:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/09/8109e93cabadea27e80753ea82d09216/0114074983.jpeg "Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden. (Bild: Joos - Apple)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/70/c6/70c6d758eb0048f37eaea7997018042e/0114039013.jpeg "Die Mobile Autonomous Prospecting Platform (MAPP), ein Rover von Lunar Outpost, mit ausgefahrenen Nokia-Antennen. (Bild: Intuitive Machines / Lunar Outpost / Nokia Bell Labs)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/24/a4/24a4afe677c8595c650c214584a3817e/0114061470.jpeg "Mitels neue 700d-DECT-Handset-Serie umfasst vier Modelle. (Bild: Mitel)")
:quality(80)/p7i.vogel.de/wcms/50/c5/50c5a853408eb76c9685288f136f1b00/0114147274.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Domänencontroller zuverlässig vor Angriffen schützen Härtungsmaßnahmen für das Active Directory
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/127800/127879/65.jpg "Lenovo Logo_rot.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Der Schutz von Active Directory ist ein wichtiger Faktor für die Sicherheit im Netzwerk. Können Angreifer die Domänencontroller kompromittieren, besteht die Gefahr, dass Anmeldedaten übernommen werden und Netzwerkdienste und deren Daten in Gefahr sind. Härtungsmaßnahmen wirken dem entgegen.
Active Directory ist in vielen Netzwerken die Zentrale zur Authentifizierung von Benutzern und Serverdiensten. Daher sollten Administratoren auch hier darauf achten, dass Domänencontroller und Netzwerkkommunikation so sicher wie möglich sind. Die wichtigsten Schritte dazu bestehen zunächst aus Standardmaßnahmen.
Zunächst sollte mit Administrator-Rechten immer sehr vorsichtig vorgegangen werden. Selbstverständlich sollten auch alle aktuellen Updates auf den Domänencontrollern und allen Mitgliedscomputern installiert werden. Dies nur ganz grundlegend als elementare Sicherheitsaspekte. Das BSI stellt ein Dokument [PDF] zur Verfügung, das ebenfalls Anleitungen und Tipps für mehr Sicherheit in Active Directory enthält.
:quality(80)/p7i.vogel.de/wcms/7c/b3/7cb383c3e9ae91505d774fef2f688c73/0105074842.jpeg "Mit Security Baselines lassen sich Domänencontroller und Mitgliedsserver auch über Gruppenrichtlinien absichern.")
:quality(80)/p7i.vogel.de/wcms/37/48/3748bb2a2f9b7e2b3854264533eebe07/0105074840.jpeg "Privileged Access Management kann in Active Directory als zusätzliches Feature aktiviert werden.")
:quality(80)/p7i.vogel.de/wcms/e3/ed/e3edd8b06429e14f068e732bb72fb6eb/0105074839.jpeg "Aktivieren von Privileged Access Management in der PowerShell.")
:quality(80)/p7i.vogel.de/wcms/3d/53/3d53c8a34f8c0fa9b4f376fdac3d77ee/0105074849.jpeg "Benutzer und Gruppen mit Adminrechten sollten in Active Directory besonders geschützt werden.")
Verwaltungsmodelle mit geringen Rechten umsetzen
Administratoren sollten für die tägliche Arbeit möglichst nicht mit dem Adminkonto arbeiten, sondern ein herkömmliches Benutzerkonto mit reduzierten Rechten verwenden. Zudem sollten Technologien wie Privileged Access Management (PAM) für Active Directory zum Einsatz kommen. Mehr dazu ist im Beitrag "Reduzieren der Angriffsfläche für Active Directory" zu finden.
Für die Einrichtung von PAM sind die Informationen auf der Microsoft-Seite "Implementieren von Verwaltungsmodellen der geringste Rechte" interessant. Wir haben die Einrichtung auch im Beitrag "Admin auf Zeit in Active Directory" ausführlich beschrieben.
Selbstverständlich sollten auf den Domänencontrollern auch alle aktuellen Updates installiert sein, damit Sicherheitslücken ausgeschlossen sind. Hinzu kommt die Einschränkung des RDP-Zugriffs. Für eine sichere Umgebung ist es generell eher nicht sinnvoll, per RDP auf die Domänencontroller zuzugreifen. Ausnahme dabei sind Verwaltungscomputer von Admins, die wiederum zum Tier 0 (siehe nächster Absatz) gehören. Es ist sinnvoll, den Zugriff auf die Domänencontroller nur von diesen Geräten aus zu gestatten. Auch der Zugriff auf das Internet sollte möglichst unterbunden werden.
Tier-Unterteilung von Active Directory als elementarer Bestandteil für mehr Sicherheit
Generell sollten Serverdienste im Netzwerk in Tiers unterteilt werden, ähnlich wie VLANs. Dabei enthält das Tier 0 die besonders kritischen Systeme. Dazu gehören allgemein auch die Domänencontroller. Tier-0-Geräte sollten nicht in großer Anzahl vorhanden sein, da diese besonders geschützt werden müssen. Daher sollte auch darauf geachtet werden, dass auf Tier-1- und Tier-2-Geräten keine Tools und Dienste laufen, die direkt auf Tier-0-Systeme zugreifen können.
Benutzerkonten, die Tier-0-Systeme verwalten, sollten nicht auf Tier-1- und Tier-2-Geräten genutzt werden. Einfach ausgedrückt heißt das: Benutzerkonten aus Tier 0, zum Beispiel die Domänenadministratoren, dürfen nicht für die Anmeldung an Arbeitsstationen in Tier 2 und auch nicht zur Anmeldung an Servern in Tier 1 genutzt werden.
Die Übernahme von Tier-0-Systemen kann auch Tier-1-Geräte beeinträchtigen. Zu Tier-1-Systemen gehören wichtige Server, wie Dateiserver. Die Tier-2-Geräte sind schlussendlich die Arbeitsstationen oder eher unwichtigere Server. Die Aufteilung muss so erfolgen, dass es von einem Tier-1- oder Tier-2-Gerät aus nicht möglich ist, ein Tier-0-Gerät zu steuern.
Es gilt also zu verhindern, dass von "unsicheren" Tier-Geräten aus eine Steuerung der übergeordneten Tiers durchgeführt werden kann. Wenn auf einem Tier-1-Gerät zum Beispiel Systemdienste das Recht von Domänen-Admins haben, können diese auch auf Tier 0 zugreifen, da Domänen-Admins auch Domänencontroller steuern dürfen. Das gilt auch für die Datensicherung und andere Dienste, die oft aus Bequemlichkeit heraus mit Domänen-Admin-Rechten ausgestattet werden, ohne dass es notwendig ist. Das sollte in jedem Fall vermieden werden.
Lokale Administrator-Konten umbenennen und verschiedene Kennwörter verwenden
Generell sollten auf Mitgliedsservern in Active Directory die lokalen Administratorkonten umbenannt werden. Das Konto "Administrator" ist häufig Ziel von Angriffen. Darüber hinaus sollten für alle Konten unterschiedliche Kennwörter verwendet werden. Hat ein Angreifer ein Kennwort erfolgreich übernommen, kann er sich sonst an allen Konten mit diesem Kennwort anmelden. Darüber hinaus sollte auf den Servern auch LAPS (Local Admin Password Solution) von Microsoft zum Einsatz kommen. Mit dieser kostenlosen Erweiterung lassen sich lokale Admin-Konten zuverlässiger schützen.
Virtuelle Domänencontroller schützen
Wenn virtuelle Domänencontroller zum Einsatz kommen, besteht die Gefahr, dass Angreifer die VMs exportieren oder die Dateien kopieren. In den Dateien ist auch die AD-Datenbank enthalten, auf die Angreifer nach dem Diebstahl bequem zugreifen können. Bei den Virtualisierungs-Hosts kann es sich daher durchaus auch um Tier-0-Systeme handeln. Auch die Datensicherung von Active Directory spielt hier eine Rolle. Die gesicherten Daten enthalten ebenfalls oft die Active-Directory-Datenbank und ermöglichen dadurch Zugriff auf Tier-0-Systeme. Daher muss auch hier geplant werden, wo diese Daten liegen. Selbstverständlich gilt das auch für physische Server. Auch diese müssen vor Diebstahl bzw. unbefugtem physischem Zugriff geschützt werden.
Sicherheitsempfehlungen von Microsoft automatisiert umsetzen
Das Microsoft Security Compliance Toolkit ist ein kostenloses Werkzeug von Microsoft, mit dem Sicherheitseinstellungen im Netzwerk über Gruppenrichtlinien verteilt werden können. Hier lassen sich auch Gruppenrichtlinien für Domänencontroller automatisiert umsetzen. Im Beitrag "Security-Baseline für Windows Server 2022 und Windows 11" gehen wir ausführlicher auf das Thema ein.
Im Beitrag "So nutzen Sie LDAP over SSL in Active Directory" zeigen wir zudem wichtige Sicherheitseinstellungen für die Aktivierung von LDAP over SSL in Active Directory.
:quality(80)/p7i.vogel.de/wcms/87/f8/87f88bec164f78e0e22c9e3dca2db421/0102047170.jpeg)
:quality(80)/p7i.vogel.de/wcms/c8/a1/c8a13338f9b3139c9c316d8a01e5ee2c/0106089557.jpeg)
:quality(80)/p7i.vogel.de/wcms/d6/b1/d6b13471629d8ab4757e5ce5ec163c86/0106089303.jpeg)
:quality(80)/p7i.vogel.de/wcms/9b/3e/9b3e1dbdf8eec58771504f96d4e7c62d/0106089295.jpeg)
(ID:48402041)
:quality(80)/p7i.vogel.de/wcms/8b/2d/8b2d725482918a046a2fa2ee5c409ab0/0109279355.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/a1/75a126f7409bcd380588ad6d1f6cda62/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")