:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit und Stabilität für Microsoft-Netzwerke Active Directory und Domänencontroller sichern und wiederherstellen
Auch beim Einsatz von mehreren Domänencontrollern ist es sinnvoll, die Daten des Active Directory regelmäßig zu sichern. Mit den Daten lassen sich im Notfall einzelne Objekte und komplette Domänencontroller aber eine ganze Active-Directory-Umgebung wiederherstellen. Wir zeigen die Vorgehensweise.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Um Active Directory zu sichern, reicht es nicht aus, das Verzeichnis „c:\windows\ntds“ zu sichern. Zwar ist in diesem Verzeichnis auf dem als Domänencontroller fungierenden Server die Active-Directory-Datenbank als Datei mit der Bezeichnung „ntds.dit“ gespeichert und auch die Transaktionsprotokolle der Active-Directory-Datenbank finden sich in diesem Verzeichnis. Trotzdem sollte zur AD-Sicherung am besten der komplette Server gesichert, der als Domänencontroller genutzt wird. Beim Einsatz mehrerer Domänencontroller ist es natürlich sinnvoll alle Domänencontroller umfassend zu sichern.
Active Directory mit der Windows-Server-Sicherung sichern
Um Active Directory zu sichern, kann auch die interne Windows-Server-Sicherung genutzt werden. Diese ist in der Lage, Active Directory komplett zu sichern. Dazu wird ein neuer Sicherungsauftrag erstellt, genauso wie bei der Sicherung anderer Daten auf dem Server. Die Sicherung kann also einmalig erfolgen oder zyklisch über einen Zeitplan.
:quality(80)/images.vogel.de/vogelonline/bdb/1353100/1353115/original.jpg "In den Optionen der Windows-Server-Sicherung können auch inkrementelle Sicherungen aktiviert werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1353100/1353116/original.jpg "Die Sicherung von Domänencontroller und Active Directory kann über einen Assistenten erfolgen. Hier ist auch eine vollständige Sicherung möglich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1353100/1353117/original.jpg "Im Rahmen des Assistenten zur Einrichtung einer benutzerdefinierten Sicherung müssen die notwendigen Komponenten zur Sicherung von Active Directory ausgewählt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1353100/1353118/original.jpg "Die Wiederherstellung eines Domänencontrollers kann ebenfalls mit einem Assistenten aus der Windows-Server-Sicherung durchgeführt werden.")
Die Windows-Server-Sicherung gehört zwar zum Lieferumfang von Windows-Servern, wird aber nicht automatisch installiert. Das Feature muss daher zunächst über den Server-Manager auf einem Server installiert werden. In Windows Server 2016 gibt es dazu das Feature mit der Bezeichnung „Windows Server-Sicherung“. Verwaltet werden kann die Sicherung zum Beispiel über das Tool „wbadmin.msc“ in der grafischen Oberfläche. Die Datensicherung sichert die Daten blockbasiert. Standardmäßig führt das Tool vollständige Sicherungen durch. Über „Aktion/Leistungseinstellungen“ lassen sich aber auch inkrementelle Sicherungen aktivieren (siehe Abbildung 1).
Sicherung konfigurieren
Beim Erstellen einer Sicherung kann im Assistenten entweder die Option „Vollständiger Server“ oder „Benutzerdefiniert“ ausgewählt werden (siehe Abbildung 2). Bei der Sicherung des vollständigen Servers wird auch das Active Directory komplett gesichert, wenn es sich bei dem Server um einen Domänencontroller handelt. Wenn genügend Speicherplatz auf den Sicherungsmedien vorhanden ist, ist es sinnvoll, diese Option zu verwenden, da im Notfall dann auf keinen Fall irgendwelche Daten fehlen bzw. nicht wieder hergestellt werden können. Um nur Active Directory zu sichern reicht es aber auch aus, die benutzerdefinierte Option zu verwenden.
Im Rahmen der Konfiguration der Sicherung kann auch ausgewählt werden, welche Bestandteile des Servers über die aktuelle Sicherung gesichert werden soll. Dazu kann über „Elemente hinzufügen“ ausgewählt werden, was gesichert werden soll. Am besten werden hier die Optionen „Systemstatus“ und „System-reserviert“ ausgewählt (siehe Abbildung 3), damit notwendige Daten zur Wiederherstellung von Active Directory mitgesichert werden. Bei einem UEFI-System sollte zudem die Option „Bare-Metal-Recovery“ ausgewählt werden.
Anschließend wird festgelegt, wo die Daten im Netzwerk gesichert werden sollen. Idealerweise wird hier eine Netzfreigabe verwendet, von der wiederum Daten auf Band oder ein anderes Sicherungsmedium gesichert werden.
Durch Aktivierung der Option „VSS-Kopiesicherung“ in den erweiterten Einstellungen der Windows-Server-Sicherung nutzt das Sicherungsprogramm den Volumeschattenkopie-Dienst (Volume Shadow Copy Service, VSS) von Windows-Servern. Das beschleunigt die Sicherung und stellt sicher, dass das System auch korrekt gesichert wird. Nach der Bestätigung der restlichen Eingaben beginnt der Assistent mit der Sicherung des Servers und von Active Directory.
Sicherung skripten
Das Sicherungsprogramm kann die Datensicherung auch über die Eingabeaufforderung durchführen. Das ist zum Beispiel sinnvoll, wenn die Sicherung über ein Skript oder auf einem Core-Server durchgeführt werden soll. Mit dem folgenden Befehl wird die Sicherung der notwendigen Partitionen auf die Zielfestplatte durchgeführt:
wbadmin start backup -allCritical -backuptarget:<Zielfestplatte> -quietDurch Eingabe von „-quiet“ beginnt die Sicherung sofort. Mit dem folgenden Befehl werden alle Partitionen eines Servers in die Sicherung eingeschlossen. Die Partitionen werden durch Komma ohne Leerzeichen voneinander getrennt:
wbadmin start backup -include:<Partition1>:,<Partition2>:,<PartitionN> -backuptarget:<Zielfestplatte>: -quietWiederherstellen von Active Directory aus der Datensicherung
Um eine Wiederherstellung von Active Directory durchzuführen, muss der Domänencontroller neu gestartet werden. Um einen Domänencontroller wiederherzustellen kann in den Bootoptionen der Menüpunkt „Verzeichnisdienstwiederherstellung“ ausgewählt werden. Hier lässt sich anschließend eine Wiederherstellung von AD-Dateien durchführen.
Soll ein Domänencontroller beim nächsten Start automatisch im Verzeichnisdienst-Wiederstellungsmodus gestartet werden, hilft der folgende Befehl in der Befehlszeile:
bcdedit /set safeboot dsrepairBefindet sich der Server im Verzeichnisdienst-Wiederherstellungsmodus, wird der Server mit dem folgenden Befehl beim nächsten Start normal gestartet:
bcdedit /deletevalue safeboot
Verschieben der Active-Directory-Datenbank
Der Speicherort der Active-Directory-Datenbank kann angepasst werden. Die notwendigen Angaben werden in der Befehlszeile vorgenommen:
- 1. Dazu muss zunächst der Server im Verzeichnisdienstwiederherstellungs-Modus neu gestartet werden.
- 2. In der Befehlszeile wird „Ntdsutil“ gestartet und danach „activate instance ntds“.
- 3. Um die Datenbank zu verschieben, wird der Befehl „move db to <Lauferk:\Ordner>“ verwendet.
- 4. Danach wird die Datenbank verschoben.
- 5. Nach dem Verschieben der Datenbank müssen noch die Transaktionsprotokolle verschoben werden. Dazu wird der Befehl „move logs to <Laufwerk:\Ordner>“ verwendet.
- 6. Mit dem Befehl „integrity“, wird noch die Konsistenz der Active-Directory-Datenbank geprüft.
Reparieren der Active-Directory-Datenbank
Nicht immer muss die Active-Directory-Datenbank wiederhergestellt werden, wenn sie nicht mehr funktioniert. Oft hilft eine Reparatur:
- 1. Zunächst muss der Server im Verzeichnisdienst-Wiederherstellungsmodus gestartet werden.
- 2. Danach wird in der Befehlszeile „ntdsutil“ gestartet.
- 3. „activate instance ntds“ aktiviert die Verwaltung der lokalen AD-Datenbank.
- 4. Mit „files“ wird zu „file maintenance“ gewechselt.
- 5. Danach wird mit „integrity“ ein Integritätstest der Datenbank durchgeführt.
- 6. Mit „quit“ wird „file maintenance“ verlassen, aber Ntdsutil bleibt geöffnet.
- 7. „semantic database analysis“ öffnet die Verwaltung der Datenbankwartung.
- 8. „verbose on“ aktiviert detaillierte Informationen.
- 9. Der Befehl „go fixup“ löst die Reparatur der Datenbank aus.
Erstellen von Snapshots der Active-Directory-Datenbank
In Windows Server 2016 können Snapshots der Active-Directory-Datenbank erstellt werden. Snapshots werden als Schattenkopie der Datenbank erstellt. Die Bereitstellung der Snapshots der Active-Directory-Datenbank wird durch das Tool Dsamain durchgeführt:
- 1. In der Eingabeaufforderung wird „ntdsutil“ gestartet.
- 2. „snapshot“ startet die Verwaltung der Snapshots für die Datenbank.
- 3. „activate instance ntds“ aktiviert die produktive Active-Directory-Datenbank.
- 4. „create“ erstellt den Snapshot. Der Snapshot wird anschließend erstellt und dessen GUID angezeigt.
Der Befehl „mount <GUID des Snapshots>“ stellt einen Snapshot bereit. Mit „list mounted“ werden alle gemounteten Snapshots angezeigt. Der Befehl „unmount <GUID>“ hebt die Bereitstellung auf, „delete <GUID>“ löscht Snapshots wieder. Per Skript oder als geplante Aufgabe wird ein Snapshot auch durch die Eingabe des Befehls
„ntdsutil "activate instance ntds" snapshot create quit quit“
erstellt. Mit dem Befehl
„dsamain /dbpath <Pfad zur Datenbankdatei> /ldapport <Port>“kann eine Offlinekopie der Active-Directory-Datenbank als eigener LDAP-Server bereitgestellt werden.
(ID:45136742)
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944859/original.jpg "Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")