Windows Server 2016

Active Directory, Virtualisierung und Cloud-Anbindung

| Autor / Redakteur: Thomas Joos / Stephan Augsten

TPMs lassen sich jetzt auch dafür nutzen, sich mit Microsoft Passport an „Windows Server 2016“-Domänen anzumelden.
TPMs lassen sich jetzt auch dafür nutzen, sich mit Microsoft Passport an „Windows Server 2016“-Domänen anzumelden. (Bild: Thomas Joos)

Mit Windows Server 2016 erhöht Microsoft deutlich die Sicherheit in Netzwerken und Active-Directory-Umgebungen. Die Virtualisierung und Anbindung der Cloud spielen eine noch wichtigere Rolle, Domänencontroller lassen sich besser virtualisieren und VMs werden besser geschützt.

Eine der wichtigsten Neuerungen in Windows Server 2016 bezüglich Active Directory sind vor allem die Verbesserungen in den Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS). Hier ist es zum Beispiel möglich, eine Zugriffsteuerung auf Basis bestimmter Bedingungen zu verwenden.

Diese Conditional Access Control ist vor allem für mobile Anwender interessant. Außerdem lassen sich Rechner mit Windows 10 über Geräteauthentifizierung an Windows Server 2016 anbinden. Microsoft zeigt die Möglichkeiten dazu im TechNet.

Microsoft Identity Manager 2016 und Privileged Access Management

Ab Windows Server 2016 ist es darüber hinaus schwieriger, mit Pass-the-hash-Angriffen an vertrauliche Anmeldedaten von Administratoren zu gelangen. Diese Angriffe zielen nicht auf die Kennwörter ab, sondern auf die Prüfsummen (Hashes), die in Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Dazu bietet Windows Server 2016 ein „Privileged Access Management“ (PAM) und den „Microsoft Identity Manager“ (MIM). Mit MIM wird eine neue Active Directory-Gesamtstruktur erstellt, PAM sorgt anschließend für den Schutz.

TPMs lassen sich jetzt auch dafür nutzen, sich mit Microsoft Passport an Domänen mit Windows Server 2016 anzumelden.
TPMs lassen sich jetzt auch dafür nutzen, sich mit Microsoft Passport an Domänen mit Windows Server 2016 anzumelden. (Bild: Thomas Joos)

In diesem Zusammenhang spielt auch Microsoft Passport eine wichtige Rolle. Dieser Dienst für schlüsselbasierte Authentifizierung geht über die Anmeldung mit herkömmlichen Kennwörtern weit hinaus. Die Anmeldung mit Passport kann entweder zertifikatsbasiert stattfinden oder über einen PIN. Diese wird in Kombination mit dem Trusted Plattform Module (TPM) auf Rechnern genutzt, genauso wie für die Verwendung bei Bitlocker.

Windows Server 2016 und Passport unterstützen auch die Anmeldung über die neue Hello-Funktion in Windows 10
Windows Server 2016 und Passport unterstützen auch die Anmeldung über die neue Hello-Funktion in Windows 10 (Bild: Thomas Joos)

Für die Anmeldung über Microsoft Passport an Domänen mit Windows Server 2016 lassen sich aber auch biometrische Funktionen wie Fingerabdruckscanner oder die neue Windows Hello-Funktion in Windows 10 nutzen. Die Anmeldung mit Microsoft Passport ist vor allem für mobile Anwender mit Notebooks interessant. Auch hier zeigt Microsoft die Vorgehensweise genauer in Hilfe zu Microsoft Azure.

Microsoft Passport bietet SSO-Szenarien und die Möglichkeit, komplett ohne Kennwörter zu arbeiten. Das funktioniert für Active Directory, aber auch für zahlreiche Microsoft Cloud-Dienste und andere Anmeldebereiche. Microsoft hat in diesem Bereich auch einige neue Schema-Attribute in Active Directory integriert. Diese zeigen die verbesserten Authentifizierungsmöglichkeiten.

Neu sind zum Beispiel:

ms-DS-Expire-Passwords-On-Smart-Card-Only-Accounts

ms-DS-Token-Group-Names

ms-DS-Token-Group-Names-Global-And-Universal

ms-DS-Token-Group-Names-No-GC-Acceptable

ms-DS-User-Allowed-NTLM-Network-Authentication

ms-DS-Service-Allowed-NTLM-Network-Authentication

ms-DS-Strong-NTLM-Policy

ms-DS-Is-Compliant

ms-DS-Key-Id

ms-DS-Key-Material

ms-DS-Key-Usage

ms-DS-Key-Principal

ms-DS-Key-Principal-BL

ms-DS-Device-DN

ms-DS-Computer-SID

ms-DS-Custom-Key-Information

ms-DS-Key-Approximate-Last-Logon-Time-Stamp

ms-DS-Device-Trust-Type

ms-DS-Shadow-Principal-Sid

ms-DS-Key-Credential-Link

ms-DS-Key-Credential-Link-BL

Privileged Access Management – Admin auf Zeit

Um PAM mit Windows Server 2016 zu nutzen, sind mindestens zwei Active Directory-Gesamtstrukturen notwendig. Diese werden mit einer Vertrauensstellung miteinander verbunden. Die Administratorkonten werden in einer solchen Infrastruktur von der produktiven Domäne getrennt. Dadurch steigt enorm die Sicherheit im Netzwerk.

Die neue Gesamtstruktur mit den Administratorkonten wird auch als Bastion Active Directory Forest bezeichnet. Er wird durch den Microsoft Identity Manager zur Verfügung gestellt, überwacht und gesteuert. Der Vorteil dabei ist, dass die vorhandene Gesamtstruktur zu Windows Server 2016 aktualisiert werden kann, und die neue Gesamtstruktur mittels PAM zukünftig die Verwaltung steuert. Dadurch wird sofort eine deutlich erhöhte Sicherheit erreicht, da selbst kompromittierte AD-Umgebungen nach der Implementation von PAM sicher sind.

Zukünftig arbeiten Administratoren nicht mehr mit Administratorkonten in der Active Directory-Umgebung, sondern erhalten einen sogenannten Zugang mit Just Enough Administration (JEA). Dabei wird eine Gruppe an CMDlets in der PowerShell definiert, ebenso wie eine genaue Zielgruppe an Objekten, die für einen bestimmten administrativen Vorgang nötig sind.

Auch die Zeitdauer für diese Rechte wird über JEA gesteuert. Sobald der Zeitraum abgelaufen ist, kann der Zugang nicht mehr für die Administration genutzt werden, auch nicht für den fest definierten Zielbereich. Microsoft erklärt die Vorgehensweise im TechNet genauer.

Shadow Groups für mehr Sicherheit

Zusammen mit PAM, MIM, Windows Server 2016 und dem neuen Bastion Active Directory Forest werden Shadow Groups erstellt. Diese verfügen über administrative Rechte, jedoch ist die Mitgliedschaft zeitlich begrenzt. Dazu wird der TTL von Kerberos-Tickets enorm verringert, und die Gruppe stark überwacht. Die Zeitdauer lässt sich von Minuten, über Stunden, bis hin zu Monaten steuern, ist jedoch wie bisher niemals unendlich.

Microsoft Identity Manager 2016 mit Windows Server 2016

Um Active Directory-Umgebungen in Windows Server 2016 abzusichern, können Unternehmen auch auf den Microsoft Identity Manager 2016 setzen. Dabei handelt es sich um den Nachfolger von Forefront Identity Manager 2012 R2.

Mit MIM lassen sich nicht nur Benutzer in lokalen Active Directory-Umgebungen absichern, sondern auch Anmeldedaten mit der Cloud synchronisieren, zum Beispiel mit Office 365 oder Azure Active Directory. Viele Sicherheitsfunktionen in Windows Server 2016 lassen sich erst mit MIM 2016 optimal nutzen. In der neuen Version lassen sich auch Kennwörter verwalten, Zwei-Faktor-Authentifizierung nutzen und Active Directory-Attribute in Active Directory nutzen.

Azure Active Directory Join

Zusammen mit Windows 10 lassen sich mit Windows Server 2016 Rechner an Azure Active Directory anbinden, und mit PAM, MIM und anderen Diensten absichern. Sinnvoll ist das vor allem für Umgebungen mit vielen mobilen Anwendern und Bring-Your-Own-Device-Ansätzen sowie „Mobile Device Management“-Integration. Dadurch sind Single-Sign-On-Szenarien zusammen mit Windows Server 2016 möglich, genauso wie der Kiosk-Modus für einzelne Geräte.

Entfernte Funktionen in Windows Server 2016

Neben zahlreichen neuen Funktionen, hat Microsoft aber auch zwei Dienste abgeschafft. Der File Replication Service (FRS) und die Unterstützung für Windows Server 2003/2003 R2 sind nicht mehr in Windows Server 2016 enthalten. Auch die Funktionsebenen für Windows Server 2003 wurden aus den Domänen und der Gesamtstruktur entfernt. Network Access Protection (NAP) wurde aus DHCP entfernt. Diese Funktion hat ohnehin kaum Sicherheit geboten.

Fazit

Microsoft bietet mit Active Directory in Windows Server 2016 vor allem deutlich mehr Sicherheit, wenn es um die Authentifizierung von Anwendern und Administratoren geht. Auch die Anbindung von mobilen Geräten sowie der Betrieb zusammen mit der Cloud wurden deutlich verbessert.

Es lohnt sich also für Unternehmen, einen Blick auf die neue Server-Version zu setzen, vor allem wenn die Sicherheit im Netzwerk erhöht werden soll. In besonders sicheren Umgebungen sollte zusätzlich noch auf Microsoft Identity Manager 2016 gesetzt werden, denn erst zusammen mit diesem Produkt entfaltet Windows Server 2016 im Bereich Active Directory umfassend seine Möglichkeiten.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43864184 / Server)