:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp: DNS-Sicherheit DNS in Windows-Netzwerken absichern
DNS ist in Windows-Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber es sollten auch Sicherheitsaspekte eine wichtige Rolle spielen. Die Namensauflösung ist ein zentraler Part in Netzwerken, der auch entsprechend gesichert werden muss. Wir zeigen in diesem Video-Tipp worauf man achten muss.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
DNS ist schnell in Betrieb, vor allem in Umgebungen mit Windows-Servern. Nach der Einrichtung sollten aber noch Sicherheitseinstellungen auf Ebene der DNS-Server, Zonen und auch in den Benutzerberechtigungen vorgenommen werden.
Wie man die Sicherheit von DNS in Windows-Server-Umgebungen sicherstellt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599744/original.jpg "Über dynamische Updates lässt sich steuern, welche Rechner das Recht haben, sich in der DNS-Zone zu registrieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599745/original.jpg "Berechtigungen von DNS-Zonen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599746/original.jpg "Festlegen der Replikation von DNS-Zonen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599747/original.jpg "Konfigurieren von DNS-Einstellungen beim Verteilen von IP-Adressen mit DHCP.")
DNS-Zonen absichern
Um DNS-Server auf Basis von Windows-Servern nach der Einrichtung abzusichern, sollten zuerst einige, grundlegende Schritte vorgenommen werden. Zunächst sollte in den Eigenschaften der DNS-Zonen auf der Registerkarte „Allgemein“ die Option „Nur sichere“ bei „Dynamische Updates“ eingestellt werden. Das stellt sicher, dass nur authentifizierte Rechner das Recht haben dynamische Einträge zu erstellen. Wer es ganz sicher haben will, deaktiviert dynamische Updates und erstellt alle Einträge selbst.
Auf der gleichen Registerkarte gibt es die Option „Replikation“. Hier kann eingestellt werden, welche DNS-Server die Daten der DNS-Zone erhalten dürfen. Auch diese Option sollte so eingestellt werden, dass sie den Sicherheitsanforderungen im Unternehmen entspricht.
Ist ein DNS-Server gleichzeitig Domänencontroller, kann auf dieser Registerkarte auch gleich gesteuert werden, ob die DNS-Daten in Active Directory integriert und durch die Active Directory-Replikation auf andere DNS-Server und Domänencontroller repliziert werden soll.
Über die Registerkarte „Namenserver“ sollte überprüft werden, ob die richtigen Server eingetragen sind. Veraltete oder unerwünschte Server sollten hier nicht auftauchen. Auch die Registerkarte „Sicherheit“ und die Benutzergruppe „DNSAdmins“ sollte überprüft werden.
DHCP beachten
In den Einstellungen auf DHCP-Servern wird festgelegt, dass Clients, die eine IP-Adresse von einem internen DHCP-Server haben, in der DNS-Zone eingetragen werden. Die Einstellungen lassen sich im DHCP-Bereich anpassen. Hier kann übrigens auch festgelegt werden, mit welchem Benutzerkonto der DHCP-Server auf den DNS-Server zugreift, um die Eintragungen vorzunehmen.
:quality(80)/images.vogel.de/vogelonline/bdb/1578600/1578610/original.jpg "Windows Server 2019 ermöglicht Unternehmen durch neue Features, dass Daten zuverlässig und sicher gespeichert werden. (Funtap - stock.adobe.com)")
Microsoft-Netzwerke mit Exchange, SharePoint und SQL 2019 sicher betreiben
Datenschutz mit Windows Server 2019
Best Practices Analyzer für DNS nutzen
Wenn die DNS-Infrastruktur im Einsatz ist, sollte nach der Einrichtung und auch im regelmäßigen Betrieb, der Best Practices Analyzer des Server-Managers auf Windows-Servern verwendet werden, um die Einstellungen und die Sicherheit zu überprüfen. Dazu wird zunächst der Server-Manager aufgerufen. Bereits beim Aufrufen sollte zumindest die DNS-Kachel grün umrandet sein, damit klar ist, dass hier keine Fehler vorliegen.
Durch einen Klick auf „DNS“ im Server-Manager werden die DNS-Server angezeigt, mit denen der Server-Manager verbunden ist. Im unteren Bereich ist zusätzlich noch der Kasten „Best Practices Analyzer“ zu sehen. Über „Aufgaben / BPA-Überprüfung starten“, werden die einzelnen DNS-Server überprüft, und Meldungen angezeigt. Werden nicht alle DNS-Server an dieser Stelle aufgeführt, lassen sich diese im Server-Manager über „Verwalten / Server hinzufügen“ integrieren.
Die Überprüfung dauert eine Weile. Nach der Überprüfung erscheinen teilweise Meldungen. Hier zeigt der BPA Probleme auf, deren Konsequenz und gibt Tipps, um Probleme zu lösen. Die Meldungen sollten nicht ignoriert werden. Alle Meldungen sollten durchgearbeitet, und dann das Problem gelöst werden. Über das Kontextmenü lassen sich die Meldungen auch kopieren, zum Beispiel für die Zwischenablage.
Wie man die Sicherheit von DNS in Windows-Server-Umgebungen sicherstellt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
DNSSEC nutzen
In einer sicheren Umgebung sollten die DNS-Zonen zusätzlich digital signiert werden. Dadurch werden die Einträge in den Zonen geschützt. Der Vorteil besteht darin, dass Clients im Netzwerk die Antwort eines DNS-Servers auf eine Anfrage validieren können. Das schützt vor Spoofing und vor Manipulationen des Namensauflösungscaches. Die Einrichtung ist in Windows Server 2016/2019 und Windows Server 2022 kein größeres Problem.
Die digitale Signierung kann über die DNS-Verwaltung (dnsmgmt.msc) erfolgen. Dazu wird die entsprechende Zone mit der rechten Maustaste angeklickt und die Option „DNSSEC/Zone signieren“ gewählt. Ist die Zone bereits signiert, lassen sich hier die Einstellungen anpassen, oder die Signatur wieder entfernen. Durch das Aufrufen dieses Befehls startet ein Assistent für die Einrichtung von DNSSEC.
Die Einrichtung kann auch von Administratoren vorgenommen werden, die keine umfassenden Kenntnisse im Umgang mit Optionen für die DNS-Signierung haben. Dazu bietet der Assistent die Option „Standardeinstellungen für die Zonensignierung verwenden“. Diese Option bietet sich an. Nachträglich lassen sich Einstellungen immer noch anpassen. Im Anschluss müssen nur noch 1-2 Fenster bestätigt werden. Danach wird die Zone als digital signiert angezeigt. Signierte Zonen erhalten ein anderes Icon, sodass in der DNS-Verwaltung zu erkennen ist, welche Zonen digital signiert wurden.
Über das Kontextmenü und der Auswahl von DNSSEC lassen sich die Einstellungen der Signierung natürlich nachträglich anpassen. Dadurch können Administratoren ihre DNS-Zonen recht schnell absichern und danach diese Absicherung noch optimieren oder an die Anforderungen der Sicherheits-Abteilung anpassen. Hier lassen sich zum Beispiel auch der Schlüssel für die eigentliche Signatur festlegen. Sind die notwendigen Schlüssel erstellt, also der Schlüsselsignaturschlüssel (Key Signing Key, KSK) und der Zonensignaturschlüssel (Zone Signing Key, ZSK), lassen sich diese in den Eigenschaften auf der entsprechenden Registerkarte („KSK“ und „ZSK“) anpassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1916400/1916410/original.jpg "Mit dem Windows Admin Center lassen sich Infos zu Servern abrufen und auch Sicherheitseinstellungen verbessern. (Sikov - stock.adobe.com)")
Video-Tipp: Windows Admin Center
Server-Sicherheit mit dem Windows Admin Center
Änderungen nach der Signierung von DNS-Zonen
Wenn eine Zone signiert wurde, erhält sie als Icon ein kleines Schloss. Außerdem lassen sich über das Kontextmenü bei „DNSSEC“ in der Verwaltung der Signierung Einstellungen nachträglich anpassen. Dazu kommen neue Einträge in der Zone. Hier sind die Standard-Einträge zu sehen, sowie die RR-Signatur für die einzelnen Einträge.
Damit die Clients im Netzwerk die Signatur nutzen können, muss eine Gruppenrichtlinieneinstellung angepasst werden. Idealerweise sollte für die Einrichtung eine eigene Gruppenrichtlinie erstellt werden.
Die Einstellungen dazu sind bei „Computerkonfiguration / Richtlinien / Windows-Einstellungen / Namensauflösungsrichtlinie“. Bei „Suffix“ wird das DNS-Suffix eingetragen. Dieses entspricht dem Namen der signierten Zone. Danach erfolgt die Aktivierung der Optionen „DNSSEC in dieser Regel aktivieren“ und „Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden“. Anschließend wird auf „Erstellen“ und „Anwenden“ geklickt.
Schreibgeschützte Domänencontroller verwenden
In Active Directory lassen sich für unsichere Standorte von Domänencontroller auch schreibgeschützte Domänencontroller verwenden (Read-Only Domain Controller, RODC). Diese Domänencontroller nehmen keine Änderungen entgegen, sondern empfangen nur Änderungen von schreibenden Domänencontroller. Auch RODCs unterstützen signierte DNS-Zonen. Dazu legt der Server eine sekundäre Zone an und kopiert die gesicherten Daten. Das heißt, auch in Niederlassungen, bei denen die Domänencontroller nicht abgesichert werden können, lässt sich DNS-Signierung nutzen.
Sekundäre Zonen konfigurieren
Auch sekundäre DNS-Zonen lassen sich absichern. Wichtig ist in diesem Bereich, dass auf der Registerkarte „Zonenübertragungen“ eines primären Servers die Option „Zonenübertragungen zulassen“ aktiviert wird und danach die Server festgelegt, werden, welche die DNS-Zone als sekundäre Zone erhalten sollen.
Erweiterte Einstellungen für DNS-Server setzen
In den Eigenschaften von DNS-Servern steht die Registerkarte „Erweitert“ zur Verfügung. Hier lassen sich Serveroptionen steuern, mit denen auch die Sicherheit verbessert wird. Die Option „Rekursionsvorgang (und Weiterleitungen) deaktivieren“ stellt sicher, dass der Server keinerlei Anfragen an andere DNS-Server weitergibt.
Mit „Cache vor Beschädigungen sichern“ wird verhindert, dass der Cache von DNS-Server manipuliert wird. Das wird häufig über Abfrageergebnisse von Weiterleitungen erreicht.
Wie man die Sicherheit von DNS in Windows-Server-Umgebungen sicherstellt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:46063979)
:quality(80)/images.vogel.de/vogelonline/bdb/1693600/1693622/original.jpg "Um ihr Active Directory (AD) und die DNS-Server besser schützen zu können, sollten sich Admins auch mit den Richtlinien im DNS auseinandersetzen. (areebarbar - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944859/original.jpg "Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen. (Gorodenkoff - stock.adobe.com)")