:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Windows Server 2016 Active Directory, Virtualisierung und Cloud-Anbindung
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Mit Windows Server 2016 erhöht Microsoft deutlich die Sicherheit in Netzwerken und Active-Directory-Umgebungen. Die Virtualisierung und Anbindung der Cloud spielen eine noch wichtigere Rolle, Domänencontroller lassen sich besser virtualisieren und VMs werden besser geschützt.
Eine der wichtigsten Neuerungen in Windows Server 2016 bezüglich Active Directory sind vor allem die Verbesserungen in den Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS). Hier ist es zum Beispiel möglich, eine Zugriffsteuerung auf Basis bestimmter Bedingungen zu verwenden.
Diese Conditional Access Control ist vor allem für mobile Anwender interessant. Außerdem lassen sich Rechner mit Windows 10 über Geräteauthentifizierung an Windows Server 2016 anbinden. Microsoft zeigt die Möglichkeiten dazu im TechNet.
Microsoft Identity Manager 2016 und Privileged Access Management
Ab Windows Server 2016 ist es darüber hinaus schwieriger, mit Pass-the-hash-Angriffen an vertrauliche Anmeldedaten von Administratoren zu gelangen. Diese Angriffe zielen nicht auf die Kennwörter ab, sondern auf die Prüfsummen (Hashes), die in Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Dazu bietet Windows Server 2016 ein „Privileged Access Management“ (PAM) und den „Microsoft Identity Manager“ (MIM). Mit MIM wird eine neue Active Directory-Gesamtstruktur erstellt, PAM sorgt anschließend für den Schutz.
In diesem Zusammenhang spielt auch Microsoft Passport eine wichtige Rolle. Dieser Dienst für schlüsselbasierte Authentifizierung geht über die Anmeldung mit herkömmlichen Kennwörtern weit hinaus. Die Anmeldung mit Passport kann entweder zertifikatsbasiert stattfinden oder über einen PIN. Diese wird in Kombination mit dem Trusted Plattform Module (TPM) auf Rechnern genutzt, genauso wie für die Verwendung bei Bitlocker.
Für die Anmeldung über Microsoft Passport an Domänen mit Windows Server 2016 lassen sich aber auch biometrische Funktionen wie Fingerabdruckscanner oder die neue Windows Hello-Funktion in Windows 10 nutzen. Die Anmeldung mit Microsoft Passport ist vor allem für mobile Anwender mit Notebooks interessant. Auch hier zeigt Microsoft die Vorgehensweise genauer in Hilfe zu Microsoft Azure.
Microsoft Passport bietet SSO-Szenarien und die Möglichkeit, komplett ohne Kennwörter zu arbeiten. Das funktioniert für Active Directory, aber auch für zahlreiche Microsoft Cloud-Dienste und andere Anmeldebereiche. Microsoft hat in diesem Bereich auch einige neue Schema-Attribute in Active Directory integriert. Diese zeigen die verbesserten Authentifizierungsmöglichkeiten.
Neu sind zum Beispiel:
ms-DS-Expire-Passwords-On-Smart-Card-Only-Accounts
ms-DS-Token-Group-Names
ms-DS-Token-Group-Names-Global-And-Universal
ms-DS-Token-Group-Names-No-GC-Acceptable
ms-DS-User-Allowed-NTLM-Network-Authentication
ms-DS-Service-Allowed-NTLM-Network-Authentication
ms-DS-Strong-NTLM-Policy
ms-DS-Is-Compliant
ms-DS-Key-Id
ms-DS-Key-Material
ms-DS-Key-Usage
ms-DS-Key-Principal
ms-DS-Key-Principal-BL
ms-DS-Device-DN
ms-DS-Computer-SID
ms-DS-Custom-Key-Information
ms-DS-Key-Approximate-Last-Logon-Time-Stamp
ms-DS-Device-Trust-Type
ms-DS-Shadow-Principal-Sid
ms-DS-Key-Credential-Link
ms-DS-Key-Credential-Link-BL
Privileged Access Management – Admin auf Zeit
Um PAM mit Windows Server 2016 zu nutzen, sind mindestens zwei Active Directory-Gesamtstrukturen notwendig. Diese werden mit einer Vertrauensstellung miteinander verbunden. Die Administratorkonten werden in einer solchen Infrastruktur von der produktiven Domäne getrennt. Dadurch steigt enorm die Sicherheit im Netzwerk.
Die neue Gesamtstruktur mit den Administratorkonten wird auch als Bastion Active Directory Forest bezeichnet. Er wird durch den Microsoft Identity Manager zur Verfügung gestellt, überwacht und gesteuert. Der Vorteil dabei ist, dass die vorhandene Gesamtstruktur zu Windows Server 2016 aktualisiert werden kann, und die neue Gesamtstruktur mittels PAM zukünftig die Verwaltung steuert. Dadurch wird sofort eine deutlich erhöhte Sicherheit erreicht, da selbst kompromittierte AD-Umgebungen nach der Implementation von PAM sicher sind.
Zukünftig arbeiten Administratoren nicht mehr mit Administratorkonten in der Active Directory-Umgebung, sondern erhalten einen sogenannten Zugang mit Just Enough Administration (JEA). Dabei wird eine Gruppe an CMDlets in der PowerShell definiert, ebenso wie eine genaue Zielgruppe an Objekten, die für einen bestimmten administrativen Vorgang nötig sind.
Auch die Zeitdauer für diese Rechte wird über JEA gesteuert. Sobald der Zeitraum abgelaufen ist, kann der Zugang nicht mehr für die Administration genutzt werden, auch nicht für den fest definierten Zielbereich. Microsoft erklärt die Vorgehensweise im TechNet genauer.
Shadow Groups für mehr Sicherheit
Zusammen mit PAM, MIM, Windows Server 2016 und dem neuen Bastion Active Directory Forest werden Shadow Groups erstellt. Diese verfügen über administrative Rechte, jedoch ist die Mitgliedschaft zeitlich begrenzt. Dazu wird der TTL von Kerberos-Tickets enorm verringert, und die Gruppe stark überwacht. Die Zeitdauer lässt sich von Minuten, über Stunden, bis hin zu Monaten steuern, ist jedoch wie bisher niemals unendlich.
Microsoft Identity Manager 2016 mit Windows Server 2016
Um Active Directory-Umgebungen in Windows Server 2016 abzusichern, können Unternehmen auch auf den Microsoft Identity Manager 2016 setzen. Dabei handelt es sich um den Nachfolger von Forefront Identity Manager 2012 R2.
Mit MIM lassen sich nicht nur Benutzer in lokalen Active Directory-Umgebungen absichern, sondern auch Anmeldedaten mit der Cloud synchronisieren, zum Beispiel mit Office 365 oder Azure Active Directory. Viele Sicherheitsfunktionen in Windows Server 2016 lassen sich erst mit MIM 2016 optimal nutzen. In der neuen Version lassen sich auch Kennwörter verwalten, Zwei-Faktor-Authentifizierung nutzen und Active Directory-Attribute in Active Directory nutzen.
Azure Active Directory Join
Zusammen mit Windows 10 lassen sich mit Windows Server 2016 Rechner an Azure Active Directory anbinden, und mit PAM, MIM und anderen Diensten absichern. Sinnvoll ist das vor allem für Umgebungen mit vielen mobilen Anwendern und Bring-Your-Own-Device-Ansätzen sowie „Mobile Device Management“-Integration. Dadurch sind Single-Sign-On-Szenarien zusammen mit Windows Server 2016 möglich, genauso wie der Kiosk-Modus für einzelne Geräte.
Entfernte Funktionen in Windows Server 2016
Neben zahlreichen neuen Funktionen, hat Microsoft aber auch zwei Dienste abgeschafft. Der File Replication Service (FRS) und die Unterstützung für Windows Server 2003/2003 R2 sind nicht mehr in Windows Server 2016 enthalten. Auch die Funktionsebenen für Windows Server 2003 wurden aus den Domänen und der Gesamtstruktur entfernt. Network Access Protection (NAP) wurde aus DHCP entfernt. Diese Funktion hat ohnehin kaum Sicherheit geboten.
Fazit
Microsoft bietet mit Active Directory in Windows Server 2016 vor allem deutlich mehr Sicherheit, wenn es um die Authentifizierung von Anwendern und Administratoren geht. Auch die Anbindung von mobilen Geräten sowie der Betrieb zusammen mit der Cloud wurden deutlich verbessert.
Es lohnt sich also für Unternehmen, einen Blick auf die neue Server-Version zu setzen, vor allem wenn die Sicherheit im Netzwerk erhöht werden soll. In besonders sicheren Umgebungen sollte zusätzlich noch auf Microsoft Identity Manager 2016 gesetzt werden, denn erst zusammen mit diesem Produkt entfaltet Windows Server 2016 im Bereich Active Directory umfassend seine Möglichkeiten.
(ID:43864184)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")