:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Angriffsfläche des eigenen AD reduzieren Active Directory härten und vor Angriffen schützen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Um ein Active Directory (AD) vor Angriffen zu schützen, sind verschiedene Maßnahmen sinnvoll, die oft über das normale Maß an Sicherheit hinausgehen. Das verhindert, dass Cyberkriminelle oder unbefugte Anwender an Informationen gelangen oder Anpassungen vornehmen, für die sie nicht berechtigt sind.
Das Active Directory gehört natürlich zu den wesentlichen Elementen, die im Unternehmen vor Cyberattacken geschützt werden sollten. Das liegt vor allem daran, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. Wenn ein Angreifer ungestörten Zugriff auf Active Directory nehmen kann, hat er die Möglichkeit sich mit gestohlenen Anmeldedaten an den verschiedenen Ressourcen im Netzwerk anzumelden. Das lässt sich mit verschiedenen Härtungsmaßnahmen verhindern.
Keine zusätzlichen Serverdienste auf Domänencontrollern installieren
Auf Domänencontrollern sollten möglichst keinerlei externe Dienste zum Einsatz kommen. Generell ist nur der Betrieb von DNS auf einem Domänencontroller sinnvoll, da AD ohnehin stark auf DNS setzt und durch die Installation des DNS-Servers auf einem Domänencontroller die Integration der DNS-Daten in Active Directory erfolgen kann. Alle anderen Dienste sollten nicht auf einem Domänencontroller installiert werden, das gilt zum Beispiel auch für die Active Directory-Zertifikatsdienste. Jeder zusätzliche Dienst stellt einen Angriffsvektor da, der vermieden werden sollte.
:quality(80)/p7i.vogel.de/wcms/d4/4e/d44e8b498c22c5bff6e21cd0a3cb5e0d/0109225436.jpeg "Bitlocker-Laufwerksverschlüsselung schützt auch das Active Directory.")
:quality(80)/p7i.vogel.de/wcms/51/6b/516b7227076ca87ead6318f7dda03d79/0109225439.jpeg "Abfragen der Funktionsebenen für Domänen und Gesamtstruktur in der PowerShell.")
:quality(80)/p7i.vogel.de/wcms/68/5d/685db73cbb1abd0c30ad7aafb4054d3f/0109225438.jpeg "Heraufstufen der Gesamtstrukturfunktionsebene in Active Directory.")
:quality(80)/p7i.vogel.de/wcms/bb/db/bbdbb8e901f9267d0b79b23629a5d199/0109225437.jpeg "Anzeigen der Gesamtstrukturfunktionsebene in Active Directory.")
Grundlegende Sicherheitseinstellungen beachten und Core-Server nutzen
Wir haben in den beiden Beiträgen „Diese Tools nutzen Hacker für AD-Angriffe“ und „Härtungsmaßnahmen für das Active Directory“ bereits einige Maßnahmen gezeigt, wie sich Active Directory wesentlich sicherer betreiben lässt.
Generell ist es auch empfehlenswert die Installation eines Domänencontrollers auf einem Core-Server mit Windows Server 2019/2022 durchzuführen, da dadurch die Angriffsfläche deutlich reduziert wird. Die Verwaltung kann auch hier mit Tools aus der GUI erfolgen, auf dem Server selbst ist aber keine GUI installiert. Für die Härtung von AD kann es daher sinnvoll sein neue Domänencontroller als Core-Server zu installieren und danach die DCs mit grafischer Oberfläche aus dem AD zu entfernen.
Physischer Zugriff und Zugriff auf VM-Verwaltungskonsole unterbinden
Neben den zahlreichen Tipps, die wir in den oben verlinkten Beiträgen aufgezeigt haben, sollten auch die physischen Domänencontroller, beziehungsweise die VMs vor Diebstahl und Zugriff auf die AD-Datenbank geschützt werden. Dazu gehört zunächst die physische Absicherung von Domänencontrollern oder Virtualisierungshosts, damit keine unberechtigten Anwender Zugriff auf den Server selbst erhalten können. Es darf kein Zugriff von unberechtigten Admins auf die Konsole des Servers selbst erfolgen, auf die Hardware und auf die Anschlüsse.
Bei virtuellen Domänencontrollern muss sichergestellt sein, dass unberechtigte Admins keinen Zugriff auf Domänencontroller in der Verwaltungskonsole haben, da diese ansonsten Server einfach ausschalten oder manipulieren können.
Active Directory-Laufwerke mit Bitlocker verschlüsseln und RODCs nutzen
Microsoft empfiehlt das Aktivieren der Bitlocker-Laufwerksverschlüsselung, da das den Diebstahl der AD-Datenbank zuverlässig verhindert. Unabhängig davon, wie Active Directory durch Firewalls, Richtlinien und Einstellungen geschützt wird, besteht dennoch die Gefahr, dass Angreifer die Domänencontroller selbst angreifen und unter Umständen sogar die Hardware der Server stehlen. Bei aktivierter Laufwerksverschlüsselung ist zumindest sichergestellt, dass die Angreifer nicht das Active Directory über die gespeicherte Datenbank auslesen. Dazu ist es sinnvoll die Server mit einem TPM-Chip auszustatten.
Die Konfiguration von Bitlocker befindet sich in der Systemsteuerung bei „System und Sicherheit“. Allerdings muss das Feature zunächst über den Server-Manager, das Windows Admin Center mit der PowerShell installiert werden. Der Befehl dazu ist:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementToolsNach der Installation kann Bitlocker über „Bitlocker Laufwerksverschlüsselung“ in der Systemsteuerung aktiviert werden. Mit „Bitlocker aktivieren“ startet der Assistent. Generell ist es sinnvoll den Wiederherstellungsschlüssel auszudrucken oder in einer Datei zu speichern, die natürlich besonders sicher aufbewahrt werden sollten.
Darüber hinaus sollten Domänencontroller, die sich nicht in sicheren Serverräumen befinden und damit auch nicht zuverlässig vor physischen Angriffen sichern lassen, als schreibeschützte Domänencontroller konfiguriert werden. Die Vorgehensweise dazu beschreiben wir im Beitrag unseres Schwesterportals IP-Insider: „So betreiben Sie schreibgeschützte Domänencontroller“.
Herunterfahren von Domänencontrollern verbindlich regeln
Ein wichtiger Sicherheitsfaktor ist das verbindliche Steuern der Rechte zum Herunterfahren oder Neustart eines Domänencontrollers. Diese Einstellungen lassen sich in Windows über lokale Richtlinien oder über Gruppenrichtlinien steuern. Die Einstellungen dazu sind in den Richtlinien bei „Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten“ zu finden. Hier ist die Einstellung „Herunterfahren des Systems“ zu finden. Diese Einstellung kann zum Beispiel über die „Default Domain Controllers Policy“ gesteuert werden. An dieser Stelle sollten nur explizite Gruppen oder sogar nur einzelne Benutzer das Recht erhalten den Server herunterzufahren.
Dazu kommen Einstellungen, um die generelle Anzeige der Optionen für das Starten und Herunterfahren in der GUI zu steuern. Wenn ein Domänencontroller aber als Core-Server zum Einsatz kommt, ist das nicht notwendig. Bei Servern mit GUI lassen sich die Optionen zum Herunterfahren ebenfalls über Gruppenrichtlinien steuern. Die Einstellungen dazu sind bei „Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Startmenü und Taskleiste“ zu finden. Vor allem die Richtlinieneinstellung „Befehle Herunterfahren, Neu starten, Energie sparen und Ruhezustand entfernen“ spielt hier eine wichtige Rolle.
Aktuellen Domänen- und Gesamtstrukturfunktionsebene nutzen
Es ist sehr sinnvoll Domänencontroller mit dem aktuellsten Betriebssystem zu installieren und auch regelmäßig dafür zu sorgen, dass die aktuellsten Updates installiert sind. Darüber hinaus sollte für Domänen und die Gesamtstruktur die aktuellste Funktionsebene aktiviert werden. Das ist auch bei Windows Server 2022 noch die Funktionsebene „Windows Server 2016“. Erst durch diese Funktionsebene ist es zum Beispiel möglich Privileged Access Management in Active Directory anzusetzen. Der Beitrag „Admin auf Zeit in Active Directory“ spielt in dieser Hinsicht ebenfalls eine gewichtige Rolle.
Um PAM einsetzen zu können und darüber hinaus sicherzustellen, dass auf allen Domänencontroller die aktuelle Funktionsebene für Domäne und Gesamtstruktur aktiviert ist. Die jeweils aktuelle Funktionsebene der Gesamtstruktur kann in der PowerShell mit dem folgenden Befehl überprüft werden:
(Get-ADForest).ForestModeDie Funktionsebene der Domäne lässt sich mit dem nachfolgenden Befehl überprüfen:
(Get-ADDomain).DomainModeBeide sollten sich im Windows Server 2016-Modus befinden. Ist das nicht der Fall, sollten die Ebenen aller Domänen und der Gesamtstruktur auf „Windows Server 2016“ heraufgestuft werden. Die Heraufstufung der Gesamtstruktur erfolgt über das Snap-In „domain.msc“. Über das Kontextmenü von „Active Directory-Domänen und -Vertrauensstellungen“ steht der Menüpunkt „Gesamtstrukturfunktionsebene heraufstufen“. Anschließend kann die Ebene heraufgestuft werden, oder ist bereits auf „Windows Server 2016“ eingestellt.
Die Funktionsebene für jede Domäne ist über das Snap-In „dsa.msc“ und das Kontextmenü der Domäne zu finden. Hier steht der Menüpunkt „Domänenfunktionsebene heraufstufen“ zur Verfügung. Domänen mit dieser Funktionsebene erhalten neue Funktionen beim Umgang mit der NTLM- und Kerberos-Authentifizierung. Dadurch lassen sich Daten der Benutzer besser schützen. Mehr dazu ist auf der Microsoft-Seite „Gesamtstruktur- und Domänenfunktionsebenen“ zu finden.
(ID:49014984)
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/85/7a854165712f750c5dd69a6e08ddd716/0109500215.jpeg "Mit Windows-Bordmitteln lässt sich die Sicherheit der Anmeldekonten in Active Directory kaum optimal schützen. Aber zum Glück gibt es praktische Tools, die Admins dabei helfen können. (Bild: chinnarach - stock.adobe.com)")