Sean Deuby | Leitender Technologe

Sollten Sie Ihre bestehende AD-Gesamtstruktur auf Windows Server 2016 Active Directory (auch bekannt als AD 2016) aktualisieren oder sollten Sie sie so belassen, wie sie ist? Trotz des Fokus und der Aktivitäten rund um die Einführung von Cloud-Diensten bleibt die Tatsache bestehen, dass Active Directory weiterhin die Grundlage für alles ist. Neben der langjährigen Dominanz als Identitätsquelle vor Ort verwendet die große Mehrheit der mittelständischen bis großen Unternehmen weltweit ein hybrides Identitätsmodell, das auf AD basiert, für ihre Cloud-Dienste. Daher ist dies eine wichtige Frage.

Ein wichtiger Grund, warum IT-Abteilungen ihre AD-Umgebung nicht auf Windows Server 2016 aktualisiert haben, ist, dass sie nicht glauben, dass es eine klare und überzeugende "Heldenfunktion" wie den AD-Papierkorb gibt, die das Upgrade rechtfertigt. Wenn Sie einer von ihnen sind, sollten Sie sich Windows Server 2016 genau ansehen.

Lassen Sie uns anhand von Szenarien - geschäftlichen und technischen Beispielen von Umgebungen und Anforderungen, die auch Sie haben könnten - die wichtigsten Verbesserungen von Active Directory und Betriebssystemsicherheit von Windows Server seit 2008 R2 betrachten. Passt eines dieser Szenarien auf Ihr Unternehmen?

Wenn Sie Ihre DCs virtualisieren

Virtualisierung ist nun schon seit vielen Jahren weit verbreitet, aber die Virtualisierung von DCs ist aus zwei guten Gründen oft hinter anderen Arbeitslasten zurückgeblieben: Integrität und Sicherheit. Wenn Sie einige oder alle Ihre DCs virtualisiert haben, gibt es sowohl im Basisbetriebssystem von Windows Server 2016 als auch in AD wichtige Integritäts- und Sicherheitsverbesserungen, die Sie sofort nutzen sollten.

Ein Problem bei der Virtualisierung einer Anwendung wie AD, die ihren Status verfolgt, besteht darin, dass der wiederhergestellte DC nicht merkt, dass er nicht mehr mit den anderen DCs synchronisiert ist, wenn er von einem früheren VM-Snapshot wiederhergestellt wird. Dieser Zustand kann zu schwerwiegenden Divergenzfehlern in Ihrer Domäne oder Forst führen. Windows Server 2012 hat sowohl in AD als auch in Hyper-V eine Funktion eingeführt, die VM-GenID, die AD im Wesentlichen mitteilt, dass es von einem Snapshot wiederhergestellt wurde und dass es entsprechende Maßnahmen ergreifen muss, um sich zu schützen.

Nachdem der DC über die Snapshot-Wiederherstellung informiert wurde, verwirft er seinen RID-Pool und setzt die Aufruf-ID (die Versionsnummer der AD-Datenbank) zurück, um Divergenzprobleme zu vermeiden. (Es ist jedoch immer noch keine gute Idee, DCs regelmäßig aus Snapshots wiederherzustellen.) VMware, Xen und andere Virtualisierungsanbieter haben diese Methode ebenfalls übernommen, so dass Ihre DCs nicht unbedingt auf Hyper-V basieren müssen.

Wenn Ihre DCs auf dem Stand von Windows Server 2012 oder 2012 R2 sind und Sie Ihre DCs aufgrund von Sicherheitsbedenken im Zusammenhang mit den Host-Servern noch nicht virtualisiert haben, bietet Windows Server 2016 eine wichtige Funktion für Sie. Das neueste Betriebssystem behebt ein grundlegendes Sicherheitsproblem bei jeder VM: Jeder, der über Administratorrechte auf dem Hostrechner verfügt, kann die Dateien der VM einfach vom Host kopieren und sie nach Belieben hacken. Ein DC ist ein bevorzugtes Ziel für diesen Angriff, da er natürlich die Benutzerkennungen und Kennwörter aller Mitarbeiter des Unternehmens enthält. Die Funktion Shielded VMs schützt virtuelle Maschinen vor kompromittierten oder böswilligen Administratoren wie Storage-Administratoren, Backup-Administratoren usw., indem sie die Festplatte und den Status der virtuellen Maschinen verschlüsselt, so dass nur VM- oder Tenant-Administratoren darauf zugreifen können.

Unterstützung für Ihre Kunden in einer hybriden Welt

Ein Unternehmen besteht natürlich nicht nur aus seinen Servern. Auch die Clients, mit denen die Benutzer interagieren, sind wichtig. Früher musste sich die IT-Abteilung nur um die Windows-Clients kümmern, die mit der Domäne verbunden sind, aber heute haben Geschäftsanwender eine große Auswahl. Über mehrere Versionen hinweg hat sich AD angepasst, um diese größere Vielfalt zu bewältigen.

Wenn Ihr Unternehmen die "digitale Transformation" von Cloud-Diensten nutzt - insbesondere Azure Active Directory mit Windows 10-Clients - gibt es ein Szenario, in dem Sie sich AD 2016 genauer ansehen sollten. Zunächst ein wenig Hintergrundwissen zur Geräteunterstützung in AD hilft Ihnen, das Szenario zu verstehen.

Active Directory unterstützt seit jeher Windows-Geräte, die einer Domäne beigetreten sind. Seit Windows Server 2012 R2 kann ein Benutzer auch ein mobiles Gerät (z.B. ein Smartphone) in AD registrieren (Sie können sich das wie einen einfachen Beitritt vorstellen). Diese Workplace Join-Funktion verleiht dem Gerät eine Präsenz in AD und ordnet es einem Benutzer zu. Diese Zuordnung verleiht dem Gerät ein höheres Maß an Vertrauen als einem unbekannten Gerät, so dass ihm eine einmalige Anmeldung und der Zugriff auf sicherere Netzwerkressourcen gewährt werden kann.

Der kleine Bruder von AD in der Cloud - Azure AD - unterstützt ebenfalls diese beiden Gerätetypen. Sie können sie direkt mit dem Cloud-Dienst verbinden, indem Sie Azure AD join für Windows 10-Geräte und die Intune-Registrierung für iOS-, Android- und Mac OS-Geräte verwenden. Diese verwirrende Architektur wird in einer hybriden Umgebung mit lokalen Windows 7- und 8-Clients noch verwirrender. Azure AD kann über einen hybriden Azure AD-Join auf diese Geräte aufmerksam gemacht werden, die für die Anwendung von gerätebezogenen Zugriffsrichtlinien erforderlich sind.

Möchten Sie Windows Hello for Business einsetzen, um eine sichere Authentifizierung über Passwörter hinaus zu ermöglichen? Hello bietet Ihnen die Möglichkeit, Ihr Windows 10 Gerät mit einem biometrischen Merkmal oder einer PIN zu entsperren. Hello for Business ist ein umfassenderes MFA-Framework, das asymmetrische Schlüssel (die im Sicherheitsmodul eines Geräts gespeichert sind) zur Authentifizierung des Benutzers verwendet. Es gibt ein MFA-Szenario in einer hybriden Active Directory / Azure AD Umgebung, in der Sie sowohl AD 2016 als auch AD FS 2016 benötigen. Ich werde in einem zukünftigen Blogbeitrag über die Gründe für ein Upgrade auf AD FS 2016 sprechen.

Mehr Sicherheit

Unabhängig von den AD-Verbesserungen gibt es einen Sicherheitsvorteil, den Sie durch ein Upgrade auf das zugrunde liegende Windows Server 2016 Betriebssystem erhalten. Sollten Sie noch mit 2008 R2 arbeiten, erhalten Sie mit dem Upgrade eine Benutzeroberfläche für den AD-Papierkorb, die dessen Verwendung erheblich erleichtert. Außerdem können Sie damit beginnen, eine seit langem bestehende Sicherheitslücke zu schließen: uralte, unveränderliche Passwörter auf Ihren Dienstkonten: gMSAs (group managed service accounts) aktualisieren das Passwort dieser Konten automatisch für Sie, selbst wenn sie in einem Cluster verwendet werden.

Wenn Sie bereits mit 2012 R2 arbeiten, bietet Windows Server 2016 einige Sicherheitsverbesserungen, die Sie beachten sollten. Windows Defender Credential Guard und Remote Guard schützen NTLM- und Kerberos-Anmeldeinformationen in AD davor, von Angreifern abgefangen und für Pass-the-Hash-Angriffe verwendet zu werden. Windows Defender Application Control schützt die Integrität des Basis-Betriebssystems, indem es nur die Ausführung bestimmter Anwendungen zulässt (auch bekannt als Whitelisting) - eine großartige Sicherheitsmaßnahme für einen Server, auf dem ein dedizierter Workload wie AD läuft.

Privileged Access Management für AD

Wenn Sie die Anweisung haben, Ihre AD-Administratorkonten wirklich abzuschotten, führt AD 2016 auch Privileged Access Management (PAM) ein. In Verbindung mit einer dedizierten MIM-Bereitstellung ist PAM ein spezieller, hochgradig gesicherter "roter" Forest, den Sie aufbauen und der die administrativen Gruppen eines Ziel-AD-Forests kontrolliert.

AD 2016 bietet Aktualisierungen für Sicherheitsgruppen, so genannte Shadow Principals, die es ermöglichen, dass Administratorengruppen in der Zielstruktur über eine neue Form des Forest Trusts in der roten Struktur "beschattet" werden können. Wenn ein Administratorkonto im roten Forest zu einer Schatten-Administratorgruppe in diesem Forest hinzugefügt wird, erhält es die gleiche SID wie die Administratorgruppe und damit die gleichen Rechte. Mit dieser Funktion werden administrative Konten aus der Zielstruktur entfernt und existieren nur noch in der gesicherten roten Struktur.

AD 2016 bietet auch Aktualisierungen des Kerberos-Protokolls, die eine zeitlich begrenzte Gruppenmitgliedschaft (gespeichert im PAC-Feld des Kerberos-Tickets) ermöglichen. In Kombination mit Shadow Principals und dem in MIM integrierten Workflow für Zugriffsanfragen können Administratoren Admin-Rechte (über die Gruppenmitgliedschaft) für einen bestimmten Zeitraum anfordern und erhalten. Wenn die Zeit abgelaufen ist, werden diese Rechte automatisch entzogen.

Gründe, dort zu bleiben, wo Sie sind

Ehrlich gesagt, gibt es nicht viele Gründe, auf einer niedrigeren Stufe AD zu bleiben.

Wenn Sie einen Testforest in einem isolierten Netzwerk haben, der auf physischen DCs läuft und keine Client-Geräte unterstützt, können Sie vielleicht ein wenig warten.

Vielleicht ist das Budget im Moment ein Problem. Ihr Management muss das größere Bild sehen: Die meisten Unternehmen haben weit weniger als fünfzig DCs. Die Kosten für die Lizenzierung, das Upgrade und die Bereitstellung neuer Funktionen auf diesen Servern sind trivial im Vergleich zu den Kosten eines Einbruchs, bei dem Domänen-Zugangsdaten von älteren AD-Versionen erlangt werden.

Die AD-Kompatibilität mit sehr alten Anwendungen oder alter eingebetteter Client-Software, die auf sehr teurer Hardware wie z.B. computergesteuerten Fertigungsanlagen läuft, kann ein dornigeres Problem sein. Aber 2008 R2 wird nicht mehr lange lebensfähig sein: Das Ende des Supports (mit SP1, wohlgemerkt) ist am14. Januar 2020. Das ist nur noch ein Jahr und vier Monate entfernt. Das Ende des Supports bedeutet, dass Microsoft keine Sicherheitsupdates mehr bereitstellen wird - ein wichtiger Service in der heutigen Katz-und-Maus-Welt der Sicherheitslücken und Patches. 2012 und 2012 R2 Wälder haben mehr Zeit: 10. Oktober 2023. (Beachten Sie, dass sowohl 2012 als auch R2 das gleiche End-of-Support-Datum haben).

Empfehlungen

Meine Empfehlungen sind:

  • Wenn Ihre DCs mit 2008 R2 laufen, sollten Sie unabhängig von den oben genannten Szenarien Ihre Upgrades planen und die Anwendungskompatibilität sofort testen.
  • Für Benutzer von 2012 oder 2012 R2 rechtfertigen die Verbesserungen bei der Virtualisierung und der Sicherheit des Basis-Betriebssystems ein Upgrade. Sie sollten auch mit den Server-Engineering- und Sicherheitsteams zusammenarbeiten, um die Einführung der Sicherheitsverbesserungen von 2016 im standardisierten Plattform-Build-Image voranzutreiben. Probleme mit der Anwendungskompatibilität dürften sich in Grenzen halten.
  • Sofern Sie nicht in das spezielle hybride Hello for Business-Szenario passen, sind Verbesserungen in der Geräteverwaltung kein starker Antrieb für AD 2016.

Wenn Sie sich ein Upgrade auf AD 2016 im Vergleich zu einem Verbleib in Ihrem bisherigen System genau ansehen, gibt es außer der Anwendungskompatibilität eigentlich keine guten Gründe, die gegen ein Upgrade sprechen. Der Hauptgrund für das Nicht-Upgrade ist wahrscheinlich Selbstzufriedenheit: Es funktioniert gut, so wie es ist. Aber die Sicherheitsverbesserungen sowohl im Basisbetriebssystem als auch in AD werden den Schutz Ihres Unternehmens vor Angreifern erheblich verbessern. Und das bedeutet, dass Sie noch heute mit der Planung Ihrer Upgrades beginnen sollten.