Reduzieren der Angriffsfläche für Active Directory
In diesem Abschnitt geht es um die Implementierung von technischen Kontrollmechanismen, mit denen sich die Angriffsfläche einer Active Directory-Installation verringern lässt. Dieser Abschnitt enthält die folgenden Informationen:
Implementierung von Verwaltungsmodellen mit geringsten Rechten: Konzentriert sich auf die Identifizierung des Risikos, das die Verwendung von Konten mit umfassenden Rechten für die tägliche Verwaltung darstellt, und gibt Empfehlungen für die Implementierung, um das Risiko zu verringern, das Konten mit umfassenden Rechten darstellen.
Implementierung sicherer administrativer Hosts: Beschreibt die Grundsätze für die Bereitstellung dedizierter, sicherer administrativer Systeme sowie einige Beispiele für die Bereitstellung eines sicheren administrativen Hosts.
Sicherung von Domänencontrollern gegen Angriffe: Erörtert Richtlinien und Einstellungen, die zwar den Empfehlungen für die Implementierung sicherer administrativer Hosts ähneln, aber auch einige für Domänencontroller spezifische Empfehlungen enthalten, die dazu beitragen, dass die Domänencontroller und die zu ihrer Verwaltung verwendeten Systeme gut geschützt sind.
Privilegierte Konten und Gruppen in Active Directory
Dieser Abschnitt enthält Hintergrundinformationen zu Konten und Gruppen mit umfassenden Rechten in Active Directory, die die Gemeinsamkeiten von und Unterschiede zwischen Konten und Gruppen mit umfassenden Rechten in Active Directory erläutern sollen. Unabhängig davon, ob Sie die Empfehlungen in Implementierung von Verwaltungsmodellen mit geringsten Rechten wortwörtlich umsetzen oder sie an Ihre Organisation anpassen, verfügen Sie durch das Verständnis dieser Unterscheidungen über die notwendigen Tools, um jede Gruppe und jedes Konto angemessen zu schützen.
Integrierte privilegierte Konten und Gruppen
Active Directory erleichtert die Delegierung der Verwaltung und unterstützt das Prinzip der geringsten Rechte bei der Zuweisung von Rechten und Berechtigungen. „Normale“ Benutzer mit Konten in einer Domäne sind standardmäßig in der Lage, einen Großteil der im Verzeichnis gespeicherten Daten zu lesen, können aber nur eine sehr begrenzte Teilmenge von Daten im Verzeichnis ändern. Benutzer, die zusätzliche Rechte benötigen, kann die Mitgliedschaft in verschiedenen „privilegierten“ Gruppen gewährt werden, die in das Verzeichnis integriert sind, sodass sie bestimmte Aufgaben im Zusammenhang mit ihren Rollen ausführen können, aber keine Aufgaben ausführen können, die nicht zu ihrem Aufgabenbereich gehören. Organisationen können auch Gruppen erstellen, die auf bestimmte Aufgaben zugeschnitten sind und granulare Rechte und Berechtigungen erhalten, mit denen IT-Fachkräfte alltägliche Verwaltungsfunktionen ausführen können, ohne ihnen Rechte und Berechtigungen zu gewähren, die über das für diese Funktionen erforderliche Maß hinausgehen.
In Active Directory gibt es drei integrierte Gruppen, die im Verzeichnis über die höchsten Rechte verfügen: Unternehmensadministratoren, Domänenadministratoren und Administratoren. Die Standardkonfiguration und -funktionalität jeder dieser Gruppen werden in den folgenden Abschnitten beschrieben:
Gruppen mit höchsten Rechten in Active Directory
Organisationsadministratoren
„Unternehmensadministratoren“ (Enterprise Admins, EA) ist eine Gruppe, die nur in der Stammdomäne der Gesamtstruktur vorhanden ist und standardmäßig Mitglied der Gruppe „Administratoren“ in allen Domänen der Gesamtstruktur ist. Das integrierte Konto „Administrator“ in der Stammdomäne der Gesamtstruktur ist das einzige Standardmitglied der Gruppe „Unternehmensadministratoren“. Unternehmensadministratoren erhalten Rechte und Berechtigungen, die es ihnen ermöglichen, gesamtstrukturweite Änderungen zu implementieren (d. h. Änderungen, die sich auf alle Domänen in der Gesamtstruktur auswirken), z. B. das Hinzufügen oder Entfernen von Domänen, das Einrichten von Gesamtstruktur-Vertrauensstellungen oder das Erhöhen von Gesamtstruktur-Funktionsebenen. In einem ordnungsgemäß entworfenen und implementierten Delegierungsmodell ist Mitgliedschaft in der Gruppe „Unternehmensadministratoren“ nur beim ersten Erstellen der Gesamtstruktur oder bei bestimmten gesamtstrukturweiten Änderungen erforderlich, z. B. beim Einrichten einer ausgehenden Gesamtstruktur-Vertrauensstellung. Die meisten Rechte und Berechtigungen, die der Gruppe „Unternehmensadministratoren“ gewährt werden, können an Benutzer und Gruppen mit geringeren Rechten delegiert werden.
Domänenadministratoren
Jede Domäne in einer Gesamtstruktur verfügt über ihre eigene Gruppe „Domänenadministratoren“ (Domain Admins, DA), die Mitglied der Gruppe „Administratoren“ der jeweiligen Domäne ist und Mitglied der lokalen Gruppe „Administratoren“ auf jedem Computer, der in die Domäne eingebunden ist. Das einzige Standardmitglied der Gruppe „Domänenadministratoren“ einer Domäne ist das integrierte Konto „Administrator“ für diese Domäne. Domänenadministratoren sind innerhalb ihrer Domänen „allmächtig“, während Unternehmensadministratoren gesamtstrukturweite Rechte haben. In einem ordnungsgemäß konzipierten und implementierten Delegationsmodell sollte eine Mitgliedschaft in der Gruppe „Domänenadministratoren“ nur in Notfallszenarien erforderlich sein, z. B. in Situationen, in denen ein Konto mit einer hohen Privilegienebene auf jedem Computer in der Domäne erforderlich ist. Obwohl die nativen Delegierungsmechanismen von Active Directory eine Delegierung in dem Maße erlauben, dass die Verwendung von Domänenadministratorkonten nur in Notfallszenarien möglich ist, kann die Erstellung eines effektiven Delegierungsmodells zeitaufwendig sein, und viele Organisationen nutzen Anwendungen von Drittanbietern, um den Prozess zu beschleunigen.
Administrators
Die dritte Gruppe ist die integrierte lokale Administratorgruppe (BA) der Domäne, in der Domänenadministratoren und Unternehmensadministratoren geschachtelt sind. Dieser Gruppe werden viele der direkten Rechte und Berechtigungen im Verzeichnis und auf Domänencontrollern gewährt. Die Gruppe „Administratoren“ einer Domäne verfügt jedoch nicht über Rechte auf Mitgliedsservern oder Arbeitsstationen. Über die Mitgliedschaft in der lokalen Administratorgruppe des Computers werden lokale Rechte gewährt.
Hinweis
Obwohl dies die Standardkonfigurationen dieser privilegierten Gruppen sind, kann ein Mitglied einer der drei Gruppen das Verzeichnis dahingehend ändern, dass es Mitglied in einer der anderen Gruppen wird. In einigen Fällen ist es sehr einfach, in anderen schwieriger zu erreichen, aber aus der Perspektive potenzieller Rechte sollten alle drei Gruppen als gleichwertig betrachtet werden.
Schema-Admins
Eine vierte privilegierte Gruppe, „Schemaadministratoren“ (Schema Admins, SA), ist nur in der Stammdomäne der Gesamtstruktur vorhanden und verfügt nur über das integrierte Administratorkonto dieser Domäne als Standardmitglied, ähnlich der Gruppe „Unternehmensadministratoren“. Die Gruppe „Schemaadministratoren“ soll nur vorübergehend und gelegentlich aufgefüllt werden (wenn eine Änderung des AD DS-Schemas erforderlich ist).
Obwohl die Gruppe „Schemaadministratoren“ die einzige Gruppe ist, die das Active Directory-Schema (d. h. die dem Verzeichnis zugrunde liegenden Datenstrukturen wie Objekte und Attribute) ändern kann, ist der Umfang der Rechte und Berechtigungen der Gruppe „Schemaadministratoren“ eingeschränkter als die zuvor beschriebenen Gruppen. Es ist auch üblich, dass Organisationen geeignete Praktiken für die Verwaltung der Mitgliedschaft in der Gruppe „Schemaadministratoren“ entwickelt haben, da die Mitgliedschaft in der Gruppe in der Regel selten und nur für kurze Zeit benötigt wird. Dies gilt technisch gesehen auch für die EA-, DA- und BA-Gruppen in Active Directory, aber es ist viel seltener festzustellen, dass Organisationen ähnliche Praktiken für diese Gruppen wie für die SA-Gruppe implementiert haben.
Geschützte Konten und Gruppen in Active Directory
In Active Directory werden eine Standardgruppe von privilegierten Konten und Gruppen namens „geschützte“ Konten und Gruppen anders als andere Objekte im Verzeichnis geschützt. Jedes Konto mit direkter oder transitiver Mitgliedschaft in einer geschützten Gruppe (unabhängig davon, ob die Mitgliedschaft von Sicherheits- oder Verteilergruppen abgeleitet ist) erbt diese eingeschränkte Sicherheit.
Wenn ein Benutzer beispielsweise Mitglied einer Verteilergruppe ist, die wiederum Mitglied einer geschützten Gruppe in Active Directory ist, wird dieses Benutzerobjekt als geschütztes Konto gekennzeichnet. Wenn ein Konto als geschütztes Konto gekennzeichnet ist, wird der Wert des Attributs „adminCount“ für das Objekt auf 1 festgelegt.
Hinweis
Obwohl die transitive Mitgliedschaft in einer geschützten Gruppe geschachtelte Verteilung und geschachtelte Sicherheitsgruppen umfasst, erhalten Konten, die Mitglieder geschachtelter Verteilergruppen sind, die SID der geschützten Gruppe nicht in ihren Zugriffstoken. Verteilergruppen können jedoch in Active Directory zu Sicherheitsgruppen konvertiert werden, weshalb Verteilergruppen in der Enumeration geschützter Gruppenmitglieder enthalten sind. Sollte eine geschützte geschachtelte Verteilergruppe jemals zu einer Sicherheitsgruppe konvertiert werden, erhalten die Konten, die Mitglieder der früheren Verteilergruppe sind, bei der nächsten Anmeldung die SID der übergeordneten geschützten Gruppe in ihren Zugriffstoken.
In der folgenden Tabelle sind die standardmäßig geschützten Konten und Gruppen in Active Directory nach Betriebssystemversion und Service Pack-Ebene aufgeführt.
Standardmäßig geschützte Konten und Gruppen in Active Directory nach Betriebssystem und Service Pack (SP)-Version
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| Administrators | Konten-Operatoren | Konten-Operatoren | Konten-Operatoren |
| Administrator | Administrator | Administrator | |
| Administrators | Administrators | Administrators | |
| Domänenadministratoren | Sicherungsoperatoren | Sicherungsoperatoren | Sicherungsoperatoren |
| Zertifikatherausgeber | |||
| Domänenadministratoren | Domänenadministratoren | Domänen-Admins | |
| Organisations-Admins | Domänencontroller | Domänencontroller | Domänencontroller |
| Organisationsadministratoren | Organisationsadministratoren | Organisationsadministratoren | |
| Krbtgt | Krbtgt | Krbtgt | |
| Druckoperatoren | Druckoperatoren | Druckoperatoren | |
| Read-only-Domänencontroller | |||
| Replicator | Replicator | Replicator | |
| Schema-Admins | Schema-Admins | Schema-Admins |
AdminSDHolder und SDProp
Im Systemcontainer jeder Active Directory-Domäne wird automatisch ein Objekt namens AdminSDHolder erstellt. Der Zweck des AdminSDHolder-Objekts besteht darin, sicherzustellen, dass die Berechtigungen für geschützte Konten und Gruppen konsistent erzwungen werden, unabhängig davon, wo sich die geschützten Gruppen und Konten in der Domäne befinden.
Alle 60 Minuten (standardmäßig) wird ein Prozess namens Security Descriptor Propagator (SDProp) auf dem Domänencontroller, der die PDC-Emulatorrolle der Domäne enthält, ausgeführt. SDProp vergleicht die Berechtigungen für das AdminSDHolder-Objekt der Domäne mit den Berechtigungen für die geschützten Konten und Gruppen in der Domäne. Wenn die Berechtigungen für eines der geschützten Konten und Gruppen nicht mit den Berechtigungen für das AdminSDHolder-Objekt übereinstimmen, werden die Berechtigungen für die geschützten Konten und Gruppen so zurückgesetzt, dass sie denen des AdminSDHolder-Objekts der Domäne entsprechen.
Die Berechtigungsvererbung ist für geschützte Gruppen und Konten deaktiviert. Dies bedeutet, dass die Konten oder Gruppen, auch wenn sie an andere Speicherorte im Verzeichnis verschoben werden, keine Berechtigungen von ihren neuen übergeordneten Objekten erben. Die Vererbung ist auch für das AdminSDHolder-Objekt deaktiviert, sodass Berechtigungen für die übergeordneten Objekte nicht die Berechtigungen von AdminSDHolder ändern.
Hinweis
Wenn ein Konto aus einer geschützten Gruppe entfernt wird, wird es nicht mehr als geschütztes Konto betrachtet, aber sein Attribut „adminCount“ bleibt auf 1 festgelegt, wenn es nicht manuell geändert wird. Das Ergebnis dieser Konfiguration ist, dass die ACLs des Objekts nicht mehr von SDProp aktualisiert werden, aber das Objekt weiterhin keine Berechtigungen von seinem übergeordneten Objekt erbt. Daher kann sich das Objekt in einer Organisationseinheit befinden, an die Berechtigungen delegiert wurden, aber das zuvor geschützte Objekt erbt diese delegierten Berechtigungen nicht. Ein Skript zum Suchen und Zurücksetzen von ehemals geschützten Objekten in der Domäne finden Sie im Microsoft-Support-Artikel 817433.
AdminSDHolder – Eigentum
Die meisten Objekte in Active Directory sind im Besitz der BA-Administratatorgruppe der Domäne. Das AdminSDHolder-Objekt ist jedoch standardmäßig im Besitz der DA-Administratorgruppe der Domäne. (Dies ist eine Situation, in der DA-Administratoren ihre Rechte und Berechtigungen nicht über die Mitgliedschaft in der Gruppe „Administratoren“ für die Domäne ableiten.)
In Versionen von Windows vor Windows Server 2008 können Besitzer eines Objekts die Berechtigungen des Objekts ändern, einschließlich der Gewährung von Berechtigungen, die sie ursprünglich nicht hatten. Daher verhindern die Standardberechtigungen für das AdminSDHolder-Objekt einer Domäne, dass Benutzer, die Mitglieder von BA- oder EA-Gruppen sind, die Berechtigungen für das AdminSDHolder-Objekt einer Domäne ändern. Mitglieder der Gruppe „Administratoren“ für die Domäne können jedoch den Besitz des Objekts übernehmen und sich zusätzliche Berechtigungen erteilen, was bedeutet, dass dieser Schutz rudimentär ist und das Objekt nur vor versehentlichen Änderungen durch Benutzer schützt, die nicht Mitglieder der DA-Administratorgruppe in der Domäne sind. Darüber hinaus verfügen die Gruppen BA und EA (sofern zutreffend) über die Berechtigung, die Attribute des AdminSDHolder-Objekts in der lokalen Domäne (Stammdomäne für EA) zu ändern.
Hinweis
Ein Attribut für das AdminSDHolder-Objekt, „dSHeuristics“, ermöglicht eine eingeschränkte Anpassung (Entfernung) von Gruppen, die als geschützte Gruppen gelten und von AdminSDHolder und SDProp betroffen sind. Diese Anpassung sollte sorgfältig geprüft werden, wenn sie implementiert wird, obwohl es gültige Umstände gibt, unter denen Änderungen von „dSHeuristics“ in AdminSDHolder nützlich sind. Weitere Informationen zum Ändern des dSHeuristics-Attributs für ein AdminSDHolder-Objekt finden Sie in den Microsoft-Support Artikeln 817433 und in Anhang C: Geschützte Konten und Gruppen in Active Directory.
Obwohl hier die Gruppen mit den umfassendsten Rechten in Active Directory beschrieben werden, gibt es eine Reihe anderer Gruppen, denen erhöhte Berechtigungsebenen gewährt wurden. Weitere Informationen zu allen Standard- und integrierten Gruppen in Active Directory und den jeweils zugewiesenen Benutzerrechten finden Sie unter Anhang B: Privilegierte Konten und Gruppen in Active Directory.