrennte Sicherheitsbereiche unterteilt. Da jede Zone über exklusive Admin-Konten verfügt, bleibt ein Sicherheitsvorfall auf die betroffene Zone begrenzt und ein seitliches Ausbreiten von Angreifern zwischen verschiedenen Institutionen der RUB wird effektiv verhindert.