Schützen von Domänencontrollern vor Angriffen

Gilt für: Windows Server 2022 Preview, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Gesetzesnummer 3: Wenn ein schlechter Typ uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist es nicht mehr Ihr Computer. - Zehn unveränderliche Gesetze der Sicherheit (Version 2.0)

Domänencontroller bieten den physischen Speicher für die Active Directory Domain Services (AD DS)-Datenbank sowie die Bereitstellung der Dienste und Daten, mit denen Unternehmen ihre Server, Arbeitsstationen, Benutzer und Anwendungen effektiv verwalten können. Wenn der privilegierte Zugriff auf einen Domänencontroller von einem böswilligen Benutzer abgerufen wird, können sie die AD DS-Datenbank ändern, beschädigt oder zerstören und durch Erweiterung alle Systeme und Konten, die von Active Directory verwaltet werden.

Da Domänencontroller in der AD DS-Datenbank alles lesen und schreiben können, bedeutet die Kompromittierung eines Domänencontrollers, dass Ihre Active Directory-Gesamtstruktur nie als vertrauenswürdig betrachtet werden kann, es sei denn, Sie können eine bekannte gute Sicherung wiederherstellen und die Lücken schließen, die die Kompromittierung erlaubt haben.

Je nach Vorbereitung, Werkzeug und Fähigkeiten eines Angreifers können unparable Schäden in Minuten bis Stunden, nicht Tage oder Wochen abgeschlossen werden. Was wichtig ist, ist nicht, wie lange ein Angreifer privilegierten Zugriff auf Active Directory hat, aber wie viel der Angreifer für den Moment geplant hat, wenn privilegierter Zugriff abgerufen wird. Der Kompromittieren eines Domänencontrollers kann den direkten Weg zur Zerstörung von Memberservern, Arbeitsstationen und Active Directory bieten. Aufgrund dieser Bedrohung sollte Domänencontroller separat und strenger als die allgemeine Infrastruktur gesichert werden.

Physische Sicherheit für Domänencontroller

Dieser Abschnitt enthält Informationen zum physischen Sichern von Domänencontrollern. Domänencontroller können physische oder virtuelle Computer sein, in Rechenzentren, Zweigstellen oder Remotestandorten.

Domänencontroller des Rechenzentrums

Physische Domänencontroller

In Rechenzentren sollten physische Domänencontroller in dedizierten sicheren Racks oder Käfigen installiert werden, die von der allgemeinen Servergesamtheit getrennt sind. Wenn möglich sollte Domänencontroller mit Trusted Platform Module (TPM)-Chips und allen Volumes in den Domänencontrollerservern über BitLocker Drive Encryption geschützt werden. BitLocker fügt einen kleinen Leistungsaufwand in einzelstelligen Prozentsätzen hinzu, schützt jedoch das Verzeichnis vor Kompromittierung, auch wenn Datenträger aus dem Server entfernt werden. BitLocker kann auch Systeme vor Angriffen wie Rootkits schützen, da die Änderung von Startdateien dazu führt, dass der Server im Wiederherstellungsmodus gestartet werden kann, damit die ursprünglichen Binärdateien geladen werden können. Wenn ein Domänencontroller für die Verwendung von Software RAID, seriellem SCSI, SAN/NAS-Speicher oder dynamischen Volumes konfiguriert ist, kann BitLocker nicht implementiert werden, so dass lokal angefügter Speicher (mit oder ohne Hardware-RAID) bei Domänencontrollern immer möglich verwendet werden sollte.

Virtuelle Domänencontroller

Wenn Sie virtuelle Domänencontroller implementieren, sollten Sie sicherstellen, dass Domänencontroller auch auf separaten physischen Hosts als anderen virtuellen Computern in der Umgebung ausgeführt werden. Auch wenn Sie eine Virtualisierungsplattform von Drittanbietern verwenden, sollten Sie virtuelle Domänencontroller auf Hyper-V in Windows Server bereitstellen, die eine minimale Angriffsfläche bietet und mit den Domänencontrollern verwaltet werden kann, die sie hosten, anstatt mit den restlichen Virtualisierungshosts verwaltet zu werden. Wenn Sie System Center Virtual Machine Manager (SCVMM) für die Verwaltung Ihrer Virtualisierungsinfrastruktur implementieren, können Sie die Verwaltung für die physischen Hosts delegieren, auf denen sich virtuelle Domänencontroller befinden, und die Domänencontroller selbst an autorisierte Administratoren. Sie sollten auch die Trennung des Speichers virtueller Domänencontroller berücksichtigen, um Speicheradministratoren daran zu hindern, auf die virtuellen Computerdateien zuzugreifen.

Hinweis

Wenn Sie virtualisierte Domänencontroller mit anderen, weniger vertraulichen virtuellen Computern auf denselben physischen Virtualisierungsservern (Hosts) zusammenfinden möchten, sollten Sie eine Lösung implementieren, die die rollenbasierte Trennung von Aufgaben erzwingt, z. B. shielded VMs in Hyper-V. Diese Technologie bietet umfassenden Schutz vor böswilligen oder hinweislosen Fabric-Administratoren (einschließlich Virtualisierung, Netzwerk, Speicher- und Sicherungsadministratoren).) Es nutzt physischen Stamm der Vertrauensstellung mit Remotezertifikaten und sicherer VM-Bereitstellung und stellt effektiv die Sicherheit sicher, die sich auf dem Vergleich mit einem dedizierten physischen Server befindet.

Zweigstellen

Physische Domänencontroller in Zweigen

An Standorten, an denen sich mehrere Server befinden, aber nicht physisch gesichert sind, sollten physische Domänencontroller mit TPM-Chips und BitLocker-Laufwerkverschlüsselung für alle Servervolumes konfiguriert werden. Wenn ein Domänencontroller nicht in einem gesperrten Raum an Zweigstellenspeicherorten gespeichert werden kann, sollten Sie Read-Only Domänencontroller (RODCs) an diesen Standorten bereitstellen.

Virtuelle Domänencontroller in Zweigen

Wenn möglich, sollten Sie virtuelle Domänencontroller in Zweigstellen auf separaten physischen Hosts als den anderen virtuellen Computern auf der Website ausführen. In Zweigstellen, in denen virtuelle Domänencontroller nicht auf getrennten physischen Hosts von den restlichen virtuellen Servergesamtheiten ausgeführt werden können, sollten Sie TPM-Chips und BitLocker-Laufwerkverschlüsselung auf Hosts implementieren, auf denen virtuelle Domänencontroller mindestens ausgeführt werden, und alle Hosts falls möglich. Abhängig von der Größe der Zweigstelle und der Sicherheit der physischen Hosts sollten Sie rodCs an Zweigstellen bereitstellen.

Remotespeicherorte mit eingeschränktem Speicherplatz und Sicherheit

Wenn Ihre Infrastruktur Speicherorte enthält, an denen nur ein einzelner physischer Server installiert werden kann, sollte ein Server, der Virtualisierungslasten ausführen kann, installiert werden, und BitLocker Drive Encryption sollte so konfiguriert werden, dass alle Volumes auf dem Server geschützt werden. Ein virtueller Computer auf dem Server sollte als RODC ausgeführt werden, wobei andere Server als separate virtuelle Computer auf dem Host ausgeführt werden. Informationen zur Planung der Bereitstellung von RODCs finden Sie im Read-Only-Domänencontrollerplanungs- und Bereitstellungshandbuch. Weitere Informationen zum Bereitstellen und Sichern virtualisierter Domänencontroller finden Sie unter Ausführen von Domänencontrollern in Hyper-V. Ausführlichere Anleitungen zur Härtung der Sicherheit von Hyper-V, delegieren virtuelle Computerverwaltung und schutz virtueller Computer finden Sie auf der Microsoft-Website im Hyper-V-Sicherheitsleitfaden-Lösungsbeschleuniger .

Domänencontroller-Betriebssysteme

Sie sollten alle Domänencontroller auf der neuesten Version von Windows Server ausführen, die in Ihrer Organisation unterstützt wird. Organisationen sollten ältere Betriebssysteme in der Domänencontrollerpopulation priorisieren. Um Domänencontroller aktuell zu halten und ältere Domänencontroller zu beseitigen, können Sie neue Funktionen und Sicherheit nutzen. Diese Funktionalität ist möglicherweise nicht in Domänen oder Gesamtstrukturen mit Domänencontrollern verfügbar, die das ältere Betriebssystem ausführen.

Hinweis

Wie bei allen sicherheitsrelevanten und einmaligen Konfigurationen empfiehlt es sich, das Betriebssystem in der Server Core-Installationsoption bereitzustellen. Es bietet mehrere Vorteile, z. B. das Minimieren der Angriffsoberfläche, die Leistung zu verbessern und die Wahrscheinlichkeit des menschlichen Fehlers zu verringern. Es wird empfohlen, dass alle Vorgänge und Verwaltung remote ausgeführt werden , von dedizierten streng gesicherten Endpunkten wie Privilegierte Zugriffsarbeitsstationen (PAW) oder sicheren administrativen Hosts.

Sichere Konfiguration von Domänencontrollern

Tools können verwendet werden, um eine anfängliche Sicherheitskonfigurationsbasis für Domänencontroller zu erstellen, die später von GPOs erzwungen werden können. Diese Tools werden im Abschnitt "Sicherheitsrichtlinieneinstellungen verwalten" der Dokumentation zu Microsoft-Betriebssystemen beschrieben.

RDP-Einschränkungen

Gruppenrichtlinie Objekte, die mit allen Domänencontrollern in einer Gesamtstruktur verknüpft sind, sollten konfiguriert werden, um RDP-Verbindungen nur von autorisierten Benutzern und Systemen wie Sprungservern zu ermöglichen. Die Steuerung kann durch eine Kombination aus Benutzerberechtigungseinstellungen und WFAS-Konfiguration mit GPOs erreicht werden, sodass die Richtlinie konsistent angewendet wird. Wenn die Richtlinie umgehen wird, gibt die nächste Gruppenrichtlinie Aktualisierung das System an seine richtige Konfiguration zurück.

Patch- und Konfigurationsverwaltung für Domänencontroller

Obwohl es möglicherweise unintuitiv erscheint, sollten Sie Domänencontroller und andere kritische Infrastrukturkomponenten separat von Ihrer allgemeinen Windows Infrastruktur patchen. Wenn Sie Unternehmenskonfigurationsverwaltungssoftware für alle Computer in Ihrer Infrastruktur verwenden, kann die Kompromittierung der Systemverwaltungssoftware verwendet werden, um alle von dieser Software verwalteten Infrastrukturkomponenten zu kompromittieren oder zu zerstören. Indem Sie Patch- und Systemverwaltung für Domänencontroller von der allgemeinen Bevölkerung trennen, können Sie die Anzahl der auf Domänencontrollern installierten Software reduzieren, zusätzlich zur engen Kontrolle ihrer Verwaltung.

Blockieren des Internetzugriffs für Domänencontroller

Eine der Überprüfungen, die als Teil einer Active Directory-Sicherheitsbewertung ausgeführt werden, ist die Verwendung und Konfiguration von Internet Explorer auf Domänencontrollern. Es sollte kein Webbrowser für Domänencontroller verwendet werden. Eine Analyse von Tausenden von Domänencontrollern hat zahlreiche Fälle gezeigt, in denen privilegierte Benutzer Internet Explorer verwendet haben, um das Intranet oder das Internet der Organisation zu durchsuchen.

Wie bereits im Abschnitt "Fehlkonfiguration" von Avenues to Compromise beschrieben, durch das Internet oder ein infiziertes Intranet von einem der leistungsfähigsten Computer in einer Windows-Infrastruktur mit einem hoch privilegierten Konto wird ein außergewöhnliches Risiko für die Sicherheit einer Organisation dargestellt. Unabhängig davon, ob sie über ein Laufwerk heruntergeladen oder über das Herunterladen von schadsoftware-infizierten "Hilfsprogramme" verfügen, können Angreifer Zugriff auf alles erhalten, was sie benötigen, um die Active Directory-Umgebung vollständig zu kompromittieren oder zu zerstören.

Obwohl Windows Server und aktuelle Versionen von Internet Explorer viele Schutz vor böswilligen Downloads bieten, wurden in den meisten Fällen Domänencontroller und privilegierte Konten zum Durchsuchen des Internets verwendet, die Domänencontroller wurden Windows Server 2003 ausgeführt oder schutze von neueren Betriebssystemen und Browsern wurden absichtlich deaktiviert.

Das Starten von Webbrowsern auf Domänencontrollern sollte durch Richtlinien- und technische Steuerelemente eingeschränkt werden. Darüber hinaus sollte der allgemeine Internetzugriff auf Domänencontroller auch streng kontrolliert werden.

Microsoft fordert alle Organisationen auf, zu einem cloudbasierten Ansatz zur Identitäts- und Zugriffsverwaltung zu wechseln und von Active Directory zu Azure Active Directory (Azure AD) zu migrieren. Azure AD ist eine vollständige Cloudidentitäts- und Zugriffsverwaltungslösung für die Verwaltung von Verzeichnissen, die den Zugriff auf lokale und Cloud-Apps ermöglichen und Identitäten vor Sicherheitsbedrohungen schützen können. Azure AD bietet außerdem einen robusten und präzisen Satz von Sicherheitssteuerelementen, um Identitäten zu schützen, z. B. mehrstufige Authentifizierung, Richtlinien für bedingten Zugriff, Identitätsschutz, Identitätsgovernance und Privileged Identity Management.

Die meisten Organisationen arbeiten während des Übergangs zur Cloud in einem Hybrididentitätsmodell, wobei einige Elemente ihrer lokales Active Directory mithilfe von Azure AD Verbinden synchronisiert werden. Obwohl dieses Hybridmodell in jeder Organisation vorhanden ist, empfiehlt Microsoft den cloudbasierten Schutz dieser lokalen Identitäten mithilfe von Microsoft Defender for Identity. Die Konfiguration des Defender for Identity Sensor auf Domänencontrollern und AD FS-Servern ermöglicht eine hoch gesicherte, einmalige Verbindung mit dem Clouddienst über einen Proxy und zu bestimmten Endpunkten. Eine vollständige Erläuterung zum Konfigurieren dieser Proxyverbindung finden Sie in der technischen Dokumentation für Defender for Identity. Diese streng kontrollierte Konfiguration stellt sicher, dass das Risiko, diese Server mit dem Clouddienst zu verbinden, verringert wird, und Organisationen profitieren von der Erhöhung der Schutzfunktionen Defender for Identity. Microsoft empfiehlt auch, dass diese Server mit cloudgestützter Endpunkterkennung wie Microsoft Defender für Server geschützt sind.

Für diese Organisationen, die regulatorische oder andere richtliniengesteuerte Anforderungen haben, um eine lokale Implementierung von Active Directory beizubehalten, empfiehlt Microsoft, den Internetzugriff auf Domänencontroller vollständig einzuschränken.

Firewalleinschränkungen

Umkreis-Firewalls sollten so konfiguriert werden, dass ausgehende Verbindungen von Domänencontrollern im Internet blockiert werden. Obwohl Domänencontroller möglicherweise über Websitegrenzen hinweg kommunizieren müssen, können Umkreis-Firewalls so konfiguriert werden, dass die Intersite-Kommunikation mithilfe der richtlinien unter "So konfigurieren sie eine Firewall für Active Directory-Domänen und vertrauenswürdige Domänen konfigurieren" ermöglicht werden kann.

Verhindern des Webbrowsers von Domänencontrollern

Sie können eine Kombination aus AppLocker-Konfiguration, "Black Hole"-Proxykonfiguration und WFAS-Konfiguration verwenden, um den Zugriff auf Domänencontroller zu verhindern und die Verwendung von Webbrowsern auf Domänencontrollern zu verhindern.