Bundesamt für Sicherheit in der Informationstechnik

M 4.314 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Windows Server mit Active Directory enthält Standard-Sicherheitsrichtlinieneinstellungen für die Domäne und für die Domänen-Controller. Es werden jedoch Änderungen der Standard-Richtlinieneinstellungen zur Erhöhung der Sicherheit von Domäne und Domänen-Controllern durch die folgenden Punkte empfohlen:

  • Sichere Kennwortrichtlinien-Einstellungen
    Der Zugriff auf Domänen-Controller muss mit starken Mechanismen abgesichert sein. Näheres zu den dafür notwendigen Einstellungen der Kennwortrichtlinien findet sich in den Microsoft-Server-spezifischen Bausteinen.
  • Konto-Sperrungsrichtlinien
    Die Protokollierung der Anmeldeversuche (siehe hierzu auch M 4.316 Überwachung der Active Directory Infrastruktur ) sollte so eingerichtet werden, dass Angriffe erkannt werden können. Beispielsweise könnte eine große Zahl nicht erfolgreicher Kennworteingaben während eines Anmeldeversuchs auf einen Brute-Force-Angriff hindeuten. Die eigentliche Kontosperrung ist über die Optionen Kontosperrdauer, Kontosperrungsschwelle und die Zurücksetzung des Kontosperrungszählers entsprechend der Beschreibung in Maßnahme M 2.231 Planung der Gruppenrichtlinien unter Windows zu definieren.
  • Kerberos-Richtlinien-Einstellungen
    Der durch Kerberos zur Verfügung stehende Authentisierungsdienst teilt dem jeweiligen Client die erforderlichen Autorisierungsdaten für Ressourcenzugriffe zu. Hierbei wird der Zugriff auf Netzressourcen anhand von Sitzungstickets gewährt. Dazu stellt der Domänen-Controller im Vorfeld ein sogenanntes Ticket-Granting-Ticket (TGT) an den Client aus. Erfolgt ein Zugriffsversuch seitens der Clients auf eine Ressource, so übermittelt der Client das TGT zur Prüfung an den Domänen-Controller. Der Domänen-Controller wiederum generiert dem Client nach erfolgreicher Prüfung ein Sitzungsticket, mit dem ein zeitlich begrenzter Zugriff auf die Ressource ermöglicht wird.
    Durch eine Anpassung der Kerberos-Richtlinieneinstellung können für Domänen-Benutzerkonten die Kerberos-Tickets, z. B. die Gültigkeitsdauer, angepasst werden. Hinweise zur Anpassung der Kerberos-Richtlinien können den Hilfsmitteln zum IT-Grundschutz (siehe Kerberos-Richtlinieneinstellungen für Domänen in Hilfsmittel zum Active Directory) entnommen werden.

In Bezug auf sichere Richtlinieneinstellungen für Domänen-Controller werden des Weiteren nachfolgende Maßnahmen empfohlen:

Benutzerrechte sollten restriktiv vergeben werden, so dass die Benutzer in der Domäne oder auf dem Domänen-Controller die betrieblichen oder administrativen Aufgaben erledigen können. Die Zugriffsmöglichkeiten von Benutzern sollte dabei so eingeschränkt werden, dass sie die Sicherheit der Domänen-Controller nicht gefährden (siehe auch Maßnahme M 2.229 Planung des Active Directory ).

Durch die Einrichtung von Richtlinieneinstellungen für die Domänen-Controller-Überwachung wird der Nachweis der Verantwortung für sensible Verzeichnisoperationen, z. B. Verwaltungs- oder Konfigurationsänderungen, ermöglicht. Es sollte eine Überwachung von Anmeldeversuchen, Kontoverwaltung, Active Directory-Zugriff, Objektzugriffsversuchen, Richtlinienänderungen, Rechteverwendung, Prozessverfolgung und Systemereignisse eingerichtet werden.

Wichtige Active Directory-Objekte, wie z. B. die Verzeichnispartitionen, sind mit geeigneten Richtlinieneinstellungen zu überwachen. Dazu muss die Überwachung der Verzeichnispartitionen (logische Bereiche der Active Directory-Datenbank) aktiviert werden. Die hiervon betroffenen Verzeichnispartitionen lauten "Schema", "Konfiguration" und "Domäne".

Die obigen Empfehlungen zur Einrichtung von Richtlinieneinstellungen führen dazu, dass die voreingestellte maximale Größe des Sicherheitsprotokolls angehoben werden muss, damit eine größere Anzahl überwachter Ereignisse aufgenommen werden kann. Die Protokolle müssen zeitnah ausgewertet werden. Außerdem muss es ein klar definiertes Vorgehen für die regelmäßige und rechtzeitige Archivierung sowie eine Sicherung der Sicherheits- und Systemereignisprotokolle geben, damit keine Ereignisse verloren gehen oder überschrieben werden.

Ist darüber hinaus die Zusammenarbeit zwischen Domänen in verschiedenen Gesamtstrukturen zu unterstützen, z. B. zur gemeinsamen Nutzung von Anwendungen oder zur begrenzten Zusammenarbeit zwischen verschiedenen Gesamtstrukturen in einer Institution, sollten externe Vertrauensstellungen eingerichtet werden. Durch externe Vertrauensstellungen entsteht jedoch ein potenzielles Sicherheitsrisiko, da Sicherheitsgrenzen überschritten werden. Daher sollten die Domänen-Controller in der vertrauenden Domäne Autorisierungsdaten der Benutzer filtern und Sicherheitskennungen (Security IDs, SIDs) entfernen, die sich nicht auf die Domäne des Benutzerkontos beziehen. Eine ausführliche Beschreibung hinsichtlich der Erschleichung umfassender Berechtigungen durch gefälschte SIDs und die Gegenmaßnahmen durch SID-Filterung ist in den Microsoft-Knowledge-Base-Artikeln 289243 und 289246 aufgeführt.

Die Richtlinieneinstellungen der Sicherheitsoptionen für Domänen-Controller beeinflussen die sicherheitsrelevanten Konfigurationseinstellungen der Windows Server Betriebssysteme und sollten daher gewissenhaft eingestellt werden. Dies gilt nicht nur für die Active Directory relevante Konfiguration, sondern auch für andere Komponenten des Windows Server Betriebssysteme (z. B. Sicherheitskonfigurationseinstellungen für Netz, Dateisystem und Benutzeranmeldung).

Prüffragen:

  • Umfassen die Richtlinien für Domänen und Domänen-Controller sichere Einstellungen für Kennworte, Kontensperrung, Kerberos-Authentisierung, Benutzerrechte und Überwachung?

  • Ist eine ausreichende Größe für das Sicherheitsprotokoll des Domänen-Controllers eingestellt?

  • Bei externen Vertrauensstellungen zu anderen Domänen: Werden Autorisierungsdaten der Benutzer gefiltert und anonymisiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK