Schützen von Domänencontrollern vor Angriffen
Drittes Gesetz: Wenn ein Angreifer oder eine Angreiferin uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist es nicht mehr Ihr Computer. - Zehn unumstößliche Sicherheitsgesetze (Version 2.0)
Domänencontroller stellen den physischen Speicher für die Active Directory Domain Services-Datenbank (AD DS) sowie die Dienste und Daten bereit, mit denen Unternehmen ihre Server, Arbeitsstationen, Benutzer*innen und Anwendungen effektiv verwalten können. Wenn ein bösartiger Benutzer Berechtigungen für einen Domänencontroller erhält, kann er die AD DS-Datenbank und damit alle von Active Directory verwalteten Systeme und Konten verändern, beschädigen oder zerstören.
Da Domänencontroller alle Elemente in der AD DS-Datenbank lesen und schreiben können, bedeutet die Kompromittierung eines Domänencontrollers, dass Ihre Active Directory-Gesamtstruktur nie wieder als vertrauenswürdig betrachtet werden kann, es sei denn, Sie können eine bekanntermaßen fehlerfreie Sicherung wiederherstellen und die Lücken schließen, die die Kompromittierung ermöglicht haben.
Je nach Vorbereitung, Werkzeugen und Fähigkeiten der Angreifer*innen benötigen diese nicht Tage oder Woche, um irreparable Schäden anzurichten, sondern nur wenige Minuten oder Stunden. Ausschlaggebend ist nicht, wie lange ein Angreifer privilegierten Zugriff auf Active Directory hat, sondern vielmehr, was er für den Moment geplant hat, in dem er privilegierten Zugriff erhält. Die Kompromittierung eines Domänencontrollers kann der direkte Weg zur Zerstörung von Mitgliedsservern, Arbeitsstationen und der gesamten Active Directory-Struktur sein. Angesichts dieser Bedrohungslage müssen Domänencontroller separat und strenger als die allgemeine Infrastruktur gesichert werden.
Physische Sicherheit für Domänencontroller
In diesem Abschnitt finden Sie Informationen zur physischen Absicherung von Domänencontrollern. Bei den Domänencontrollern kann es sich um physische oder virtuelle Computer handeln, die sich in Rechenzentren, Filialen oder an entfernten Standorten befinden.
Domänencontroller des Rechenzentrums
Physische Domänencontroller
In Rechenzentren sollten physische Domänencontroller in speziellen sicheren Racks oder Gehäusen installiert werden, die von der allgemeinen Serverpopulation getrennt sind. Wenn möglich, sollten Domänencontroller mit TPM-Chips (Trusted Platform Module) konfiguriert werden und alle Datenträger auf den Servern der Domänencontroller sollten mit BitLocker-Laufwerkverschlüsselung geschützt werden. BitLocker fügt einen kleinen Leistungs-Overhead hinzu, schützt das Verzeichnis jedoch vor Kompromissen, selbst wenn die Festplatten vom Server entfernt werden. BitLocker kann auch dazu beitragen, Systeme vor Angriffen wie Rootkits zu schützen, da die Änderung von Bootdateien den Server dazu veranlasst, in den Wiederherstellungsmodus zu booten, damit die ursprünglichen Binärdateien geladen werden können. Wenn ein Domänencontroller für die Verwendung von Software-RAID, SAS (Serial Attached SCSI), SAN/NAS-Speicher oder dynamischen Volumes konfiguriert ist, kann BitLocker nicht implementiert werden. Daher sollte auf Domänencontrollern nach Möglichkeit ein lokal angeschlossener Speicher (mit oder ohne Hardware-RAID) verwendet werden.
Virtuelle Domänencontroller
Wenn Sie virtuelle Domänencontroller implementieren, sollten Sie sicherstellen, dass diese auf physischen Hosts ausgeführt werden, die von anderen virtuellen Computern in der Umgebung getrennt sind. Auch wenn Sie eine Virtualisierungsplattform verwenden, die nicht von Microsoft stammt, sollten Sie die Bereitstellung von virtuellen Domänencontrollern auf Hyper-V in Windows Server in Betracht ziehen. Diese Konfiguration bietet eine minimale Angriffsfläche und kann mit den Domain-Controllern verwaltet werden, die sie hostet, anstatt mit dem Rest der Virtualisierungshosts verwaltet zu werden. Wenn Sie System Center Virtual Machine Manager (SCVMM) für die Verwaltung Ihrer Virtualisierungsinfrastruktur implementieren, können Sie die Verwaltung der physischen Hosts, auf denen sich Domänencontroller-VMs befinden, sowie der Domänencontroller selbst an autorisierte Administrator*innen delegieren. Sie sollten auch eine Trennung des Speichers der virtuellen Domänencontroller in Erwägung ziehen, um Speicheradministrator*innen daran zu hindern, auf die VM-Dateien zuzugreifen.
Hinweis
Wenn Sie virtualisierte Domänencontroller zusammen mit anderen VMs mit weniger vertraulichen Daten auf denselben physischen Virtualisierungsservern (Hosts) platzieren möchten, sollten Sie eine Lösung implementieren, die die rollenbasierte Trennung von Aufgaben erzwingt, z. B. abgeschirmte VMs in Hyper-V. Diese Technologie bietet umfassenden Schutz vor Fabricadministrator*innen (einschließlich Virtualisierungs-, Netzwerk-, Speicher- und Sicherungsadministrator*innen), die böse Absichten hegen oder sich nicht gut auskennen. Die Technologie nutzt einen Vertrauensanker mit Remotezertifikaten und sicherer VM-Bereitstellung und sorgt effektiv für Sicherheit auf einem Niveau, das dem eines dedizierten physischen Servers entspricht.
Zweigstellenstandorte
Physische Domänencontroller in Zweigstellen
An Standorten, an denen sich mehrere Server befinden, die aber keinen physischen Schutz in einem Maß bieten, dass die Rechenzentrumsserver als sicher gelten können, sollten physische Domänencontroller mit TPM-Chips und BitLocker-Laufwerkverschlüsselung für alle Servervolumes konfiguriert werden. Wenn ein Domänencontroller an einem Standort nicht in einem abschließbaren Raum untergebracht werden kann, sollten Sie erwägen, an diesem Standort schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODCs) einzusetzen.
Virtuelle Domänencontroller in Zweigstellen
Sie sollten virtuelle Domänencontroller in Zweigstellen nach Möglichkeit auf physischen Hosts ausführen, die von den Hosts getrennt sind, auf denen sich die anderen virtuellen Computern am Standort befinden. In Zweigstellen, in denen virtuelle Domänencontroller nicht auf getrennten physischen Hosts ausgeführt werden können, sollten Sie TPM-Chips und BitLocker-Laufwerkverschlüsselung mindestens auf den Hosts implementieren, auf denen die virtuellen Domänencontroller ausgeführt werden – wenn möglich, auf allen Hosts. Je nach Größe der Zweigstelle und der Sicherheit der physischen Hosts sollten Sie an diesen Standorten nach Möglichkeit RODCs bereitstellen.
Sicherheit an Remotestandorten mit begrenztem Platz
Wenn zu Ihrer Infrastruktur Standorte gehören, an denen nur Platz für einen einzigen physischen Server ist, sollte ein Server installiert werden, der Virtualisierungsworkloads ausführen kann. Außerdem sollte die BitLocker-Laufwerkverschlüsselung so konfiguriert werden, dass alle Volumes auf dem Server geschützt sind. Eine VM auf dem Server sollte als RODC ausgeführt werden, andere Server sollten als separate VMs auf dem Host laufen. Informationen zur Planung der Bereitstellung von RODCs finden Sie im Leitfaden zur Planung und Bereitstellung von schreibgeschützten Domänencontrollern. Weitere Informationen zum Bereitstellen und Sichern virtualisierter Domänencontroller finden Sie unter Ausführen von Domänencontrollern in Hyper-V. Ausführlichere Anleitungen zum Verstärken der Sicherheit von Hyper-V, zum Delegieren der VM-Verwaltung und zum Schützen von VMs finden Sie auf der Microsoft-Website im Solution Accelerator-Leitfaden zur Sicherheit in Hyper-V.
Domänencontroller-Betriebssysteme
Alle Domänencontroller sollten unter der neuesten Version von Windows Server ausgeführt werden, die in Ihrer Organisation unterstützt wird. Organisationen sollten Legacybetriebssysteme im Domänencontrollerbestand möglichst schnell ausmustern. Sie sollten Domänencontroller auf dem neuesten Stand halten und Legacy-Domänencontroller eliminieren, damit Sie die Vorteile der neuen Funktionen und der Sicherheit nutzen können. Diese Funktion ist in Domänen oder Forests mit Domänencontrollern, auf denen ältere Betriebssysteme laufen, möglicherweise nicht verfügbar.
Hinweis
Wie bei allen Konfigurationen, die hohe Anforderungen an die Sicherheit stellen und nur einen Zweck erfüllen, empfiehlt es sich, das Betriebssystem in der Installationsoption Server Core bereitzustellen. Dies bietet mehrere Vorteile: die Angriffsfläche wird minimiert, die Leistung wird verbessert und die Wahrscheinlichkeit menschlicher Fehler wird verringert. Zudem empfiehlt es sich, alle Vorgänge und Verwaltungsfunktionen remote auf dedizierten Endpunkten mit einem hohen Maß an Sicherheit auszuführen, wie z. B. Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations (PAWs) oder sicheren Verwaltungshosts.
Sichere Konfiguration von Domänencontrollern
Mithilfe von Tools können Sie eine anfängliche Sicherheitskonfigurations-Baseline für Domänencontroller erstellen, die mit GPOs durchgesetzt werden kann. Diese Tools werden im Abschnitt Verwalten der Sicherheitsrichtlinieneinstellungen in der Dokumentation zu den Microsoft-Betriebssystemen oder in der Desired State Configuration (DSC) für Windows beschrieben.
RDP-Einschränkungen
Gruppenrichtlinienobjekte, die mit allen Domänencontrollern in einer Gesamtstruktur verknüpft sind, sollten so konfiguriert werden, dass RDP-Verbindungen nur von autorisierten Benutzer*innen und Systemen wie z. B. Jumpservern zugelassen werden. Die Kontrolle kann durch eine Kombination aus Einstellungen der Benutzerrechte und der Konfiguration der Windows Firewall mit erweiterter Sicherheit (Windows Firewall with Advanced Security – WFAS) erreicht werden. Diese Kontrollen können mit GPOs implementiert werden, damit die Policy einheitlich angewendet wird. Wenn die Richtlinie umgangen wird, setzt die nächste Aktualisierung der Gruppenrichtlinie das System wieder auf die richtige Konfiguration zurück.
Patch- und Konfigurationsverwaltung für Domänencontroller
Auch wenn es kontraintuitiv erscheinen mag, sollten Sie erwägen, Domänencontroller und andere kritische Infrastrukturkomponenten getrennt von Ihrer allgemeinen Windows-Infrastruktur zu patchen. Wenn Sie für alle Computer in Ihrer Infrastruktur eine Software zur Verwaltung der Unternehmenskonfiguration verwenden, kann eine Kompromittierung der Systemverwaltungssoftware dazu verwendet werden, alle von dieser Software verwalteten Infrastrukturkomponenten zu gefährden oder zu zerstören. Indem Sie die Patch- und Systemverwaltung für Domänencontroller vom allgemeinen Bestand trennen, können Sie nicht nur die Menge der auf den Domänencontrollern installierten Software reduzieren, sondern auch deren Verwaltung genau kontrollieren.
Blockieren des Internetzugriffs für Domänencontroller
Eine der Überprüfungen, die im Rahmen einer Active Directory-Sicherheitsbewertung durchgeführt werden, ist die Verwendung und Konfiguration von Webbrowsern auf Domänencontrollern. Auf Domänencontroller sollte kein Webbrowser verwendet werden. Eine Analyse von Tausenden von Domänencontrollern ergab zahlreiche Fälle, in denen berechtigte Benutzer den Internet Explorer verwendeten, um das Intranet oder das Internet des Unternehmens zu durchsuchen.
Das Surfen im Internet oder in einem infizierten Intranet von einem der leistungsfähigsten Computer in einer Windows-Infrastruktur aus stellt ein außerordentliches Risiko für die Sicherheit eines Unternehmens dar. Ob durch einen Drive-by-Download oder per Download von mit Schadsoftware infizierten „Hilfsprogrammen“ – Angreifer*innen können Zugriff auf alle Elemente und Komponenten erlangen, die sie benötigen, um die Active Directory-Umgebung vollständig zu kompromittieren oder sogar zu zerstören.
Der Start von Webbrowsern auf Domänencontrollern sollte durch Policy und technische Kontrollen eingeschränkt werden. Der allgemeine Internetzugang von und zu Domänencontrollern sollte ebenfalls strikt überwacht werden.
Microsoft empfiehlt allen Organisationen, für die Identitäts- und Zugriffsverwaltung zu einem cloudbasierten Ansatz zu wechseln und von Active Directory zu Microsoft Entra ID zu migrieren. Microsoft Entra ID ist eine vollständige cloudbasierte Identitäts- und Zugriffsverwaltungslösung für die Verwaltung von Verzeichnissen, das Gewähren des Zugriffs auf lokale und Cloud-Apps und den Schutz von Identitäten vor Sicherheitsbedrohungen. Microsoft Entra ID bietet eine robuste und granulare Reihe von Sicherheitskontrollen zum Schutz von Identitäten, wie z. B. Multifaktor-Authentifizierung, Richtlinien für bedingten Zugriff, ID-Schutz, Identity Governance und Privileged Identity Management.
Die meisten Unternehmen arbeiten beim Übergang in die Cloud mit einem hybriden Identitätsmodell, bei dem einige Elemente ihres lokalen Active Directory mit Microsoft Entra Connect synchronisiert werden. Obwohl dieses Hybridmodell in jedem Unternehmen existiert, empfiehlt Microsoft den Cloud-basierten Schutz dieser lokalen Identitäten mit Microsoft Defender for Identity. Die Konfiguration des Defender for Identity-Sensors auf Domänencontrollern und AD FS-Servern ermöglicht eine sichere, einseitige Verbindung zur Cloud über einen Proxy und bestimmte Endpunkte. Eine vollständige Erläuterung der Konfiguration dieser Proxyverbindung finden Sie in der technischen Dokumentation für Defender for Identity. Diese streng kontrollierte Konfiguration stellt sicher, dass das Risiko verringert wird, dass diese Server eine Verbindung mit dem Clouddienst herstellen, und Organisationen profitieren von den höheren Schutzfunktionen vonj Defender for Identity. Microsoft empfiehlt auch, diese Server mit einer cloudbasierten Endpunkterkennung wie z. B. Microsoft Defender for Servers zu schützen.
Für Unternehmen, die aufgrund gesetzlicher Bestimmungen oder anderer Richtlinien eine reine Vor-Ort-Implementierung von Active Directory beibehalten müssen, empfiehlt Microsoft, den Internetzugang zu und von Domänencontrollern vollständig zu beschränken.
Einschränkungen für Umkreisfirewalls
Umkreisfirewalls sollten so konfiguriert werden, dass ausgehende Verbindungen von Domänencontrollern mit dem Internet blockiert werden. Auch wenn Domänencontroller über Standortgrenzen hinweg kommunizieren müssen, können Perimeter-Firewalls so konfiguriert werden, dass sie die Kommunikation zwischen den Standorten zulassen. Befolgen Sie dazu die Richtlinien unter So wird eine Firewall für Active Directory-Domänen und Trusts konfiguriert.
Verhindern des Webzugriffs auf Domänencontrollern
Sie können eine Kombination aus einer AppLocker-Konfiguration, einer „Black Hole“-Proxykonfiguration und einer WFAS-Konfiguration verwenden, um den Internetzugriff und die Verwendung von Webbrowsern auf Domänencontrollern zu verhindern.