Bundesamt für Sicherheit in der Informationstechnik

M 3.27 Schulung zur Active Directory-Verwaltung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Das Active Directory ist die zentrale Datenbank der Serverbetriebssysteme Windows Server 2000 und Windows 2003 Server (im Folgenden unter dem Begriff Windows-Server zusammengefasst), in der Benutzerdaten, Gruppenzugehörigkeiten und andere Verwaltungsdaten abgelegt werden. Clients können im Active Directory ab der Version Windows 2000 verwaltet werden.

Für die Administration eines Windows-Netzes werden detaillierte Kenntnisse des Active Directory und seiner grundlegenden Konzepte benötigt. Ansonsten kann es leicht zu Fehlkonfigurationen kommen, die erhebliche sicherheitstechnische Auswirkungen haben können. Eine Schulung der Administratoren auf diesem Gebiet und insbesondere zu Active Directory Sicherheitsthemen ist daher unerlässlich.

Schulungsinhalte

Je nach Größe und Komplexität des Netzes, wird ein Active Directory nicht von einem einzelnen Administrator, sondern von einer ganzen Reihe von Administratoren mit speziellen Aufgaben und Tätigkeitsbereichen durchgeführt. Insoweit besteht auch nicht für alle Administratoren eines Active Directories der gleiche Schulungsbedarf. Zur Gewährleistung eines sicheren Betriebes muss jedoch jeder Administrator über ein hinreichendes Grundwissen verfügen, um seine eigenen Tätigkeiten in einen Gesamtkontext einordnen zu können.

Schulungsinhalte sollten in jedem Fall die folgenden Stichpunkte umfassen und diese erläutern. Wie tief ein Administrator sich mit den einzelnen Punkten beschäftigen muss, hängt von seinem späteren Tätigkeitsfeld ab.

Grundlagen

  • Überblick über die Sicherheitsmechanismen von Windows-Server
  • Neuerungen in Sicherheitsmechanismen von aktuellen Windows-Client-Betriebssystemen (mit Berücksichtigung der von neuen Betriebssystemversionen oder aktuellen Service Packs hervorgerufenen Änderungen)
  • Sicherheitsverwaltung (MMC, Security Editor, GPMC)
  • Active Directory und DNS
  • Vertrauensbeziehungen zwischen Domänen
  • Notwendiger physikalischer Schutz aller Domänen-Controller als Träger der Kerberos Daten

Active Directory

  • Allgemeines: Planung, Einrichtung, Administration
  • Schema-Verwaltung
  • Replikation
  • Backup
  • Rechtevergabe
  • Authentisierung
  • Gruppenrichtlinien

PKI (Public Key Infrastruktur)

  • Funktionsweise einer PKI
  • Zertifikate und Zertifikatstypen
  • Planung einer PKI
  • Einrichten einer PKI
  • Verwalten einer PKI
  • Benutzerinteraktion mit der PKI

EFS (Encrypting File System)

  • Funktionsweise des EFS
  • Konfiguration des EFS (Recovery-Agent, Zertifikate)
  • Schlüsselbackup
  • Schutz verschlüsselt gespeicherter Dateien bei der Netzkommunikation

IPSec

  • Funktionsweise des IPSec
  • Konfiguration des IPSec
  • Umgang mit ipsecmon.exe oder einem IPSec-Monitor eines Drittherstellers

WFP (Windows File Protection)

  • Funktionsweise der WFP
  • Konfigurationsmöglichkeiten der WFP

DFS (Distributed File Service)

  • Funktionsweise des DFS
  • Administration des DFS
  • Planung der DFS-Struktur
  • Schutz der über DFS zugreifbaren Daten

Die einzelnen Active Directory Themen sollten dabei wie folgt detaillierter dargestellt werden:

Schema-Verwaltung

Im Normalfall ist eine installationsspezifische Veränderung des Active Directory-Schemas durch einen Administrator nicht notwendig. Die Schulung kann sich insofern auf die Problematik und Auswirkungen von Schema-Veränderungen beschränken.

Sollen individuelle Anpassungen des Schemas vorgenommen werden, sind weitergehende Schulungen zu Interna des Active Directory notwendig.

Replikation des Active Directory

  • Verwendete Mechanismen zur Replikation des Active Directory (RPC und SMTP)
  • Voreingestellte Parameter zur Replikation von Active Directory Inhalten
  • Problematik der dezentralen Administration des AD im Zusammenhang mit Replikationskonflikten

Backup

  • Problematik des Erstellens eines "Backups des Active Directory"
  • Wiedereinspielen von Backups eines Domänen-Controllers
  • Zu ergreifenden Maßnahmen bei Ausfall von Domänen-Controllern, die FSMO -Rollen innehaben

Rechtevergabe im Active Directory

  • Vergabe von Zugriffsrechten auf AD-Objekte auf Attributsebene
  • Vererbung von Zugriffsrechten und Blockade der Vererbung
  • Mögliche Zugriffsrechte
  • Delegation von administrativen Aufgaben auf der Ebene einzelner OUs

Authentisierung

  • Kerberos
  • PKI
  • Smart Cards

Gruppenrichtlinien

  • Lokale Gruppenrichtlinien und im Active Directory gespeicherte Gruppenrichtlinien
  • Konfigurationsmöglichkeiten mit Hilfe von Gruppenrichtlinien
  • Wann werden Gruppenrichtlinien angewandt? Wie lässt sich dies konfigurieren?
  • Gruppenrichtlinienobjekte (GPOs) sind Objekte im Active Directory
  • Gruppenrichtlinienobjekte können an Standorte / Domänen / OUs gebunden werden
  • Reihenfolge, in der Gruppenrichtlinien abgearbeitet werden
  • Möglichkeiten, die Anwendung von Gruppenrichtlinien zu kontrollieren
    • Vergabe von Zugriffsrechten auf Gruppenrichtlinien
    • No Override Eigenschaft der Bindung eines Gruppenrichtlinienobjektes an ein AD-Objekt
    • Block Policy Inheritance Eigenschaft von AD-Objekten
  • Möglichkeiten zur selektiven Anwendung der Gruppenrichtlinien unter Windows XP:
    • Sicherheitsfilter
    • WMI Filters

Prüffragen:

  • Sind die Administratoren für die Arbeit mit Active Directory geschult?

  • Sind die Administratoren mit allen Sicherheitsmechanismen und -aspekten von Active Directory in ihrem Tätigkeitsbereich vertraut?

Stand: 13. EL Stand 2013