Reduzieren der Angriffsfläche für Active Directory
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Dieser Abschnitt konzentriert sich auf technische Steuerelemente, um die Angriffsfläche der Active Directory-Installation zu reduzieren. Der Abschnitt enthält die folgenden Informationen:
Die Implementierung von Least-Privilege Administrativen Modellen konzentriert sich auf die Identifizierung des Risikos, dass die Verwendung von besonders privilegierten Konten für die tägliche Verwaltung präsentiert wird, zusätzlich zu Empfehlungen zur Implementierung, um das Risiko zu verringern, dass privilegierte Konten vorhanden sind.
Die Implementierung sicherer administrativer Hosts beschreibt Prinzipien für die Bereitstellung dedizierter, sicherer Verwaltungssysteme sowie einige Beispielansätze für eine sichere Administrative Hostbereitstellung.
Das Sichern von Domänencontrollern gegen Angriffe erläutert Richtlinien und Einstellungen, die zwar ähnlich wie die Empfehlungen für die Implementierung sicherer administrativer Hosts sind, einige Domänencontrollerspezifische Empfehlungen enthalten, um sicherzustellen, dass die Domänencontroller und die Systeme, die zum Verwalten verwendet werden, gut gesichert sind.
Privilegierte Konten und Gruppen in Active Directory
Dieser Abschnitt enthält Hintergrundinformationen zu privilegierten Konten und Gruppen in Active Directory, die die Gemeinsamkeiten und Unterschiede zwischen privilegierten Konten und Gruppen in Active Directory erläutern sollen. Wenn Sie diese Unterscheidungen verstehen, ob Sie die Empfehlungen in der Implementierung von Least-Privilege Administrativen Modellen implementieren oder diese für Ihre Organisation anpassen möchten, verfügen Sie über die Tools, die Sie benötigen, um jede Gruppe und jedes Konto entsprechend zu sichern.
Integrierte privilegierte Konten und Gruppen
Active Directory erleichtert die Delegierung der Verwaltung und unterstützt das Prinzip der geringsten Berechtigungen beim Zuweisen von Rechten und Berechtigungen. "Reguläre" Benutzer, die Über Konten in einer Domäne verfügen, sind standardmäßig in der Lage, einen Großteil der im Verzeichnis gespeicherten Elemente zu lesen, können jedoch nur eine sehr begrenzte Gruppe von Daten im Verzeichnis ändern. Benutzern, die zusätzliche Berechtigungen benötigen, können Mitgliedschaften in verschiedenen "privilegierten" Gruppen gewährt werden, die in das Verzeichnis integriert sind, damit sie bestimmte Aufgaben im Zusammenhang mit ihren Rollen ausführen können, aber keine Aufgaben ausführen können, die für ihre Aufgaben nicht relevant sind. Organisationen können auch Gruppen erstellen, die auf bestimmte Aufgabenaufgaben zugeschnitten sind und präzise Rechte und Berechtigungen gewährt werden, mit denen IT-Mitarbeiter täglich administrative Funktionen ausführen können, ohne Rechte und Berechtigungen zu gewähren, die die für diese Funktionen erforderlichen Funktionen überschreiten.
In Active Directory sind drei integrierte Gruppen die höchsten Berechtigungsgruppen im Verzeichnis: Unternehmensadministratoren, Domänenadministratoren und Administratoren. Die Standardkonfiguration und -funktionen jeder dieser Gruppen werden in den folgenden Abschnitten beschrieben:
Höchste Berechtigungsgruppen in Active Directory
Organisationsadministratoren
Enterprise Admins (EA) ist eine Gruppe, die nur in der Stammdomäne der Gesamtstruktur vorhanden ist und standardmäßig Mitglied der Gruppe "Administratoren" in allen Domänen in der Gesamtstruktur ist. Das integrierte Administratorkonto in der Stammdomäne der Gesamtstruktur ist das einzige Standardmitglied der EA-Gruppe. EAs erhalten Rechte und Berechtigungen, mit denen sie gesamtstrukturweite Änderungen implementieren können (d. h. Änderungen, die sich auf alle Domänen in der Gesamtstruktur auswirken), z. B. Hinzufügen oder Entfernen von Domänen, Einrichten von Gesamtstrukturvertrauenswerten oder Erhöhen von Gesamtstrukturfunktionsebenen. Bei einem ordnungsgemäß gestalteten und implementierten Delegierungsmodell ist die EA-Mitgliedschaft nur erforderlich, wenn sie zuerst die Gesamtstruktur erstellen oder bestimmte gesamtstrukturweite Änderungen vornehmen, z. B. beim Einrichten einer ausgehenden Gesamtstrukturvertrauensstellung. Die meisten Berechtigungen und Berechtigungen, die der EA-Gruppe gewährt werden, können an weniger privilegierte Benutzer und Gruppen delegiert werden.
Domänenadministratoren
Jede Domäne in einer Gesamtstruktur verfügt über eine eigene Gruppe von Domänenadministratoren (DA), die Mitglied der Gruppe "Administratoren" dieser Domäne und ein Mitglied der lokalen Administratorgruppe auf jedem Computer ist, der der Domäne beigetreten ist. Das einzige Standardmitglied der DA-Gruppe für eine Domäne ist das integrierte Administratorkonto für diese Domäne. DAs sind "all-leistungsstarke" innerhalb ihrer Domänen, während EAs über gesamtstrukturweite Berechtigungen verfügen. In einem ordnungsgemäß gestalteten und implementierten Delegierungsmodell sollte die Mitgliedschaft von Domänenadministratoren nur in "Break Glass"-Szenarien erforderlich sein (z. B. Situationen, in denen ein Konto mit hohen Berechtigungen auf jedem Computer in der Domäne erforderlich ist). Obwohl systemeigene Active Directory-Delegierungsmechanismen die Delegierung ermöglichen, soweit es möglich ist, DA-Konten nur in Notfallszenarien zu verwenden, kann das Erstellen eines effektiven Delegierungsmodells zeitaufwendig sein, und viele Organisationen nutzen Tools von Drittanbietern, um den Prozess zu beschleunigen.
Administrators
Die dritte Gruppe ist die integrierte lokale Domänenadministratorgruppe (BA), in der DAs und EAs geschachtelt werden. Diese Gruppe erhält viele der direkten Rechte und Berechtigungen im Verzeichnis und auf Domänencontrollern. Die Gruppe "Administratoren" für eine Domäne verfügt jedoch über keine Berechtigungen auf Mitgliedsservern oder auf Arbeitsstationen. Dies erfolgt über die Mitgliedschaft in der lokalen Administratorgruppe der Computer, der lokale Berechtigungen gewährt werden.
Hinweis
Obwohl dies die Standardkonfigurationen dieser privilegierten Gruppen sind, kann ein Mitglied einer der drei Gruppen das Verzeichnis bearbeiten, um mitgliedschaft in einer der anderen Gruppen zu erhalten. In einigen Fällen ist es trivial, die Mitgliedschaft in den anderen Gruppen zu erhalten, während in anderen es schwieriger ist, aber aus sicht potenzieller Rechte sollten alle drei Gruppen als effektiv gleichwertig betrachtet werden.
Schema-Admins
Eine vierte privilegierte Gruppe, SchemaAdministratoren (SA), ist nur in der Stammdomäne der Gesamtstruktur vorhanden und verfügt nur über das integrierte Administratorkonto dieser Domäne als Standardmitglied, ähnlich der Gruppe "Unternehmensadministratoren". Die Gruppe "Schemaadministratoren" soll nur vorübergehend und gelegentlich aufgefüllt werden (wenn die Änderung des AD DS-Schemas erforderlich ist).
Obwohl die SA-Gruppe die einzige Gruppe ist, die das Active Directory-Schema ändern kann (also die zugrunde liegenden Datenstrukturen des Verzeichnisses wie Objekte und Attribute), ist der Umfang der Rechte und Berechtigungen der SA-Gruppe eingeschränkter als die zuvor beschriebenen Gruppen. Es ist auch üblich, dass Organisationen geeignete Methoden für die Verwaltung der Mitgliedschaft der SA-Gruppe entwickelt haben, da die Mitgliedschaft in der Gruppe in der Regel selten benötigt wird, und nur für kurze Zeiträume. Dies gilt technisch auch für die EA-, DA- und BA-Gruppen in Active Directory, aber es ist viel weniger üblich, zu finden, dass Organisationen ähnliche Praktiken für diese Gruppen wie für die SA-Gruppe implementiert haben.
Geschützte Konten und Gruppen in Active Directory
Innerhalb von Active Directory werden eine Standardgruppe von privilegierten Konten und Gruppen namens "geschützte" Konten und Gruppen anders als andere Objekte im Verzeichnis gesichert. Jedes Konto mit direkter oder transitiver Mitgliedschaft in einer geschützten Gruppe (unabhängig davon, ob die Mitgliedschaft von Sicherheits- oder Verteilergruppen abgeleitet wird) erbt diese eingeschränkte Sicherheit.
Wenn ein Benutzer beispielsweise Mitglied einer Verteilergruppe ist, die wiederum ein Mitglied einer geschützten Gruppe in Active Directory ist, wird dieses Benutzerobjekt als geschütztes Konto gekennzeichnet. Wenn ein Konto als geschütztes Konto gekennzeichnet wird, wird der Wert des AdminCount-Attributs für das Objekt auf 1 festgelegt.
Hinweis
Obwohl die transitive Mitgliedschaft in einer geschützten Gruppe geschachtelte Verteilungs- und geschachtelte Sicherheitsgruppen umfasst, erhalten Konten, die Mitglieder geschachtelter Verteilergruppen sind, die SID der geschützten Gruppe in ihren Zugriffstoken nicht. Verteilergruppen können jedoch in Sicherheitsgruppen in Active Directory konvertiert werden, weshalb Verteilergruppen in geschützte Gruppenmitgliedsaufzählung einbezogen werden. Sollte eine geschützte verschachtelte Verteilergruppe jemals in eine Sicherheitsgruppe konvertiert werden, erhalten die Konten, die Mitglieder der ehemaligen Verteilergruppe sind, anschließend die SID der übergeordneten geschützten Gruppe in ihren Zugriffstoken bei der nächsten Anmeldung.
In der folgenden Tabelle sind die standardmäßig geschützten Konten und Gruppen in Active Directory nach Betriebssystemversion und Service Pack-Ebene aufgeführt.
Standardmäßig geschützte Konten und Gruppen in Active Directory nach Betriebssystem und Service Pack (SP) Version
| Windows 2000 <SP4 | Windows 2000 SP4 –Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 –Windows Server 2012 |
|---|---|---|---|
| Administrators | Konten-Operatoren | Konten-Operatoren | Konten-Operatoren |
| Administrator | Administrator | Administrator | |
| Administrators | Administrators | Administrators | |
| Domänenadministratoren | Sicherungsoperatoren | Sicherungsoperatoren | Sicherungsoperatoren |
| Zertifikatherausgeber | |||
| Domänenadministratoren | Domänenadministratoren | Domänenadministratoren | |
| Organisationsadministratoren | Domänencontroller | Domänencontroller | Domänencontroller |
| Organisationsadministratoren | Organisationsadministratoren | Organisationsadministratoren | |
| Krbtgt | Krbtgt | Krbtgt | |
| Druckoperatoren | Druckoperatoren | Druckoperatoren | |
| Read-only-Domänencontroller | |||
| Replicator | Replicator | Replicator | |
| Schema-Admins | Schema-Admins | Schema-Admins |
AdminSDHolder und SDProp
Im Systemcontainer jeder Active Directory-Domäne wird automatisch ein Objekt namens "AdminSDHolder" erstellt. Der Zweck des AdminSDHolder-Objekts besteht darin, sicherzustellen, dass die Berechtigungen für geschützte Konten und Gruppen konsistent erzwungen werden, unabhängig davon, wo sich die geschützten Gruppen und Konten in der Domäne befinden.
Alle 60 Minuten (standardmäßig) wird ein Prozess, der als Security Descriptor Propagator (SDProp) bezeichnet wird, auf dem Domänencontroller ausgeführt, der die PDC-Emulatorrolle der Domäne enthält. SDProp vergleicht die Berechtigungen für das AdminSDHolder-Objekt der Domäne mit den Berechtigungen für die geschützten Konten und Gruppen in der Domäne. Wenn die Berechtigungen für eines der geschützten Konten und Gruppen nicht mit den Berechtigungen für das AdminSDHolder-Objekt übereinstimmen, werden die Berechtigungen für die geschützten Konten und Gruppen zurückgesetzt, um mit denen des AdminSDHolder-Objekts der Domäne übereinzugleichen.
Die Berechtigungsvererbung ist für geschützte Gruppen und Konten deaktiviert, was bedeutet, dass auch dann, wenn die Konten oder Gruppen an verschiedene Speicherorte im Verzeichnis verschoben werden, keine Berechtigungen von ihren neuen übergeordneten Objekten erben. Die Vererbung ist auch für das AdminSDHolder-Objekt deaktiviert, sodass Berechtigungen für die übergeordneten Objekte nicht die Berechtigungen von AdminSDHolder ändern.
Hinweis
Wenn ein Konto aus einer geschützten Gruppe entfernt wird, wird es nicht mehr als geschütztes Konto betrachtet, aber sein adminCount-Attribut bleibt auf 1 festgelegt, wenn es nicht manuell geändert wird. Das Ergebnis dieser Konfiguration besteht darin, dass die ACLs des Objekts nicht mehr von SDProp aktualisiert werden, aber das Objekt erbt weiterhin keine Berechtigungen von seinem übergeordneten Objekt. Daher kann sich das Objekt in einer Organisationseinheit (ORGANISATIONSeinheit) befinden, an die Berechtigungen delegiert wurden, aber das zuvor geschützte Objekt erbt diese delegierten Berechtigungen nicht. Ein Skript zum Suchen und Zurücksetzen früher geschützter Objekte in der Domäne finden Sie im Microsoft Support-Artikel 817433.
AdminSDHolder-Besitz
Die meisten Objekte in Active Directory gehören der BA-Gruppe der Domäne. Das AdminSDHolder-Objekt ist jedoch standardmäßig im Besitz der DA-Gruppe der Domäne. (Dies ist ein Umstand, in dem DAs ihre Rechte und Berechtigungen nicht über die Mitgliedschaft in der Gruppe "Administratoren" für die Domäne ableiten.)
In Versionen von Windows, die älter als Windows Server 2008 sind, können Besitzer eines Objekts berechtigungen des Objekts ändern, einschließlich der Gewährung von Berechtigungen, die sie ursprünglich nicht besitzen. Daher verhindern die Standardberechtigungen für das AdminSDHolder-Objekt einer Domäne, dass Benutzer, die Mitglieder von BA- oder EA-Gruppen sind, die Berechtigungen für das AdminSDHolder-Objekt einer Domäne ändern. Mitglieder der Gruppe "Administratoren" für die Domäne können jedoch den Besitz des Objekts übernehmen und sich zusätzliche Berechtigungen erteilen, was bedeutet, dass dieser Schutz rudimentär ist und nur das Objekt vor versehentlicher Änderung durch Benutzer schützt, die nicht Mitglieder der DA-Gruppe in der Domäne sind. Darüber hinaus haben die BA- und EA-Gruppen (sofern zutreffend) die Berechtigung, die Attribute des AdminSDHolder-Objekts in der lokalen Domäne (Stammdomäne für EA) zu ändern.
Hinweis
Ein Attribut für das AdminSDHolder-Objekt dSHeuristics ermöglicht eine eingeschränkte Anpassung (Entfernung) von Gruppen, die als geschützte Gruppen betrachtet werden und von AdminSDHolder und SDProp betroffen sind. Diese Anpassung sollte sorgfältig berücksichtigt werden, wenn sie implementiert wird, obwohl es gültige Umstände gibt, unter denen änderungen von dSHeuristics auf AdminSDHolder nützlich sind. Weitere Informationen zur Änderung des dSHeuristics-Attributs für ein AdminSDHolder-Objekt finden Sie in den Microsoft Support-Artikeln 817433 und in Anhang C: Geschützte Konten und Gruppen in Active Directory.
Obwohl die meisten privilegierten Gruppen in Active Directory hier beschrieben werden, gibt es eine Reihe anderer Gruppen, die erhöhten Berechtigungen gewährt wurden. Weitere Informationen zu allen standard- und integrierten Gruppen in Active Directory und den den jeweils zugewiesenen Benutzerrechten finden Sie in Anhang B: Privilegierte Konten und Gruppen in Active Directory.