Angriffsfläche des eigenen AD reduzieren Active Directory härten und vor Angriffen schützen

Von Thomas Joos

Anbieter zum Thema

Um ein Active Directory (AD) vor Angriffen zu schützen, sind verschiedene Maßnahmen sinnvoll, die oft über das normale Maß an Sicherheit hinausgehen. Das verhindert, dass Cyberkriminelle oder unbefugte Anwender an Informationen gelangen oder Anpassungen vornehmen, für die sie nicht berechtigt sind.

Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können.
Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können.
(Bild: Miha Creative - stock.adobe.com)

Das Active Directory gehört natürlich zu den wesentlichen Elementen, die im Unternehmen vor Cyberattacken geschützt werden sollten. Das liegt vor allem daran, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. Wenn ein Angreifer ungestörten Zugriff auf Active Directory nehmen kann, hat er die Möglichkeit sich mit gestohlenen Anmeldedaten an den verschiedenen Ressourcen im Netzwerk anzumelden. Das lässt sich mit verschiedenen Härtungsmaßnahmen verhindern.

Keine zusätzlichen Serverdienste auf Domänencontrollern installieren

Auf Domänencontrollern sollten möglichst keinerlei externe Dienste zum Einsatz kommen. Generell ist nur der Betrieb von DNS auf einem Domänencontroller sinnvoll, da AD ohnehin stark auf DNS setzt und durch die Installation des DNS-Servers auf einem Domänencontroller die Integration der DNS-Daten in Active Directory erfolgen kann. Alle anderen Dienste sollten nicht auf einem Domänencontroller installiert werden, das gilt zum Beispiel auch für die Active Directory-Zertifikatsdienste. Jeder zusätzliche Dienst stellt einen Angriffsvektor da, der vermieden werden sollte.

Bildergalerie
Bildergalerie mit 9 Bildern

Grundlegende Sicherheitseinstellungen beachten und Core-Server nutzen

Wir haben in den beiden Beiträgen „Diese Tools nutzen Hacker für AD-Angriffe“ und „Härtungsmaßnahmen für das Active Directory“ bereits einige Maßnahmen gezeigt, wie sich Active Directory wesentlich sicherer betreiben lässt.

Generell ist es auch empfehlenswert die Installation eines Domänencontrollers auf einem Core-Server mit Windows Server 2019/2022 durchzuführen, da dadurch die Angriffsfläche deutlich reduziert wird. Die Verwaltung kann auch hier mit Tools aus der GUI erfolgen, auf dem Server selbst ist aber keine GUI installiert. Für die Härtung von AD kann es daher sinnvoll sein neue Domänencontroller als Core-Server zu installieren und danach die DCs mit grafischer Oberfläche aus dem AD zu entfernen.

Physischer Zugriff und Zugriff auf VM-Verwaltungskonsole unterbinden

Neben den zahlreichen Tipps, die wir in den oben verlinkten Beiträgen aufgezeigt haben, sollten auch die physischen Domänencontroller, beziehungsweise die VMs vor Diebstahl und Zugriff auf die AD-Datenbank geschützt werden. Dazu gehört zunächst die physische Absicherung von Domänencontrollern oder Virtualisierungshosts, damit keine unberechtigten Anwender Zugriff auf den Server selbst erhalten können. Es darf kein Zugriff von unberechtigten Admins auf die Konsole des Servers selbst erfolgen, auf die Hardware und auf die Anschlüsse.

Bei virtuellen Domänencontrollern muss sichergestellt sein, dass unberechtigte Admins keinen Zugriff auf Domänencontroller in der Verwaltungskonsole haben, da diese ansonsten Server einfach ausschalten oder manipulieren können.

Active Directory-Laufwerke mit Bitlocker verschlüsseln und RODCs nutzen

Microsoft empfiehlt das Aktivieren der Bitlocker-Laufwerksverschlüsselung, da das den Diebstahl der AD-Datenbank zuverlässig verhindert. Unabhängig davon, wie Active Directory durch Firewalls, Richtlinien und Einstellungen geschützt wird, besteht dennoch die Gefahr, dass Angreifer die Domänencontroller selbst angreifen und unter Umständen sogar die Hardware der Server stehlen. Bei aktivierter Laufwerksverschlüsselung ist zumindest sichergestellt, dass die Angreifer nicht das Active Directory über die gespeicherte Datenbank auslesen. Dazu ist es sinnvoll die Server mit einem TPM-Chip auszustatten.

Die Konfiguration von Bitlocker befindet sich in der Systemsteuerung bei „System und Sicherheit“. Allerdings muss das Feature zunächst über den Server-Manager, das Windows Admin Center mit der PowerShell installiert werden. Der Befehl dazu ist:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools

Nach der Installation kann Bitlocker über „Bitlocker Laufwerksverschlüsselung“ in der Systemsteuerung aktiviert werden. Mit „Bitlocker aktivieren“ startet der Assistent. Generell ist es sinnvoll den Wiederherstellungsschlüssel auszudrucken oder in einer Datei zu speichern, die natürlich besonders sicher aufbewahrt werden sollten.

Darüber hinaus sollten Domänencontroller, die sich nicht in sicheren Serverräumen befinden und damit auch nicht zuverlässig vor physischen Angriffen sichern lassen, als schreibeschützte Domänencontroller konfiguriert werden. Die Vorgehensweise dazu beschreiben wir im Beitrag unseres Schwesterportals IP-Insider: „So betreiben Sie schreibgeschützte Domänencontroller“.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Herunterfahren von Domänencontrollern verbindlich regeln

Ein wichtiger Sicherheitsfaktor ist das verbindliche Steuern der Rechte zum Herunterfahren oder Neustart eines Domänencontrollers. Diese Einstellungen lassen sich in Windows über lokale Richtlinien oder über Gruppenrichtlinien steuern. Die Einstellungen dazu sind in den Richtlinien bei „Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten“ zu finden. Hier ist die Einstellung „Herunterfahren des Systems“ zu finden. Diese Einstellung kann zum Beispiel über die „Default Domain Controllers Policy“ gesteuert werden. An dieser Stelle sollten nur explizite Gruppen oder sogar nur einzelne Benutzer das Recht erhalten den Server herunterzufahren.

Dazu kommen Einstellungen, um die generelle Anzeige der Optionen für das Starten und Herunterfahren in der GUI zu steuern. Wenn ein Domänencontroller aber als Core-Server zum Einsatz kommt, ist das nicht notwendig. Bei Servern mit GUI lassen sich die Optionen zum Herunterfahren ebenfalls über Gruppenrichtlinien steuern. Die Einstellungen dazu sind bei „Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Startmenü und Taskleiste“ zu finden. Vor allem die Richtlinieneinstellung „Befehle Herunterfahren, Neu starten, Energie sparen und Ruhezustand entfernen“ spielt hier eine wichtige Rolle.

Aktuellen Domänen- und Gesamtstrukturfunktionsebene nutzen

Es ist sehr sinnvoll Domänencontroller mit dem aktuellsten Betriebssystem zu installieren und auch regelmäßig dafür zu sorgen, dass die aktuellsten Updates installiert sind. Darüber hinaus sollte für Domänen und die Gesamtstruktur die aktuellste Funktionsebene aktiviert werden. Das ist auch bei Windows Server 2022 noch die Funktionsebene „Windows Server 2016“. Erst durch diese Funktionsebene ist es zum Beispiel möglich Privileged Access Management in Active Directory anzusetzen. Der Beitrag „Admin auf Zeit in Active Directory“ spielt in dieser Hinsicht ebenfalls eine gewichtige Rolle.

Um PAM einsetzen zu können und darüber hinaus sicherzustellen, dass auf allen Domänencontroller die aktuelle Funktionsebene für Domäne und Gesamtstruktur aktiviert ist. Die jeweils aktuelle Funktionsebene der Gesamtstruktur kann in der PowerShell mit dem folgenden Befehl überprüft werden:

(Get-ADForest).ForestMode

Die Funktionsebene der Domäne lässt sich mit dem nachfolgenden Befehl überprüfen:

(Get-ADDomain).DomainMode

Beide sollten sich im Windows Server 2016-Modus befinden. Ist das nicht der Fall, sollten die Ebenen aller Domänen und der Gesamtstruktur auf „Windows Server 2016“ heraufgestuft werden. Die Heraufstufung der Gesamtstruktur erfolgt über das Snap-In „domain.msc“. Über das Kontextmenü von „Active Directory-Domänen und -Vertrauensstellungen“ steht der Menüpunkt „Gesamtstrukturfunktionsebene heraufstufen“. Anschließend kann die Ebene heraufgestuft werden, oder ist bereits auf „Windows Server 2016“ eingestellt.

Die Funktionsebene für jede Domäne ist über das Snap-In „dsa.msc“ und das Kontextmenü der Domäne zu finden. Hier steht der Menüpunkt „Domänenfunktionsebene heraufstufen“ zur Verfügung. Domänen mit dieser Funktionsebene erhalten neue Funktionen beim Umgang mit der NTLM- und Kerberos-Authentifizierung. Dadurch lassen sich Daten der Benutzer besser schützen. Mehr dazu ist auf der Microsoft-Seite „Gesamtstruktur- und Domänenfunktionsebenen“ zu finden.

(ID:49014984)