Anhang I: Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active Directory

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Eine der Herausforderungen beim Implementieren eines Active Directory-Modells, das sich nicht auf die dauerhafte Mitgliedschaft in hoch privilegierten Gruppen stützt, besteht darin, dass es einen Mechanismus geben muss, diese Gruppen aufzufüllen, wenn temporäre Mitgliedschaft in den Gruppen erforderlich ist. Einige privilegierte Identitätsverwaltungslösungen erfordern, dass die Dienstkonten der Software eine dauerhafte Mitgliedschaft in Gruppen wie DA oder Administratoren in jeder Domäne in der Gesamtstruktur gewährt werden. Es ist jedoch technisch nicht erforderlich, dass Privileged Identity Management (PIM)-Lösungen ihre Dienste in solchen hochgradig privilegierten Kontexten ausführen.

Dieser Anhang enthält Informationen, die Sie für systemeigene Implementierungs- oder Drittanbieter-PIM-Lösungen verwenden können, um Konten zu erstellen, die eingeschränkte Berechtigungen haben und streng kontrolliert werden können, können jedoch verwendet werden, um privilegierte Gruppen in Active Directory aufzufüllen, wenn temporäre Erhöhung erforderlich ist. Wenn Sie PIM als native Lösung implementieren, können diese Konten von administrativen Mitarbeitern verwendet werden, um die temporäre Gruppengesamtheit auszuführen, und wenn Sie PIM über Software von Drittanbietern implementieren, können Sie diese Konten möglicherweise als Dienstkonten anpassen.

Hinweis

Die in diesem Anhang beschriebenen Verfahren bieten einen Ansatz für die Verwaltung von hoch privilegierten Gruppen in Active Directory. Sie können diese Verfahren an Ihre Anforderungen anpassen, zusätzliche Einschränkungen hinzufügen oder einige der hier beschriebenen Einschränkungen auslassen.

Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active Directory

Erstellen von Konten, die zum Verwalten der Mitgliedschaft privilegierter Gruppen verwendet werden können, ohne dass die Verwaltungskonten übermäßige Rechte und Berechtigungen gewährt werden müssen, besteht aus vier allgemeinen Aktivitäten, die in den schrittweisen Anweisungen beschrieben werden:

  1. Zunächst sollten Sie eine Gruppe erstellen, die die Konten verwaltet, da diese Konten von einer begrenzten Gruppe vertrauenswürdiger Benutzer verwaltet werden sollten. Wenn Sie nicht bereits über eine OU-Struktur verfügen, die privilegierte und geschützte Konten und Systeme von der allgemeinen Bevölkerung in der Domäne trennt, sollten Sie eine erstellen. Obwohl bestimmte Anweisungen in diesem Anhang nicht bereitgestellt werden, zeigen Screenshots ein Beispiel für eine solche OU-Hierarchie an.

  2. Erstellen Sie die Verwaltungskonten. Diese Konten sollten als "reguläre" Benutzerkonten erstellt werden und keine Benutzerrechte über diejenigen hinaus gewährt werden, die benutzern bereits standardmäßig gewährt werden.

  3. Implementieren Sie Einschränkungen für die Verwaltungskonten, die sie nur für den speziellen Zweck verwenden, für den sie erstellt wurden, zusätzlich zum Steuern, wer die Konten aktivieren und verwenden kann (die Gruppe, die Sie im ersten Schritt erstellt haben).

  4. Konfigurieren Sie Berechtigungen für das AdminSDHolder-Objekt in jeder Domäne, damit die Verwaltungskonten die Mitgliedschaft der privilegierten Gruppen in der Domäne ändern können.

Sie sollten alle diese Verfahren gründlich testen und nach Bedarf für Ihre Umgebung ändern, bevor Sie sie in einer Produktionsumgebung implementieren. Sie sollten auch überprüfen, ob alle Einstellungen wie erwartet funktionieren (einige Testverfahren werden in diesem Anhang bereitgestellt), und Sie sollten ein Notfallwiederherstellungsszenario testen, in dem die Verwaltungskonten nicht verfügbar sind, um geschützte Gruppen für Wiederherstellungszwecke aufzufüllen. Weitere Informationen zum Sichern und Wiederherstellen von Active Directory finden Sie in der Schrittweisen Anleitung zur AD DS-Sicherung und -Wiederherstellung.

Hinweis

Indem Sie die in diesem Anhang beschriebenen Schritte implementieren, erstellen Sie Konten, die die Mitgliedschaft aller geschützten Gruppen in jeder Domäne verwalten können, nicht nur die höchsten Active Directory-Gruppen wie EAs, DAs und BAs. Weitere Informationen zu geschützten Gruppen in Active Directory finden Sie im Anhang C: Geschützte Konten und Gruppen in Active Directory.

Schrittweise Anleitungen zum Erstellen von Verwaltungskonten für geschützte Gruppen

Erstellen einer Gruppe zum Aktivieren und Deaktivieren von Verwaltungskonten

Verwaltungskonten sollten ihre Kennwörter bei jeder Verwendung zurücksetzen und deaktiviert werden, wenn Aktivitäten abgeschlossen sind. Obwohl Sie möglicherweise auch Smartcard-Anmeldeanforderungen für diese Konten implementieren, ist es eine optionale Konfiguration und diese Anweisungen gehen davon aus, dass die Verwaltungskonten mit einem Benutzernamen und einem langen, komplexen Kennwort als Mindeststeuerelemente konfiguriert werden. In diesem Schritt erstellen Sie eine Gruppe mit Berechtigungen zum Zurücksetzen des Kennworts auf den Verwaltungskonten und zum Aktivieren und Deaktivieren der Konten.

Führen Sie die folgenden Schritte aus, um eine Gruppe zu erstellen, um Verwaltungskonten zu aktivieren und zu deaktivieren:

  1. Klicken Sie in der OU-Struktur, in der Sie die Verwaltungskonten enthalten, mit der rechten Maustaste auf die OU, in der Sie die Gruppe erstellen möchten, klicken Sie auf "Neu ", und klicken Sie auf "Gruppe".

    Screenshot that shows how to select the Group menu option.

  2. Geben Sie im Dialogfeld "Neues Objekt – Gruppe " einen Namen für die Gruppe ein. Wenn Sie diese Gruppe verwenden möchten, um alle Verwaltungskonten in Ihrer Gesamtstruktur zu aktivieren, können Sie es zu einer universellen Sicherheitsgruppe machen. Wenn Sie über eine einzelne Domänenstruktur verfügen oder eine Gruppe in jeder Domäne erstellen möchten, können Sie eine globale Sicherheitsgruppe erstellen. Klicken Sie auf OK, um die Gruppe zu erstellen.

    Screenshot that shows where to enter the group name in the New Object - Group dialog box.

  3. Klicken Sie mit der rechten Maustaste auf die gruppe, die Sie gerade erstellt haben, klicken Sie auf "Eigenschaften", und klicken Sie auf die Registerkarte "Objekt ". Wählen Sie im Dialogfeld "Objekteigenschaft der Gruppe" die Option " Objekt vor versehentlicher Löschung schützen" aus, wodurch nicht nur autorisierte Benutzer die Gruppe löschen, sondern auch in eine andere OU verschieben, es sei denn, das Attribut wird zuerst deaktiviert.

    Screenshot that shows the Object tab.

    Hinweis

    Wenn Sie bereits Berechtigungen für die übergeordneten OUs der Gruppe konfiguriert haben, um die Verwaltung auf eine begrenzte Gruppe von Benutzern einzuschränken, müssen Sie möglicherweise die folgenden Schritte nicht ausführen. Sie werden hier bereitgestellt, damit Sie die Gruppe auch dann sichern können, wenn Sie noch keine eingeschränkte administrative Kontrolle über die OU-Struktur implementiert haben, in der Sie diese Gruppe erstellt haben, können Sie die Gruppe vor der Änderung durch nicht autorisierte Benutzer sichern.

  4. Klicken Sie auf die Registerkarte "Mitglieder ", und fügen Sie die Konten für Mitglieder Ihres Teams hinzu, die für die Aktivierung von Verwaltungskonten oder zum Auffüllen geschützter Gruppen bei Bedarf verantwortlich sind.

    Screenshot that shows the accounts on the Members tab.

  5. Wenn Sie dies noch nicht getan haben, klicken Sie in der Active Directory-Benutzer und -Computer Konsole auf "Anzeigen", und wählen Sie "Erweiterte Features" aus. Klicken Sie mit der rechten Maustaste auf die gruppe, die Sie gerade erstellt haben, klicken Sie auf "Eigenschaften", und klicken Sie auf die Registerkarte "Sicherheit ". Klicken Sie auf der Registerkarte "Sicherheit " auf "Erweitert".

    Screenshot that shows the Advanced button on the Security tab.

  6. Klicken Sie im Dialogfeld "Erweiterte Sicherheit Einstellungen" für [Gruppe] auf "Vererbung deaktivieren". Wenn Sie aufgefordert werden, klicken Sie auf "Geerbte Berechtigungen konvertieren" in explizite Berechtigungen für dieses Objekt, und klicken Sie auf "OK ", um zum Dialogfeld " Sicherheit " der Gruppe zurückzukehren.

    Screenshot that shows where to select Convert inherited permissions into explicit permissions on this object option.

  7. Entfernen Sie auf der Registerkarte "Sicherheit " Gruppen, die nicht auf diese Gruppe zugreifen dürfen. Wenn Sie beispielsweise nicht möchten, dass authentifizierte Benutzer den Namen und die allgemeinen Eigenschaften der Gruppe lesen können, können Sie dieses ACE entfernen. Sie können auch ACEs entfernen, z. B. für Kontooperatoren und vorab Windows 2000 Server kompatiblen Zugriff. Sie sollten jedoch einen mindesten Satz von Objektberechtigungen platzieren. Lassen Sie die folgenden ACEs intakt:

    • SELF

    • SYSTEM

    • Domänenadministratoren

    • Organisationsadministratoren

    • Administrators

    • Windows Autorisierungszugriffsgruppe (falls zutreffend)

    • DOMÄNENCONTROLLER DER ORGANISATION

    Obwohl es möglicherweise unauffällig scheint, die höchsten privilegierten Gruppen in Active Directory zu verwalten, ist Ihr Ziel bei der Implementierung dieser Einstellungen nicht, um Mitglieder dieser Gruppen zu verhindern, autorisierte Änderungen vorzunehmen. Vielmehr besteht das Ziel darin, sicherzustellen, dass wenn Sie eine Möglichkeit haben, sehr hohe Berechtigungen zu benötigen, autorisierte Änderungen erfolgreich sein. Aus diesem Grund wird die Änderung von Standard-Privilegierten Gruppenschachtelung, Rechten und Berechtigungen in diesem Dokument abgeraten. Wenn Sie standardmäßig Strukturen intakt lassen und die Mitgliedschaft der höchsten Berechtigungsgruppen im Verzeichnis leeren, können Sie eine sicherere Umgebung erstellen, die weiterhin wie erwartet funktioniert.

    Screenshot that shows the Permissions for Authenticated Users section.

    Hinweis

    Wenn Sie die Überwachungsrichtlinien für die Objekte in der OU-Struktur, in der Sie diese Gruppe erstellt haben, nicht bereits konfiguriert haben, sollten Sie die Überwachung so konfigurieren, dass Änderungen dieser Gruppe protokolliert werden.

  8. Sie haben die Konfiguration der Gruppe abgeschlossen, die zum "Auschecken" von Verwaltungskonten verwendet wird, wenn sie benötigt werden und die Konten "einchecken", wenn ihre Aktivitäten abgeschlossen wurden.

Erstellen der Verwaltungskonten

Sie sollten mindestens ein Konto erstellen, das verwendet wird, um die Mitgliedschaft privilegierter Gruppen in Ihrer Active Directory-Installation zu verwalten, und vorzugsweise ein zweites Konto, das als Sicherung dienen soll. Unabhängig davon, ob Sie die Verwaltungskonten in einer einzigen Domäne in der Gesamtstruktur erstellen und ihnen Verwaltungsfunktionen für alle geschützten Gruppen der Domänen gewähren oder ob Sie sich entscheiden, Verwaltungskonten in jeder Domäne in der Gesamtstruktur zu implementieren, sind die Verfahren effektiv identisch.

Hinweis

Die Schritte in diesem Dokument gehen davon aus, dass Sie noch keine rollenbasierten Zugriffssteuerelemente und privilegierte Identitätsverwaltung für Active Directory implementiert haben. Daher müssen einige Verfahren von einem Benutzer ausgeführt werden, dessen Konto Mitglied der Gruppe "Domänenadministratoren" für die betreffende Domäne ist.

Wenn Sie ein Konto mit DA-Berechtigungen verwenden, können Sie sich bei einem Domänencontroller anmelden, um die Konfigurationsaktivitäten auszuführen. Schritte, die keine DA-Berechtigungen erfordern, können durch weniger privilegierte Konten ausgeführt werden, die bei administrativen Arbeitsstationen angemeldet sind. Screenshots, die Dialogfelder anzeigen, die in der helleren blauen Farbe festgelegt sind, stellen Aktivitäten dar, die auf einem Domänencontroller ausgeführt werden können. Screenshots, die Dialogfelder in der dunkleren blauen Farbe anzeigen, stellen Aktivitäten dar, die auf administrativen Arbeitsstationen mit Konten mit eingeschränkten Berechtigungen ausgeführt werden können.

Führen Sie die folgenden Schritte aus, um die Verwaltungskonten zu erstellen:

  1. Melden Sie sich bei einem Domänencontroller mit einem Konto an, das mitglied der DA-Gruppe der Domäne ist.

  2. Starten Sie Active Directory-Benutzer und -Computer, und navigieren Sie zu der OU, in der Sie das Verwaltungskonto erstellen.

  3. Klicken Sie mit der rechten Maustaste auf die OU, und klicken Sie auf "Neu ", und klicken Sie auf "Benutzer".

  4. Geben Sie im Dialogfeld "Neues Objekt – Benutzer " Ihre gewünschten Benennungsinformationen für das Konto ein, und klicken Sie auf "Weiter".

    Screenshot that shows where to enter the naming information.

  5. Geben Sie ein anfängliches Kennwort für das Benutzerkonto an, deaktivieren Sie das Kennwort bei der nächsten Anmeldung, wählen Sie "Benutzer kann das Kennwort nicht ändern " und " Konto" deaktiviert sein, und klicken Sie auf "Weiter".

    Screenshot that shows where to provide the initial password.

  6. Stellen Sie sicher, dass die Kontodetails korrekt sind und auf "Fertig stellen" klicken.

  7. Klicken Sie mit der rechten Maustaste auf das Benutzerobjekt, das Sie gerade erstellt haben, und klicken Sie auf "Eigenschaften".

  8. Klicken Sie auf die Registerkarte Konto.

  9. Wählen Sie im Feld "Kontooptionen " das Konto vertraulich aus und können nicht delegiertes Flag sein, wählen Sie die Kerberos AES 128-Bit-Verschlüsselung und/oder das Konto unterstützt Kerberos AES 256-Verschlüsselungszeichen , und klicken Sie auf "OK".

    Screenshot that shows the options you should select.

    Hinweis

    Da dieses Konto wie andere Konten eine begrenzte, aber leistungsstarke Funktion hat, sollte das Konto nur für sichere administrative Hosts verwendet werden. Für alle sicheren administrativen Hosts in Ihrer Umgebung sollten Sie die Gruppenrichtlinie Einstellung netzwerksicherheit implementieren: Konfigurieren von Verschlüsselungstypen, die für Kerberos zulässig sind, um nur die sichersten Verschlüsselungstypen zu ermöglichen, die Sie für sichere Hosts implementieren können.

    Obwohl die Implementierung sichererer Verschlüsselungstypen für die Hosts keine Anmeldeinformationen-Diebstahlangriffe verringert, wird die entsprechende Verwendung und Konfiguration der sicheren Hosts ausgeführt. Das Festlegen einer stärkeren Verschlüsselungstypen für Hosts, die nur von privilegierten Konten verwendet werden, reduziert einfach die gesamte Angriffsoberfläche der Computer.

    Weitere Informationen zum Konfigurieren von Verschlüsselungstypen auf Systemen und Konten finden Sie unter Windows Konfigurationen für den unterstützten Kerberos-Verschlüsselungstyp.

    Diese Einstellungen werden nur auf Computern unterstützt, auf denen Windows Server 2012, Windows Server 2008 R2, Windows 8 oder Windows 7 ausgeführt werden.

  10. Wählen Sie auf der Registerkarte "Objekt " die Option " Objekt vor versehentlicher Löschung schützen" aus. Dies verhindert nicht nur, dass das Objekt gelöscht wird (auch von autorisierten Benutzern), sondern verhindert, dass es in eine andere OU in Ihrer AD DS-Hierarchie verschoben wird, es sei denn, das Kontrollkästchen wird zuerst von einem Benutzer mit Berechtigung zum Ändern des Attributs gelöscht.

    Screenshot that shows the Protect object from accidental deletion option on the Object tab.

  11. Klicken Sie auf die Registerkarte "Remotesteuerung ".

  12. Deaktivieren Sie das Flag "Remotesteuerung aktivieren ". Es sollte niemals erforderlich sein, dass Mitarbeiter eine Verbindung mit den Sitzungen dieses Kontos herstellen müssen, um Korrekturen zu implementieren.

    Screenshot that shows the cleared Enable remote control option.

    Hinweis

    Jedes Objekt in Active Directory sollte über einen bestimmten IT-Besitzer und einen bestimmten Geschäftsbesitzer verfügen, wie in "Planung für Kompromittierung" beschrieben. Wenn Sie den Besitz von AD DS-Objekten in Active Directory nachverfolgen (im Gegensatz zu einer externen Datenbank), sollten Sie entsprechende Besitzerinformationen in die Eigenschaften dieses Objekts eingeben.

    In diesem Fall ist der Geschäftsbesitzer wahrscheinlich eine IT-Abteilung, und es gibt kein Verbot für Geschäftsbesitzer auch IT-Besitzer. Der Zeitpunkt der Einrichtung des Besitzes von Objekten besteht darin, Dass Sie Kontakte identifizieren können, wenn Änderungen an den Objekten vorgenommen werden müssen, vielleicht Jahre von der ursprünglichen Erstellung.

  13. Klicken Sie auf die Registerkarte "Organisation ".

  14. Geben Sie alle Informationen ein, die in Ihren AD DS-Objektstandards erforderlich sind.

    Screenshot that shows where to enter the information required in your AD DS object standards.

  15. Klicken Sie auf die Registerkarte "Einwahl ".

  16. Wählen Sie im Feld "Netzwerkzugriffsberechtigung" die Option "Zugriff verweigern" aus. Dieses Konto sollte niemals eine Verbindung über eine Remoteverbindung herstellen müssen.

    Screenshot that shows the Deny access option.

    Hinweis

    Es ist unwahrscheinlich, dass dieses Konto verwendet wird, um sich bei schreibgeschützten Domänencontrollern (RODCs) in Ihrer Umgebung anzumelden. Sollte jedoch der Fall sein, dass sich das Konto bei einem RODC anmelden muss, sollten Sie dieses Konto der Gruppe "Abgelehnte RODC-Kennwortreplikation" hinzufügen, damit das Kennwort nicht im RODC zwischengespeichert wird.

    Obwohl das Kennwort des Kontos nach jeder Verwendung zurückgesetzt werden sollte und das Konto deaktiviert werden sollte, hat die Implementierung dieser Einstellung keine löschenden Auswirkungen auf das Konto, und es kann in Situationen helfen, in denen ein Administrator das Kennwort des Kontos zurücksetzt und deaktiviert.

  17. Klicken Sie auf die Registerkarte Mitglied von.

  18. Klicken Sie auf Hinzufügen.

  19. Geben Sie die RODC-Kennwortreplikationsgruppe in das Dialogfeld "Benutzer auswählen", "Kontakte", "Computer " ein, und klicken Sie auf "Namen überprüfen". Wenn der Name der Gruppe in der Objektauswahl unterstrichen ist, klicken Sie auf "OK ", und vergewissern Sie sich, dass das Konto jetzt mitglied der beiden Gruppen ist, die im folgenden Screenshot angezeigt werden. Fügen Sie das Konto keiner geschützten Gruppe hinzu.

  20. Klicken Sie auf OK.

    Screenshot that shows the OK button.

  21. Klicken Sie auf die Registerkarte "Sicherheit ", und klicken Sie auf "Erweitert".

  22. Klicken Sie im Dialogfeld "Erweiterte Sicherheit Einstellungen" auf "Vererbung deaktivieren", und kopieren Sie die geerbten Berechtigungen als explizite Berechtigungen, und klicken Sie auf "Hinzufügen".

    Screenshot that shows the Block Inheritence dialog box.

  23. Klicken Sie im Dialogfeld "Berechtigungseintrag für [Konto] auf "Prinzipal auswählen " und fügen Sie die Gruppe hinzu, die Sie im vorherigen Verfahren erstellt haben. Scrollen Sie zum unteren Rand des Dialogfelds, und klicken Sie auf "Alle löschen ", um alle Standardberechtigungen zu entfernen.

    Screenshot that shows the Clear all button.

  24. Scrollen Sie zum Oberen Rand des Dialogfelds " Berechtigungseintrag ". Stellen Sie sicher, dass die Dropdownliste "Typ" auf "Zulassen" festgelegt ist, und wählen Sie in der Dropdownliste " Gilt"nur dieses Objekt aus.

  25. Wählen Sie im Feld "Berechtigungen " die Option " Alle Eigenschaften lesen", "Berechtigungen lesen" und "Kennwort zurücksetzen" aus.

    Screenshot that shows the Read all properties, Read permissions, and Reset password options.

  26. Wählen Sie im Feld "Eigenschaften" die Option "UserAccountControl lesen" und "UserAccountControl schreiben" aus.

  27. Klicken Sie im Dialogfeld "Erweiterte Sicherheit Einstellungen" erneut auf "OK".

    Screenshot that shows the OK button in the Advanced Security Settings dialog box.

    Hinweis

    Das UserAccountControl-Attribut steuert mehrere Kontokonfigurationsoptionen. Sie können keine Berechtigung erteilen, nur einige der Konfigurationsoptionen zu ändern, wenn Sie dem Attribut Schreibberechtigungen erteilen.

  28. Entfernen Sie im Feld "Gruppe" oder "Benutzernamen " der Registerkarte "Sicherheit " alle Gruppen, die nicht auf das Konto zugreifen oder verwalten dürfen. Entfernen Sie keine Gruppen, die mit Deny ACEs konfiguriert wurden, z. B. die Gruppe "Jeder" und das SELBST berechnete Konto (das ACE wurde festgelegt, wenn der Benutzer die Kennwortkennzeichnung nicht ändern kann , während der Erstellung des Kontos aktiviert wurde. Entfernen Sie auch nicht die Gruppe, die Sie gerade hinzugefügt haben, das SYSTEM-Konto oder Gruppen wie EA, DA, BA oder die Windows Autorisierungszugriffsgruppe.

    Screenshot that shows the Group or user names section on the Security tab.

  29. Klicken Sie auf "Erweitert", und überprüfen Sie, ob das Dialogfeld "Erweiterte Sicherheit" Einstellungen dem folgenden Screenshot ähnelt.

  30. Klicken Sie erneut auf 'OK', und ' OK ', um das Eigenschaftendialogfeld des Kontos zu schließen.

    Screenshot that shows the Advanced Security Settings dialog box.

  31. Die Einrichtung des ersten Verwaltungskontos ist jetzt abgeschlossen. Sie testen das Konto in einem späteren Verfahren.

Erstellen zusätzlicher Verwaltungskonten

Sie können zusätzliche Verwaltungskonten erstellen, indem Sie die vorherigen Schritte wiederholen, indem Sie das gerade erstellte Konto kopieren oder ein Skript erstellen, um Konten mit Ihren gewünschten Konfigurationseinstellungen zu erstellen. Beachten Sie jedoch, dass, wenn Sie das gerade erstellte Konto kopieren, viele der angepassten Einstellungen und ACLs nicht in das neue Konto kopiert werden, und Sie müssen die meisten Konfigurationsschritte wiederholen.

Sie können stattdessen eine Gruppe erstellen, an die Sie Rechte zum Auffüllen und Auffüllen geschützter Gruppen delegieren, aber Sie müssen die Gruppe und die Konten sichern, die Sie darin platzieren. Da in Ihrem Verzeichnis nur wenige Konten vorhanden sind, die die Möglichkeit zum Verwalten der Mitgliedschaft geschützter Gruppen erhalten, ist das Erstellen einzelner Konten möglicherweise der einfachste Ansatz.

Unabhängig davon, wie Sie eine Gruppe erstellen möchten, in der Sie die Verwaltungskonten platzieren, sollten Sie sicherstellen, dass jedes Konto wie zuvor beschrieben gesichert ist. Außerdem sollten Sie die Implementierung von GPO-Einschränkungen in Betracht ziehen, die in Anhang D beschrieben sind: Sichern von Built-In Administratorkonten in Active Directory.

Überwachungsverwaltungskonten

Sie sollten die Überwachung auf dem Konto so konfigurieren, dass sie mindestens alle Schreibvorgänge in das Konto protokolliert. Auf diese Weise können Sie nicht nur die erfolgreiche Aktivierung des Kontos identifizieren und sein Kennwort während autorisierter Verwendungen zurücksetzen, sondern auch Versuche von nicht autorisierten Benutzern identifizieren, das Konto zu bearbeiten. Fehler bei Schreibvorgängen auf dem Konto sollte im System für Sicherheitsinformationen und Ereignisüberwachung (SOFERN zutreffend) erfasst werden und Warnungen auslösen, die den Mitarbeitern Benachrichtigungen zur Untersuchung potenzieller Kompromittierungen bereitstellen.

SIEM-Lösungen nutzen Ereignisinformationen aus beteiligten Sicherheitsquellen (z. B. Ereignisprotokolle, Anwendungsdaten, Netzwerkdatenströme, Antischadsoftwareprodukte und Angriffserkennungsquellen), ordnen die Daten zusammen und versuchen, intelligente Ansichten und proaktive Aktionen zu erstellen. Es gibt viele kommerzielle SIEM-Lösungen, und viele Unternehmen erstellen private Implementierungen. Eine gut konzipierte und entsprechend implementierte SIEM kann die Funktionen zur Sicherheitsüberwachung und Zur Reaktion auf Vorfälle erheblich verbessern. Die Funktionen und Genauigkeit variieren jedoch enorm zwischen Lösungen. SIEMs sind über den Umfang dieses Dokuments hinaus, aber die spezifischen Ereignisempfehlungen, die enthalten sind, sollten von jedem SIEM-Implementierungsprogramm berücksichtigt werden.

Weitere Informationen zu empfohlenen Konfigurationseinstellungen für Überwachungskonfigurationen für Domänencontroller finden Sie unter Überwachen von Active Directory für Gefährdungszeichen. Domänencontrollerspezifische Konfigurationseinstellungen werden in der Überwachung von Active Directory für Gefährdungszeichen bereitgestellt.

Aktivieren von Verwaltungskonten zum Ändern der Mitgliedschaft geschützter Gruppen

In diesem Verfahren konfigurieren Sie Berechtigungen für das AdminSDHolder-Objekt der Domäne, damit die neu erstellten Verwaltungskonten die Mitgliedschaft geschützter Gruppen in der Domäne ändern können. Dieses Verfahren kann nicht über eine grafische Benutzeroberfläche (GUI) ausgeführt werden.

Wie in Anhang C: Geschützte Konten und Gruppen in Active Directory beschrieben, wird die ACL für das AdminSDHolder-Objekt einer Domäne effektiv in geschützte Objekte kopiert, wenn die SDProp-Aufgabe ausgeführt wird. Geschützte Gruppen und Konten erben ihre Berechtigungen nicht vom AdminSDHolder-Objekt; ihre Berechtigungen werden explizit auf die Berechtigungen für das AdminSDHolder-Objekt festgelegt. Wenn Sie die Berechtigungen für das AdminSDHolder-Objekt ändern, müssen Sie diese daher für Attribute ändern, die dem Typ des geschützten Objekts entsprechen, das Sie adressieren möchten.

In diesem Fall erhalten Sie die neu erstellten Verwaltungskonten, damit sie das Member-Attribut in Gruppenobjekten lesen und schreiben können. Das AdminSDHolder-Objekt ist jedoch kein Gruppenobjekt und Gruppenattribute werden im grafischen ACL-Editor nicht verfügbar gemacht. Aus diesem Grund implementieren Sie die Berechtigungsänderungen über das Befehlszeilenprogramm Dsacls. Führen Sie die folgenden Schritte aus, um die Mitgliedschaft geschützter Gruppen zu ändern, um die Berechtigungen für die Verwaltung von (deaktivierten) Verwaltungskonten zu erteilen:

  1. Melden Sie sich bei einem Domänencontroller an, vorzugsweise der Domänencontroller, der die ROLLE PDC Emulator (PDCE) enthält, mit den Anmeldeinformationen eines Benutzerkontos, das mitglied der DA-Gruppe in der Domäne wurde.

    Screenshot that shows where to enter the credentials for the user account.

  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, indem Sie mit der rechten Maustaste auf die Eingabeaufforderung klicken, und klicken Sie auf "Als Administrator ausführen".

    Screenshot that shows the Run as administrator menu option.

  3. Wenn Sie aufgefordert werden, die Erhöhung zu genehmigen, klicken Sie auf "Ja".

    Screenshot that shows where to select Yes to approve the elevation.

    Hinweis

    Weitere Informationen zur Erhöhung und Benutzerkontensteuerung (UAC) in Windows finden Sie unter UAC-Prozesse und Interaktionen auf der TechNet-Website.

  4. Geben Sie an der Eingabeaufforderung dsacls [unterschiedener Name des AdminSDHolder-Objekts in Ihrer Domäne] /G [Verwaltungskonto UPN]:RPWP;-Mitglied ein (substituiert Ihre domänenspezifischen Informationen) ein.

    Screenshot that shows the command prompt.

    Der vorherige Befehl (bei dem die Groß-/Kleinschreibung nicht beachtet wird) funktioniert wie folgt:

    • Dsacls legt ACEs auf Verzeichnisobjekten fest oder zeigt sie an

    • CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft identifiziert das zu ändernde Objekt

    • /G gibt an, dass eine Zuweisungs-ACE konfiguriert wird

    • PIM001@tailspintoys.msft ist der Benutzerprinzipalname (USER Principal Name, UPN) des Sicherheitsprinzipals, dem die ACEs gewährt werden

    • RPWP gewährt Leseeigenschafts- und Schreibeigenschaftenberechtigungen

    • Member ist der Name der Eigenschaft (Attribut), auf der die Berechtigungen festgelegt werden.

    Wenn Sie weitere Informationen zur Verwendung von Dsacls verwenden möchten, geben Sie Dsacls ohne Parameter an einer Eingabeaufforderung ein.

    Wenn Sie mehrere Verwaltungskonten für die Domäne erstellt haben, sollten Sie den Befehl "Dsacls" für jedes Konto ausführen. Wenn Sie die ACL-Konfiguration für das AdminSDHolder-Objekt abgeschlossen haben, sollten Sie die Ausführung von SDProp erzwingen oder warten, bis die geplante Ausführung abgeschlossen ist. Informationen zum Ausführen von SDProp finden Sie unter "Manuelles Ausführen von SDProp" in Anhang C: Geschützte Konten und Gruppen in Active Directory.

    Wenn SDProp ausgeführt wird, können Sie überprüfen, ob die Änderungen, die Sie an dem AdminSDHolder-Objekt vorgenommen haben, auf geschützte Gruppen in der Domäne angewendet wurden. Sie können dies nicht überprüfen, indem Sie das ACL für das AdminSDHolder-Objekt aus den zuvor beschriebenen Gründen anzeigen, aber Sie können überprüfen, ob die Berechtigungen angewendet wurden, indem Sie die ACLs für geschützte Gruppen anzeigen.

  5. Überprüfen Sie in Active Directory-Benutzer und -Computer, ob Sie erweiterte Features aktiviert haben. Klicken Sie dazu auf "Ansicht", suchen Sie nach der Gruppe "Domänenadministratoren" , klicken Sie mit der rechten Maustaste auf die Gruppe, und klicken Sie auf "Eigenschaften".

  6. Klicken Sie auf die Registerkarte "Sicherheit", und klicken Sie auf "Erweitert", um das Dialogfeld "Erweiterte Sicherheit Einstellungen" für Domänenadministratoren zu öffnen.

    Screenshot that shows how to open the Advanced Security Settings for Domain Admins dialog box.

  7. Wählen Sie "ACE zulassen" für das Verwaltungskonto aus, und klicken Sie auf "Bearbeiten". Vergewissern Sie sich, dass das Konto nur Berechtigungen " Mitglieder lesen " und " Mitglieder schreiben " in der DA-Gruppe erteilt wurde, und klicken Sie auf "OK".

  8. Klicken Sie im Dialogfeld "Erweiterte Sicherheit Einstellungen" auf "OK", und klicken Sie erneut auf "OK", um das Eigenschaftendialogfeld für die DA-Gruppe zu schließen.

    Screenshot that shows how to close the property dialog box.

  9. Sie können die vorherigen Schritte für andere geschützte Gruppen in der Domäne wiederholen; die Berechtigungen sollten für alle geschützten Gruppen identisch sein. Sie haben jetzt die Erstellung und Konfiguration der Verwaltungskonten für die geschützten Gruppen in dieser Domäne abgeschlossen.

    Hinweis

    Jedes Konto, das über die Berechtigung zum Schreiben der Mitgliedschaft einer Gruppe in Active Directory verfügt, kann sich auch der Gruppe hinzufügen. Dieses Verhalten ist entwurfsfähig und kann nicht deaktiviert werden. Aus diesem Grund sollten Sie die Verwaltungskonten immer deaktiviert halten, wenn sie nicht verwendet werden, und sollten die Konten genau überwachen, wenn sie deaktiviert sind und wann sie verwendet werden.

Überprüfen der Gruppen- und Kontokonfiguration Einstellungen

Nachdem Sie jetzt Verwaltungskonten erstellt und konfiguriert haben, die die Mitgliedschaft geschützter Gruppen in der Domäne ändern können (einschließlich der am stärksten privilegierten EA-, DA- und BA-Gruppen), sollten Sie überprüfen, ob die Konten und ihre Verwaltungsgruppe ordnungsgemäß erstellt wurden. Die Überprüfung besteht aus folgenden allgemeinen Aufgaben:

  1. Testen Sie die Gruppe, die Verwaltungskonten aktivieren und deaktivieren kann, um zu überprüfen, ob Mitglieder der Gruppe die Konten aktivieren und deaktivieren und ihre Kennwörter zurücksetzen können, aber keine anderen administrativen Aktivitäten auf den Verwaltungskonten ausführen können.

  2. Testen Sie die Verwaltungskonten, um zu überprüfen, ob sie Mitglieder zu geschützten Gruppen in der Domäne hinzufügen und entfernen können, aber keine anderen Eigenschaften von geschützten Konten und Gruppen ändern können.

Testen der Gruppe, die Verwaltungskonten aktivieren und deaktivieren
  1. Um das Aktivieren eines Verwaltungskontos und das Zurücksetzen des Kennworts zu testen, melden Sie sich bei einer sicheren Verwaltungsarbeitsstation mit einem Konto an, das ein Mitglied der Gruppe ist, die Sie in Anhang I erstellt haben: Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active Directory.

    Screenshot that shows how to log in to the account that is a member of the group you created.

  2. Öffnen Sie Active Directory-Benutzer und -Computer, klicken Sie mit der rechten Maustaste auf das Verwaltungskonto, und klicken Sie auf "Konto aktivieren".

    Screenshot that highlights the Enable Account menu option.

  3. Ein Dialogfeld sollte angezeigt werden, um sicherzustellen, dass das Konto aktiviert wurde.

    Screenshot that shows that the account has been enabled.

  4. Setzen Sie als Nächstes das Kennwort auf dem Verwaltungskonto zurück. Klicken Sie dazu erneut mit der rechten Maustaste auf das Konto, und klicken Sie auf "Kennwort zurücksetzen".

    Screenshot that highlights the Reset Password menu option.

  5. Geben Sie ein neues Kennwort für das Konto im Feld "Neues Kennwort" ein, und klicken Sie auf "OK".

    Screenshot that shows where to type the new password.

  6. Ein Dialogfeld sollte angezeigt werden, um zu bestätigen, dass das Kennwort für das Konto zurückgesetzt wurde.

    Screenshot that shows the message confirming that the password for the account has been reset.

  7. Versuchen Sie nun, zusätzliche Eigenschaften des Verwaltungskontos zu ändern. Klicken Sie mit der rechten Maustaste auf das Konto, und klicken Sie auf "Eigenschaften", und klicken Sie auf die Registerkarte "Remotesteuerung ".

  8. Wählen Sie "Remotesteuerung aktivieren " aus, und klicken Sie auf "Übernehmen". Der Vorgang sollte fehlschlagen und eine Fehlermeldung "Zugriff verweigert " angezeigt werden.

    Screenshot that shows the Access Denied error.

  9. Klicken Sie auf die Registerkarte "Konto " für das Konto, und versuchen Sie, den Namen des Kontos, die Anmeldestunden oder die Anmeldearbeitsstationen zu ändern. Alle sollten fehlschlagen, und Kontooptionen, die vom UserAccountControl-Attribut nicht gesteuert werden, sollten abgeblendet und für die Änderung nicht verfügbar sein.

    Screenshot that shows the Account tab.

  10. Versuchen Sie, die Verwaltungsgruppe einer geschützten Gruppe wie der DA-Gruppe hinzuzufügen. Wenn Sie auf "OK" klicken, sollte eine Nachricht angezeigt werden, indem Sie darüber informieren, dass Sie keine Berechtigungen zum Ändern der Gruppe haben.

    Screenshot that shows the message informing you that you do not have permission to modify the group.

  11. Führen Sie zusätzliche Tests aus, um sicherzustellen, dass Sie nichts für das Verwaltungskonto konfigurieren können, außer benutzerAccountControl-Einstellungen und Kennwortrücksetzungen.

    Hinweis

    Das UserAccountControl-Attribut steuert mehrere Kontokonfigurationsoptionen. Sie können keine Berechtigung erteilen, nur einige der Konfigurationsoptionen zu ändern, wenn Sie schreibberechtigungen für das Attribut erteilen.

Testen der Verwaltungskonten

Nachdem Sie eine oder mehrere Konten aktiviert haben, die die Mitgliedschaft geschützter Gruppen ändern können, können Sie die Konten testen, um sicherzustellen, dass sie geschützte Gruppenmitgliedschaft ändern können, aber keine anderen Änderungen an geschützten Konten und Gruppen ausführen können.

  1. Melden Sie sich als erstes Verwaltungskonto bei einem sicheren Administrativen Host an.

    Screenshot that shows how to log in to a secure administrative host.

  2. Starten Sie Active Directory-Benutzer und -Computer, und suchen Sie die Gruppe "Domänenadministratoren".

  3. Klicken Sie mit der rechten Maustaste auf die Gruppe "Domänenadministratoren" , und klicken Sie auf "Eigenschaften".

    Screenshot that highlights the Properties menu option.

  4. Klicken Sie in den Eigenschaften der Domänenadministratoren auf die Registerkarte "Mitglieder " und dann auf "Hinzufügen". Geben Sie den Namen eines Kontos ein, das temporäre Domänenadministratorberechtigungen zugewiesen wird, und klicken Sie auf "Namen überprüfen". Wenn der Name des Kontos unterstrichen ist, klicken Sie auf "OK ", um zur Registerkarte "Mitglieder " zurückzukehren.

    Screenshot that shows where to add the name of the account that will be given temporary Domain Admins privileges.

  5. Klicken Sie auf der Registerkarte "Mitglieder " für das Dialogfeld "Domänenadministratoreneigenschaften " auf "Anwenden". Nachdem Sie auf "Anwenden" geklickt haben, sollte das Konto mitglied der DA-Gruppe bleiben und keine Fehlermeldungen erhalten.

    Screenshot that shows the Members tab in the Domain Admins Properties dialog box.

  6. Klicken Sie im Dialogfeld "Domänenadministratoreneigenschaften" auf die Registerkarte "Verwaltet nach", und stellen Sie sicher, dass Sie keinen Text in alle Felder eingeben können, und alle Schaltflächen werden abgeblengt.

    Screenshot that shows the Managed By tab.

  7. Klicken Sie im Dialogfeld "Domänenadministratoreneigenschaften" auf die Registerkarte "Allgemein", und überprüfen Sie, ob Sie keine informationen zu dieser Registerkarte ändern können.

    creating management accounts

  8. Wiederholen Sie diese Schritte für zusätzliche geschützte Gruppen nach Bedarf. Wenn Sie fertig sind, melden Sie sich bei einem sicheren Administrativen Host mit einem Konto an, das Mitglied der Gruppe ist, die Sie erstellt haben, um die Verwaltungskonten zu aktivieren und zu deaktivieren. Setzen Sie dann das Kennwort auf dem Verwaltungskonto zurück, das Sie gerade getestet haben, und deaktivieren Sie das Konto. Sie haben das Setup der Verwaltungskonten und der Gruppe abgeschlossen, die für die Aktivierung und Deaktivierung der Konten verantwortlich ist.