Was Ist AD Sicherheits-Compliance?
Compliance-Frameworks — NIS2, ISO 27001, CIS Controls, ANSSI — definieren Basisanforderungen an die Sicherheit der Identitätsinfrastruktur. Für Organisationen, die Active Directory oder Azure Entra ID betreiben, übersetzen sich diese in konkrete technische Kontrollen: Passwortrichtlinien, privilegiertes Zugriffsmanagement, Audit-Protokollierung, MFA-Durchsetzung und Schwachstellenmanagement.
ℹ️ Hinweis: Compliance ist nicht dasselbe wie Sicherheit. Eine konforme Umgebung kann trotzdem kompromittiert werden. Aber die für Compliance erforderlichen Kontrollen — richtig implementiert — reduzieren die Angriffsfläche erheblich.
Compliance-Framework-Zuordnung
NIS2-Richtlinie (EU, 2024)
| NIS2-Anforderung | AD/Azure-Kontrolle | EtcSec-Prüfung |
|---|---|---|
| Multi-Faktor-Authentifizierung | MFA für alle privilegierten Konten | CA_NO_MFA_REQUIREMENT |
| Zugangskontrollrichtlinien | Geringstmögliche Rechte, PIM | PA_PIM_NOT_ENABLED |
| Passwortrichtlinien | Mindestlänge, Komplexität | PASSWORD_POLICY_WEAK |
CIS Controls v8
| CIS Control | Anforderung | AD-Implementierung |
|---|---|---|
| CIS 5 | Kontoverwaltung | Veraltete Konten deaktivieren |
| CIS 6 | Zugangskontrolle | Geringstmögliche Rechte, PAW |
| CIS 17 | Incident Response | Audit-Richtlinie, Log-Aufbewahrung |
ISO 27001:2022
| Kontrolle | Beschreibung | AD-Zuordnung |
|---|---|---|
| A.5.17 | Authentifizierungsinformationen | Passwortrichtlinie, MFA |
| A.8.2 | Privilegierte Zugriffsrechte | PAW, PIM, DA-Governance |
| A.8.5 | Sichere Authentifizierung | MFA, Kerberos AES, nur NTLMv2 |
ANSSI-Empfehlungen
# ANSSI empfiehlt: Nur AES-Kerberos-Verschlüsselung
Set-ADDefaultDomainPasswordPolicy -Identity corp.local -KerberosEncryptionType AES128,AES256
# ANSSI empfiehlt: Protected Users für alle Admins aktivieren
Add-ADGroupMember -Identity "Protected Users" -Members (Get-ADGroupMember "Domain Admins")
Compliance-Lücken Bewertung
$prüfungen = @{
"Mindestpasswortlänge >= 12" = (Get-ADDefaultDomainPasswordPolicy).MinPasswordLength -ge 12
"Passwortkomplexität aktiviert" = (Get-ADDefaultDomainPasswordPolicy).ComplexityEnabled
"DS Changes Audit aktiviert" = (auditpol /get /subcategory:"Directory Service Changes") -match "Success"
}
$prüfungen.GetEnumerator() | ForEach-Object {
[PSCustomObject]@{
Kontrolle = $_.Key
Status = if ($_.Value) { "KONFORM" } else { "NICHT KONFORM" }
}
} | Format-Table -AutoSize
So Erkennt EtcSec Dies
EtcSec ordnet seine 426 Schwachstellenprüfungen direkt den Compliance-Framework-Anforderungen zu. Jeder Befund in einem EtcSec-Bericht umfasst die erkannte Fehlkonfiguration, das Risikoniveau und die betroffenen Compliance-Frameworks (NIS2, CIS, ISO 27001, ANSSI).
ℹ️ Hinweis: EtcSec ordnet alle Befunde automatisch Compliance-Frameworks zu. Starten Sie ein kostenloses Audit.
