Anhang D: Schützen integrierter Administratorkonten in Active Directory

Anhang D: Schützen integrierter Administratorkonten in Active Directory

In jeder Domäne in Active Directory wird im Rahmen der Erstellung der Domäne ein Administratorkonto erstellt. Dieses Konto ist standardmäßig ein Mitglied der Gruppen Domänen-Admins und Administratoren in der Domäne. Wenn es sich bei der Domäne um die Stammdomäne der Gesamtstruktur handelt, ist das Konto auch Mitglied der Gruppe Unternehmensadministratoren.

Die Verwendung des Administratorkontos einer Domäne sollte auf anfängliche Buildaktivitäten und ggf. Notfallwiederherstellungsszenarien beschränkt sein. Um sicherzustellen, dass ein Administratorkonto verwendet werden kann, um Reparaturen durchzuführen, falls keine anderen Konten verwendet werden können, sollten Sie die Standardmitgliedschaft des Administratorkontos in keiner Domäne in der Gesamtstruktur ändern. Stattdessen sollten Sie das Administratorkonto in jeder Domäne in der Gesamtstruktur schützen, wie im folgenden Abschnitt und in den nachfolgenden schrittweisen Anweisungen beschrieben.

Note

In diesem Leitfaden wurde bisher empfohlen, das Konto zu deaktivieren. Diese Empfehlung wurde entfernt, da im Whitepaper zur Wiederherstellung der Gesamtstruktur das Standardadministratorkonto verwendet wird. Der Grund dafür ist, dass dies das einzige Konto ist, das die Anmeldung ohne globalen Katalogserver zulässt.

Steuerelemente für integrierte Administratorkonten

Für das integrierte Administratorkonto in jeder Domäne in Ihrer Gesamtstruktur sollten Sie die folgenden Einstellungen konfigurieren:

  • Aktivieren Sie das Flag Konto ist vertraulich und kann nicht delegiert werden für das Konto.

  • Aktivieren Sie das Flag Benutzer muss sich mit einer Smartcard anmelden für das Konto.

  • Konfigurieren Sie Gruppenrichtlinienobjekte, um die Verwendung des Administratorkontos auf in die Domäne eingebundenen Systemen einzuschränken:

    • Fügen Sie in einem oder mehreren Gruppenrichtlinienobjekten, die Sie erstellen und mit Organisationseinheiten für Arbeitsstationen und Mitgliedsserver in jeder Domäne verknüpfen, das Administratorkonto der einzelnen Domänen zu den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzu:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Note

Wenn Sie dieser Einstellung Konten hinzufügen, müssen Sie angeben, ob Sie lokale Administratorkonten oder Domänenadministratorkonten konfigurieren. Wenn Sie z. B. das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, müssen Sie das Konto als TAILSPINTOYS\Administrator eingeben oder zum Administratorkonto für die Domäne TAILSPINTOYS navigieren. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor „Administrator“ eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird.

Es wird empfohlen, lokale Administratorkonten auf Mitgliedsservern und Arbeitsstationen auf die gleiche Weise wie domänenbasierte Administratorkonten einzuschränken. Daher sollten Sie in der Regel das Administratorkonto für jede Domäne in der Gesamtstruktur und das Administratorkonto für die lokalen Computer zu diesen Einstellungen für Benutzerrechte hinzufügen. Der folgende Screenshot zeigt ein Beispiel für die Konfiguration dieser Benutzerrechte, um zu verhindern, dass lokale Administratorkonten und das Administratorkonto einer Domäne Anmeldungen ausführen, die für diese Konten nicht erforderlich sind.

Screenshot: Zuweisen von Benutzerrechten.

  • Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken von Administratorkonten auf Domänencontrollern

    • In jeder Domäne in der Gesamtstruktur sollte das Gruppenrichtlinienobjekt des Standarddomänencontrollers oder eine Richtlinie, die mit der Organisationseinheit für Domänencontroller verknüpft ist, so geändert werden, dass das Administratorkonto jeder Domäne den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzugefügt wird:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Note

Diese Einstellungen gewährleisten, dass das integrierte Administratorkonto der Domäne nicht zum Herstellen einer Verbindung mit einem Domänencontroller verwendet werden kann, obwohl sich das Konto lokal bei Domänencontrollern anmelden kann. Da dieses Konto nur in Notfallwiederherstellungsszenarien verwendet werden sollte, wird davon ausgegangen, dass physischer Zugriff auf mindestens einen Domänencontroller verfügbar ist oder dass andere Konten mit Berechtigungen für den Remotezugriff auf Domänencontroller verwendet werden können.

  • Konfigurieren der Überwachung von Administratorkonten

    Wenn das Administratorkonto jeder Domäne sicher ist, sollten Sie die Überwachung so konfigurieren, um die Nutzung oder Änderungen des Kontos zu überwachen. Wenn eine Anmeldung beim Konto erfolgt, sein Kennwort zurückgesetzt wird oder andere Änderungen am Konto vorgenommen werden, sollten Warnungen an die Benutzer oder Teams gesendet werden, die für die Verwaltung von Active Directory verantwortlich sind, sowie an die Teams, die für die Reaktion auf Incidents in Ihrer Organisation zuständig sind.

Schrittweise Anweisungen zum Sichern integrierter Administratorkonten in Active Directory

  1. Wählen Sie im Server-Manager"Extras" und dann "Active Directory-Benutzer und -Computer" aus.

  2. Führen Sie die folgenden Schritte aus, um Angriffe zu verhindern, die die Delegierung nutzen, um die Anmeldeinformationen des Kontos auf anderen Systemen zu verwenden:

    1. Wählen Sie das Administratorkonto mit der rechten Maustaste aus, und wählen Sie "Eigenschaften" aus.

    2. Wählen Sie die Registerkarte "Konto " aus.

    3. Wählen Sie unter "Kontooptionen" die Option "Konto vertraulich" aus und kann nicht delegiert werden , wie im folgenden Screenshot angegeben, und wählen Sie "OK" aus.

      Screenshot: Kontrollkästchen „Konto ist vertraulich und kann nicht delegiert werden“.

  3. Führen Sie die folgenden Schritte aus, um das Flag Benutzer muss sich mit einer Smartcard anmelden für das Konto zu aktivieren:

    1. Wählen Sie das Administratorkonto mit der rechten Maustaste aus, und wählen Sie "Eigenschaften" aus.

    2. Wählen Sie die Registerkarte "Konto " aus.

    3. Wählen Sie unter "Kontooptionen " die Smartcard für die interaktive Anmeldekennzeichnung aus, wie im folgenden Screenshot angegeben, und wählen Sie "OK" aus.

      Screenshot: Kontrollkästchen „Benutzer muss sich mit einer Smartcard anmelden“.

Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken von Administratorkonten auf Domänenebene

Warning

Dieses Gruppenrichtlinienobjekt sollte niemals auf Domänenebene verknüpft werden, da es das integrierte Administratorkonto selbst in Notfallwiederherstellungsszenarien unbrauchbar machen kann.

  1. Wählen Sie im Server-Manager"Extras" und dann "Gruppenrichtlinienverwaltung" aus.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie erstellen möchten).

  3. Wählen Sie in der Konsolenstruktur mit der rechten Maustaste Gruppenrichtlinienobjekte und dann Neu aus.

  4. Geben Sie <>im Dialogfeld "Neues Gruppenrichtlinienobjekt" den Namen des Gruppenrichtlinienobjekts ein, und wählen Sie "OK" aus (wobei <GPO-Name> der Name dieses Gruppenrichtlinienobjekts ist).

  5. Wählen Sie im Detailbereich mit der rechten Maustaste <den GPO-Namen> aus, und wählen Sie "Bearbeiten" aus.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien und wählen Sie Zuweisung von Benutzerrechten.

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das Administratorkonto über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreift, indem Sie die folgenden Schritte ausführen:

    1. Doppelklicken Sie auf Zugriff auf diesen Computer über das Netzwerk verweigern und wählen Sie Richtlinieneinstellungen definieren.

    2. Wählen Sie Benutzer oder Gruppe hinzufügen und dann Durchsuchen.

    3. Geben Sie "Administrator" ein, wählen Sie " Namen überprüfen" und dann "OK" aus. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: Format „Domänenname\Benutzername“.

    4. Wählen Sie "OK" und dann erneut "OK " aus.

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich das Administratorkonto als Batchauftrag anmeldet, indem Sie die folgenden Schritte ausführen:

    1. Doppelklicken Sie auf Anmeldung als Batchauftrag verweigern und wählen Sie Diese Richtlinieneinstellungen definieren.

    2. Wählen Sie Benutzer oder Gruppe hinzufügen und dann Durchsuchen.

    3. Geben Sie "Administrator" ein, wählen Sie " Namen überprüfen" und dann "OK" aus. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich das Administratorkonto als Batchauftrag anmeldet.

    4. Wählen Sie "OK" und dann erneut "OK " aus.

  9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich das Administratorkonto als Dienst anmeldet, indem Sie die folgenden Schritte ausführen:

    1. Doppelklicken Sie auf Anmeldung als Dienst verweigern und wählen Sie Diese Richtlinieneinstellungen definieren.

    2. Wählen Sie Benutzer oder Gruppe hinzufügen und dann Durchsuchen.

    3. Geben Sie "Administrator" ein, wählen Sie " Namen überprüfen" und dann "OK" aus. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich das Administratorkonto als Dienst anmeldet.

    4. Wählen Sie "OK" und dann erneut "OK " aus.

  10. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das Administratorkonto über das Netzwerk auf Mitgliedsserver und über Remotedesktopdienste zugreift, indem Sie die folgenden Schritte ausführen:

    1. Doppelklicken Sie auf Anmeldung über Remotedesktopdienste verweigern , und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Wählen Sie Benutzer oder Gruppe hinzufügen und dann Durchsuchen.

    3. Geben Sie "Administrator" ein, wählen Sie " Namen überprüfen" und dann "OK" aus. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das BA-Konto über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreift.

    4. Wählen Sie "OK" und dann erneut "OK " aus.

  11. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, wählen Sie Datei und dann Beenden.

  12. Verknüpfen Sie in der Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten des Mitgliedsservers und der Arbeitsstation, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Wählen Sie mit der rechten Maustaste die Organisationseinheit aus, auf die das Gruppenrichtlinienobjekt angewendet werden soll, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

    3. Wählen Sie das von Ihnen erstellte Gruppenrichtlinienobjekt aus, und wählen Sie "OK" aus.

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

Important

Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor „Administrator“ eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

Überprüfungsschritte

Die hier beschriebenen Überprüfungsschritte beziehen sich auf Windows 8 und Windows Server 2012.

Überprüfen der Kontooption „Benutzer muss sich mit einer Smartcard anmelden“
  1. Versuchen Sie, sich von allen Mitgliedsservern oder Arbeitsstationen aus, die von den Änderungen des Gruppenrichtlinienobjekts betroffen sind, interaktiv bei der Domäne anzumelden, indem Sie das integrierte Administratorkonto der Domäne verwenden. Nach dem Versuch, sich anzumelden, wird ein Dialogfeld angezeigt, in dem Sie darüber informiert werden, dass Sie eine intelligente Karte für die Anmeldung benötigen.
Überprüfen der Gruppenrichtlinieneinstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, über das Netzwerk, das bzw. die von den GPO-Änderungen betroffen ist, von einem Mitgliedsserver oder einer Arbeitsstation, die nicht von den GPO-Änderungen betroffen ist, auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des NET USE-Befehls zuzuordnen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mit dem integrierten Administratorkonto der Domäne bei der Domäne an.

  2. Klicken Sie mit der rechten Maustaste auf den Starthinweis , und wählen Sie Windows PowerShell (Administrator) aus.

  3. Wenn Sie aufgefordert werden, die Rechteerweiterung zu genehmigen, wählen Sie "Ja" aus.

  4. Geben Sie im PowerShell-Fenster"net use \\<Server Name>\c$" ein, wobei <der Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den Sie über das Netzwerk zugreifen möchten.

  5. Sie sollten eine Meldung erhalten, dass dem Benutzer der angeforderte Anmeldetyp nicht gewährt wurde.

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Wählen Sie den Starthinweis aus, und geben Sie Editor ein.

  2. Wählen Sie in der Ergebnisliste " Editor" aus.

  3. Geben Sie in Editor"dir:" ein.

  4. Wählen Sie "Datei" und dann " Speichern unter" aus.

  5. Geben Sie <im Feld "Dateiname".bat"Dateiname> " ein (wobei <"Dateiname>" der Name der neuen Batchdatei ist).

Planen einer Aufgabe

  1. Wählen Sie den Starthinweis aus, geben Sie den Aufgabenplaner ein, und wählen Sie "Taskplaner" aus.

  2. Wählen Sie im Taskplaner"Aktion" und dann " Aufgabe erstellen" aus.

  3. Geben Sie <im Dialogfeld "Aufgabe erstellen" den Namen "Vorgang>" ein (wobei <"Vorgangsname>" der Name des neuen Vorgangs ist).

  4. Wählen Sie die Registerkarte "Aktionen " und dann "Neu" aus.

  5. Wählen Sie unter "Aktion:" die Option "Programm starten" aus.

  6. Wählen Sie unter "Programm/Skript:" Durchsuchen" die im Abschnitt "Batchdatei erstellen" erstellte Batchdatei aus, und wählen Sie " Öffnen" aus.

  7. Wählen Sie OK aus.

  8. Wählen Sie die Registerkarte " Allgemein " aus.

  9. Wählen Sie unter "Sicherheitsoptionen " die Option " Benutzer oder Gruppe ändern" aus.

  10. Geben Sie den Namen des Administratorkontos auf Domänenebene ein, wählen Sie " Namen überprüfen" und dann "OK" aus.

  11. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  12. Wählen Sie OK aus.

  13. Es sollte ein Dialogfeld angezeigt werden, in dem die Benutzeranmeldeinformationen zum Ausführen der Aufgabe angefordert werden.

  14. Nachdem Sie die Anmeldeinformationen eingegeben haben, wählen Sie "OK" aus.

  15. Es wird ein Dialogfeld angezeigt, das Sie darüber informiert, dass für die Aufgabe ein Konto mit der Berechtigung Als Stapelauftrag anmelden erforderlich ist.

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Wählen Sie den Starthinweis aus, geben Sie Dienste ein, und wählen Sie "Dienste" aus.

  3. Suchen und doppelklicken Sie auf "Druckspooler".

  4. Wählen Sie die Registerkarte "Anmelden " aus.

  5. Wählen Sie unter Anmelden als die Option Dieses Konto aus.

  6. Wählen Sie "Durchsuchen" aus, geben Sie den Namen des Administratorkontos auf Domänenebene ein, wählen Sie " Namen überprüfen" und dann "OK" aus.

  7. Geben Sie unter "Kennwort" und " Kennwort bestätigen":, geben Sie das Kennwort des Administratorkontos ein, und wählen Sie "OK" aus.

  8. Wählen Sie dreimal OK aus.

  9. Wählen Sie mit der rechten Maustaste den Druckerwarteschlangendienst aus, und wählen Sie Neu starten aus.

  10. Wenn der Dienst neu gestartet wird, werden Sie in einem Dialogfeld darüber informiert, dass der Druckspoolerdienst nicht gestartet werden konnte.

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Wählen Sie den Starthinweis aus, geben Sie Dienste ein, und wählen Sie "Dienste" aus.

  3. Suchen und doppelklicken Sie auf "Druckspooler".

  4. Wählen Sie die Registerkarte "Anmelden " aus.

  5. Wählen Sie unter Anmelden als: das Konto Lokales System aus, und klicken Sie auf OK.

Überprüfen der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern“

  1. Wählen Sie "Start" aus, geben Sie dann die Remotedesktopverbindung ein, und wählen Sie "Remotedesktopverbindung" aus.

  2. Geben Sie im Feld "Computer " den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und wählen Sie "Verbinden" aus. (Sie können anstelle des Computernamens auch die IP-Adresse angeben.)

  3. Geben Sie bei entsprechender Aufforderung Anmeldeinformationen für den Namen des Administratorkontos auf Domänenebene an.

  4. Die Remotedesktopverbindung wird verweigert.

  • Last updated on