Sicherheit für Domänencontroller
Vorwort
Domänencontroller sind für die Authentifizierung ovn Benutzern in
Ihrem Netzwerk zuständig. Sie sind also sozu-
sagen die Schlüsselwächter des Königreichs. Ohne Domänencontroller
ist Ihr Netzwerk nicht betriebsfähig.
Erhält ein Angreifer Zugriff auf einen Domänencontroller, dann kan
er die im Active Directory gespeicherten
Informationen verwenden, um Netzwerkressourscen aufzuspüren und möglicherweise
sogar darauf zugreifen.
Sie erstellen zB. einen Domänencontroller indem Sie "dcpromo"
im Feld "Ausführen" eingeben, den Server-
verwaltungs-Assistenten ausführen.
Eine sehr gute aber noch nicht allzu verbreitete Methode zur
Sicherung Ihrer Domänencontroller bzw.
des Datenverkehrs zu Ihrem Domänencontrollers besteht in der Möglichkeit
IPSec einzusetzen.
Sie können IPSec mittels Gruppenrichtlinien steuern und somit ihr Netzwrek
komfortabel schützen.
IPSec ist eng mit dem SSL (öffentliche Schlüssel, private Schlüssel
Konzept) verwandt und kann
mittels dem Snap-In IP-Sicherheitsmonitor,
und IP-Sicherheitsrichtlinien verwaltet werden.
In Gruppenrichtlinien ist das Snap-In IP-Sicherheitsrichtlinien eingebaut und
bietet auf selbe Art
und Weise die Konfiguration. Näheres über IPsec können Sie in
anderen Dokumenten auf msosh.at.tt
nachlesen.
Die Active Directory Datenbank
Der Schutz der Active Directory Datenbank und der Protokolldateien ist zur Wahrung
der Verzeichnisintegrität
und der Zuverlässigkeit von oberster Bedeutung. Indem Sie die Dateien Ntds.dit,
Edb.lob und Temp.edb von
ihren Standardpositionen verschieben, können Sie sie besser vor einem Angreifer
verbergen, der den Domänen-
controller erfolgreich angegriffen hat. Hinzu kommt, dass das Verschieben der
Dateien vom Systemvolume
auf eine separate physiche Festplatte die Leistungsfähigkeit des Domänencontrollers
verbessert.
Erhält ein Angreifer Zugriff auf einen Domänencontroller,
dann wird er wahrscheinlich versuchen, mithilfe einer
Software zum Knacken von Kennwörtern die Anmeldeinformatoinen von Benutzer
aufzudekcne. Das Dienst-
programm für Systemschlüssel (Syskey.exe) stellt eine zusätzliche
Abwehrmaßnahme gegen Software zum
Offlineknacken von Kennwörtern dar, denn es verwendet starke Verschlüsselungstechniken,
um Kennwortdaten
zu sichern. Standardmäßig ist Syskey auf allen Computern unter Windows
Server 2003 im Modus 1 (System-
startschlüssel wird lokal gespeichert") aktiviert. Eine Menge Gründe
sprechen für die Verwendung der Modi
2 ("Kennwort für den Systemstart") oder 3 ("Vom System generiertes
Kennwort, Systemstartschlüssel wird
auf Diskette gespeichert") auf Domänencontrollern, die physichen Sicherheitsrisiken
ausgesetzt sind.
Gehen Sie wie folgt vor, um einen Systemschlüssel zu erstellen oder zu aktualisieren:
Syskey schützt auch unter Windows XP Professional Ihre Kontenkennwortdaten.
Nur wird hier die lokale
Datenbank (Security Account Manager, SAM) geschützt und nicht die Active
Directory Datenbank.
Syskey unter Windows XP
Syskey unter Windows XP
Überlegungen zur Protokollierung
Wie DNS-Server führen auch Active Directory Server Ereignisprotokolle,
die mithilfe der Ereignisanzeige be-
trachtet werden können. Das Hinzufügen der Rolle Domänencontroller
fügt nicht nur die Rolle DNS-Server,
sondern auch die Rollen Verzeichnisdienst und Dateireplikationsdienst hinzu.
Um sicherzustellen, dass
die entsprechenden Protokolldateien eine angemessene Datenmenge aufnehmen können,
sollten Sie in
Betracht ziehen, die maximale Größe dieser Dateien zu erhöhen.
Wenn Sie einen Angriff entdecken, der
schon Tage, Wochen oder sogar Monate zurückliegt, dann können Sie,
sofern Sie ausreichend große
Protokolldateien konfiguriert haben, die Protokolle des entsprechenden Zeitraums
noch prüfen. Eine Ver-
größerung der Verzeichnisdienst- und Dateireplikationsdienst-Protokolldateien
von der Standardeinstellung
von 512KB auf 16MB ist im Allgemeinen ausreichend.
Schützen von Domänencontrollern
mit Firewalls
Um die Wahrscheinlichkeit, dass ein Angreifer eine Verbindung zu Ihren Domänencontrollern
herstellen
kann zu verringern, sollten Sie eine Firewall einsetzen. Blockieren Sie mithilfe
eines Paketfilters den ge-
samten unbenötigten Datenverkehr von und zu Ihren Domänencontrollern.
Domänencontroller verwenden
mehrere verschiedene Protokolle zur Kommunikation mit Clients und anderen Domänencontrollern.
Wann immer möglich, sollten Sie die Kommunikation einschränken, sodass
nur die benötigten Anschlü-
sse zwischen einem Domänencontroller und einem anderen Computer geöffnet
sind. Die folgende Tabel-
le zeigt häufig auftretende Kommunikationssituationen von Domänencontrollernd
und die entsprechen-
den Protnummern:
| Active Directory Kommunikation | Notwendiger Datenverkehr |
| Netzwerkanmeldung eines Benutzers über eine Firewall |  Microsoft-DS-Datenverkehr
(445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping (Lightweight Directory Access Protokol)
(389/UDP)
DNS (53/TCP, 53/UDP) |
| Computeranmeldung an einem Domänencontroller | Microsoft-DS-Datenverkehr
(445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping (Lightweight Directory Access Protokol)
(389/UDP)
DNS (53/TCP, 53/UDP) |
| Herstellen einer Vertrauensstellung zwischen Domänencontrollern in verschiedenen Domänen | Microsoft-DS-Datenverkehr
(445/TCP, 445/UDP)
Kerberos-Authentifizierungsprotokoll (88/TCP,88/UDP)
LDAP-Ping (Lightweight Directory Access Protokol)
(389/UDP)
DNS (53/TCP, 53/UDP)
LDAP (389/TCP; 686/TCP bei Verwendung von SSL) |
| Verifizierung einer Vertrauensstellung zwischen zwei Domänencontrollern |
|
Erstellt von: Haßlinger Stefan
Im: Jahr 2006