Für Unternehmen, die Active Directory (AD) verwenden, ist die Sicherung von Domänencontrollern (DCs) ein wesentlicher Bestandteil der AD-Sicherheit. DCs sind wichtige Komponenten der IT-Infrastruktur. Auf diesen Servern werden sensible und sicherheitsrelevante Daten gespeichert, darunter Informationen zu Benutzerkonten, Authentifizierungsdaten und Gruppenrichtlinienobjekte (GPOs). Daher ist die DC-Sicherheit natürlich ein wichtiger Bestandteil der AD-Sicherheit und der gesamten Cybersicherheitsstrategie Ihres Unternehmens.
Was macht einen Server zu einem Domänencontroller?
Um einen Windows-Server zu einem DC zu machen, installieren Sie die Active Directory Domain Services (AD DS) Rolle auf dem Server. Anschließend befördern Sie den Server über den Server Manager.
Wenn Sie den Server befördern, ändern sich viele seiner ursprünglichen Einstellungen. Zum Beispiel dürfen sich nur Mitglieder der Gruppe Administratoren in AD lokal oder über das Remote Desktop Protocol (RDP) am DC anmelden.
Im Gegensatz zu einem Windows-Server, der kein DC ist, verwendet ein DC keine lokalen Benutzer und Gruppen. Vielmehr verwendet der DC nur AD-basierte Benutzer und Gruppen. Mitglieder der Gruppe Domänenadministratoren in AD sind jedoch standardmäßig auch Mitglieder der Gruppe Administratoren. Daher hat jedes Konto, das Mitglied der Gruppe Domänenadministratoren ist, das Recht, sich lokal und über RDP bei jedem DC im Unternehmen anzumelden.
Aus Sicherheitsgründen empfiehlt Microsoft, die AD DS-Rolle und die Remote Desktop Service (RDS)- oder Terminal Server-Rolle nicht auf demselben Server zu installieren.
Wer kann auf Domänencontroller zugreifen?
Sie können Benutzern oder Gruppen DC-Anmelderechte gewähren, indem Sie das Standard-GPO für Domänencontroller in AD ändern oder ein GPO für die Organisationseinheit (OU) Domänencontroller erstellen und anwenden. Sie sollten diese Rechte jedoch nur auf die Benutzer oder Gruppen beschränken, die sie benötigen.
Vermeiden Sie die Vergabe von Anmelderechten an Standard-Benutzerkonten. Auch wenn es Situationen gibt, in denen sich Benutzer, die keine Administratoren sind, an einem DC anmelden müssen, können solche Berechtigungen das Risiko eines unbefugten Zugriffs und möglicher Sicherheitsverletzungen erhöhen.
Alle DCs sind standardmäßig Mitglieder der OU Domain Controllers. Daher wirken sich Änderungen an GPOs, die mit dieser OU verknüpft sind, auf alle DCs in der OU aus. Wenn Sie einem Standard-Benutzerkonto Rechte für die OU gewähren, kann dieser Benutzer im Grunde genommen auf alle DCs im Unternehmen zugreifen - aus Sicht der Sicherheit keine gute Idee.
Größere Unternehmen erstellen oft spezielle Rollen für Benutzer, die Wartungsarbeiten oder Upgrades für Anwendungen durchführen müssen, die auf DCs laufen. In kleineren Unternehmen oder Zweigstellen, in denen keine dedizierten Rollen zur Verfügung stehen, ist die Versuchung vielleicht größer, Benutzern, die keine Administratoren sind, Zugriff auf DCs zu gewähren. Widerstehen Sie dem!
Die Gefahr einer DC-Fehlkonfiguration
Wenn die Anzahl der DCs zunimmt und die Mitglieder des IT- und Sicherheitsteams im Laufe der Zeit wechseln, steigt auch das Risiko von Fehlkonfigurationen und Sicherheitslücken. In einigen Fällen kann diese schleichende Veränderung der Konfiguration unbemerkt bleiben oder missachtet werden, so dass die DCs anfällig für Sicherheitsverletzungen werden.
Daher ist es wichtig, angemessene Sicherheitskontrollen zu implementieren. Beschränken Sie den DC-Zugriff auf diejenigen Benutzer, die ihn zur Erfüllung ihrer Aufgaben benötigen. Auf diese Weise können Sie das Risiko eines unbefugten Zugriffs und möglicher Sicherheitsverletzungen verringern und die Sicherheit und Integrität der IT-Systeme und Daten Ihres Unternehmens stärken.
Sicherheitsbedrohungen für Domänencontroller
Es gibt einen Begriff für das, was passiert, wenn ein Angreifer Zugang zu einem beliebigen DC in Ihrem Unternehmen erhält: Game Over.
Wenn ein DC kompromittiert wird, können Angreifer Zugang zu den sensiblen Informationen auf diesem DC erhalten. Sie könnten auch Zugang zu anderen Systemen und Daten innerhalb Ihres Unternehmens erhalten. Bedrohungsakteure mit DC-Zugang können potenziell:
- Sie stehlen vertrauliche Informationen, wie z.B. Benutzeranmeldedaten, und können so auf andere Systeme und Daten innerhalb des Unternehmens zugreifen und Querbewegungen durchführen.
- Erstellen Sie neue Benutzerkonten mit administrativen Rechten, um ihnen mehr Kontrolle über die IT-Systeme und Daten des Unternehmens zu geben.
- Erhöhen Sie die Privilegien, damit sie die Sicherheitskontrollen umgehen und Zugriff auf sensible Daten erhalten können.
- Verbreitung von Malware oder Viren auf andere Systeme innerhalb des Unternehmens.
- Stören Sie den Betrieb, indem Sie wichtige Daten löschen oder verändern, Systeme herunterfahren oder Denial-of-Service-Angriffe (DoS) durchführen.
Wie Sie die Sicherheit von Domänencontrollern verbessern können
Führen Sie die folgenden Aktionen durch, um das potenzielle Risiko für die DC-Sicherheit zu verringern:
- Stellen Sie sicher, dass Tier 0-Objekte, wie z.B. die Gruppe Domain Admins in AD, nur relevante und notwendige Benutzerobjekte enthalten.
- Ermitteln Sie, welche GPOs mit der OU Domain Controllers in AD verknüpft sind.
- Für jedes verknüpfte GPO:
- Öffnen Sie Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten.
- Gehen Sie zum Abschnitt GPO.
- Vergewissern Sie sich, dass nur die Gruppe Administratoren (Domänenadministratoren) über das Recht Anmeldung über Remotedesktopdienste zulassen verfügt.
- Vergewissern Sie sich, dass nur die Gruppe Administratoren (Domain Admins) das Recht Lokale Anmeldung zulassen besitzt.
Kontinuierliche Bewertung der Sicherheit von Domain Controllern
Zusätzlich zu den vorgenannten Schritten sollten Sie Ihre Ereignisprotokolle genau auf fehlgeschlagene und erfolgreiche Anmeldungen bei allen Ihren DCs überwachen. Aber das ist noch nicht alles.
Sie können kostenlose Community-Tools verwenden wie Purple Knight und Forest Druid verwenden, um Ihre AD-Sicherheitslage kontinuierlich zu bewerten. Und erfahren Sie mehr über AD-Sicherheit und Best Practices wie Least Privilege und Zero Trust in den anderen Beiträgen unserer Serie AD Security 101.