Bundesamt für Sicherheit in der Informationstechnik

M 6.108 Datensicherung für Domänen-Controller

Verantwortlich für Initiierung: Fachverantwortliche, Leiter IT

Verantwortlich für Umsetzung: Administrator

Da Domänen-Controller üblicherweise zentrale Authentisierungs- und Autorisierungsaufgaben für den Zugriff auf wichtige Ressourcen im Netz ermöglichen, führt ein Ausfall unmittelbar zu schwerwiegenden Beeinträchtigungen im Netz. Daher muss für die Datensicherung der Domänen-Controller als zentrale IT-Komponenten eine geeignete Vorgehensweise festgelegt werden. Diese sollte entweder im Datensicherungskonzept der Institution oder in einer eigenständigen Datensicherungsrichtlinie dokumentiert sein. Die grundsätzliche Vorgehensweise wird im Baustein B 1.4 Datensicherungskonzept beschrieben. Darüber hinaus sind zusätzlich Domänen-Controller-spezifische Besonderheiten bei der Entwicklung der Datensicherungsrichtlinie für Active Directory zu berücksichtigen. Dieses Regelwerk sollte folgende Aspekte berücksichtigen:

  • Auf Domänen-Controllern müssen regelmäßig und nachvollziehbar Datensicherungen durchgeführt werden.
  • Es sollten für Datensicherungen keine organisationsweiten, allgemeinen Benutzerkonten verwendet werden.
  • Datensicherungssysteme sollten nur an Standorten aufgestellt werden, bei denen die Sicherheit der Hardware und Medien gewährleistet ist.
  • Es muss regelmäßig getestet werden, ob sich die Domänen-Controller unter Verwendung der Sicherungsmedien wiederherstellen lassen.
  • Ausgesonderte Datensicherungsmedien müssen vernichtet werden.

Gegenüber herkömmlichen Server-Sicherungen sollten bei Domänen-Controllern die im Folgenden genannten Punkte zusätzlich betrachtet werden.

Die Wiederherstellung eines ausgefallenen Domänen-Controllers wird selten unter alleiniger Zuhilfenahme von Datensicherungsmedien durchgeführt. Bewährt hat sich hierbei die Hochstufung eines Mitgliedsservers zum Domänen-Controller und anschließende Replizierung der Active Directory-Daten von einem anderen Domänen-Controller. Diese Methode kann allerdings nur dann verwendet werden, wenn durch den Einsatz mehrerer Domänen-Controller nach dem Ausfall eines oder mehrere Systeme noch mindestens ein gültiges Replikat des Active Directory existiert.

Existiert lediglich ein Domänen-Controller oder ist nach dem Ausfall der Domänen-Controller kein ActiveDirectory-Replikat mehr verfügbar, so muss die Wiederherstellung über die Datensicherungsmedien erfolgen. Dabei ist zu beachten, dass unter Umständen Probleme wie fehlerhafte Sicherungsmedien, unvollständige Wiederherstellungsverfahren oder fehlende Verfahrenskenntnisse bei den Verantwortlichen auftreten können. Um diesen Problemen entgegenzuwirken ist sicherzustellen, dass die Administratoren mit den Wiederherstellungsverfahren für die Gesamtstruktur vertraut sind.

Auswahl kompatibler Sicherungssoftware

Werden die Metadaten der zu sichernden Dateien vom Datensicherungsprogramm nicht korrekt behandelt, so kann dies ebenso wie bei der Verwendung ungeeigneter Virenschutzprogramme zu einer erhöhten Dateireplizierung durch den File Replication Service ( FRS ) führen (siehe G 4.68 Störungen des Active Directory durch unnötige Dateireplizierung ).

Ähnlich wie beim Einsatz von Virenschutz-Programmen (siehe M 2.414 Computer-Viren-Schutz für Domänen-Controller ) ist daher bei der Auswahl der Datensicherungssoftware zwingend darauf zu achten, dass die einzusetzende Software für die Datensicherung von Domänen-Controllern vom Hersteller freigegeben wurde.

Besondere Sicherheitsanforderungen

Das Dienstkonto, mit dem Domänen-Controller gesichert werden, muss über Dienste-Administratorrechte und damit über hohe Rechte verfügen. Um dem Missbrauch dieser Rechte vorzubeugen, sollte der Benutzerkreis, der Zugang zu diesen Konten hat möglichst gering gehalten werden.

Daher empfiehlt es sich, für den Sicherungsagenten auf den Domänen-Controllern andere Dienstkonten zu verwenden als auf den übrigen Servern der Institution. Unterschiedliche Benutzerkonten auf Domänen-Controllern und anderen Servern schützen darüber hinaus den Domänen-Controller zusätzlich, für den Fall, dass ein herkömmlicher Server der Organisation kompromittiert wurde.

Des Weiteren sollten die Mitglieder der Gruppe "Sicherungs-Operatoren" auf Benutzer beschränkt werden, die zur Datensicherung der Systemdateien erforderlich sind. Benutzer, die für die Datensicherung von Anwendungsdaten zuständig sind, sollten nicht Mitglied der Gruppe "Sicherungs-Operatoren" des Domänen-Controllers sein. Vielmehr sollten diese Benutzer als Mitglieder in der lokalen Gruppe "Sicherungs-Operatoren" des jeweiligen Anwendungsservers eingetragen werden.

Die Domänen-Gruppe "Sicherungs-Operatoren" ist standardmäßig nicht besonders geschützt. Um einen entsprechenden Schutz umzusetzen, ist der Zugriff auf das entsprechende AdminSDHolder-Objekt (Containerobjekt zur Speicherung von Berechtigungen) möglichst eng zu reglementieren (siehe Zugriffsschutz-Anpassung für die Domänen-Gruppe "Sicherungs-Operatoren" in Hilfsmittel zum Active Directory).

Es müssen in regelmäßigen Abständen Datensicherungen der Domänen-Controller durchgeführt werden. Bei der Festlegung eines geeigneten Sicherungsintervalls ist zu berücksichtigen, dass zur Löschung markierte Active Directory-Objekte nicht direkt aus dem ActiveDirectory entfernt, sondern zunächst in einen speziellen Container des Active Directory ("Gelöschte Objekte") verschoben werden. Solche zur Löschung markierten Objekte werden als veraltete oder auch als "Tombstone"-Objekte bezeichnet.

Nach einer einstellbaren Zeitdauer (Standard: 60 Tage) werden die veralteten Objekte dann endgültig gelöscht. Dieses Verfahren hat den Vorteil, dass vermeintlich gelöschte Objekte innerhalb der Frist wieder aktiviert werden können.

Bei der Löschung wird das Konto deaktiviert, so dass es nicht mehr genutzt werden kann. Stellt sich allerdings heraus, dass das Konto voreilig gelöscht wurde, kann es schneller wiederhergestellt werden.

Um Probleme bei der Replizierung zu vermeiden, sollte darauf geachtet werden, dass die Datensicherungen keine bzw. so wenig wie möglich veraltete Objekte mit überschrittener Lebensdauer beinhalten. Um dies sicherzustellen, sollten die Sicherungsmedien nach circa 75% der Lebensdauer von veralteten Objekten im Rahmen der regelmäßigen Sicherung überschrieben werden. Es sollte also möglichst häufig gesichert werden, allerdings sind die Backup-Medien nach 45 Tagen (bei einer Objektlebensdauer von 60 Tagen) wieder mit neuen Backups zu überschreiben, damit eine Wiederherstellung veralteter Objekte ausgeschlossen wird.

Da die Datensicherungsmedien der Domänen-Controller alle Informationen der Active-Directory-Datenbank beinhalten, sollten für jene die gleichen physikalischen Sicherheitsvorkehrungen getroffen werden, wie sie auch für die Domänen-Controller gelten (siehe hierzu M 4.313 Bereitstellung von sicheren Domänen-Controllern , Abschnitt physikalische Sicherheit). Insbesondere für die Sicherung in Niederlassungen muss überprüft werden, ob eine ausreichende Sicherheit der Sicherungshardware und -medien gewährleistet werden kann. Hierfür gibt es folgende Möglichkeiten:

  • Es erfolgt keine Datensicherung der Domänen-Controller in den Niederlassungen.
  • Die Datensicherung in den Niederlassungen erfolgt mit Hilfe von Remote-Sicherungssystemen (Offline-Medien) in sichere Rechenzentren.
  • Die Datensicherung in den Niederlassungen erfolgt mit Hilfe von lokalen Sicherungen auf Datenträgern (Online-Medien.

Diese Optionen sind hinsichtlich des administratorischen Aufwandes, der Verzögerung durch die Wiederherstellung und der Sicherheitsgewährleistung zu prüfen. Der Zustand und die Tauglichkeit der Datensicherungsmedien muss in regelmäßigen Abständen geprüft werden, indem Datenwiederherstellungen durchgeführt werden.

Die vor Ort verwendeten Sicherungsmedien müssen an einer sicheren und überwachten Stelle aufbewahrt werden, um Änderungen oder Diebstähle von Daten zu verhindern. Das Medium selbst ist nur während der Sicherung und Wiederherstellung im entsprechenden Laufwerk einzusetzen. Auch sollten Verfahren erstellt werden, die Unterschriften autorisierter Administratoren vorsehen, wenn Archivsicherungsmedien zurückgeholt werden.

Auswahl der zu sichernden Domänen-Controller

Sind Domänen-Controller an mehreren Standorten verteilt (z. B. in Zweigniederlassungen), so sollten Datensicherungslösungen angestrebt werden, die eine angemessene Absicherung des Backup-Verfahrens und der hierfür benutzten Medien zulassen. Es ist darauf zu achten, dass standortübergreifend für alle Domänen-Controller das Datensicherungskonzept angemessen umgesetzt wird. Existieren an einem Standort z. B. keine sichere Lagerungsmöglichkeiten für die Sicherungsmedien, so sollten die Sicherungsmedien an einen geeigneten Standort ausgelagert werden.

Für Niederlassungen sind Remote-Lösungen denkbar, bei denen die zu sichernden Daten an einem zentralen Standort über das Netz eingesammelt werden. Folgende Punkte sind im Rahmen einer Remote-Datensicherungslösung zu beachten:

  • Die Integrität und Vertraulichkeit der Daten sind bei der Übertragung über das Netz durch geeignete Maßnahmen zu schützen, z. B. durch Verschlüsseln der zu sichernden Daten vor oder während der Übertragung.
  • Es muss ausreichend Bandbreite zur Verfügung stehen, so dass weder der Betrieb noch die Datensicherung während eines Remote-Backups gestört wird.
  • Wird die Datensicherung zunächst lokal in den Standorten durchgeführt und dann von einer zentralen Stelle aus die Backup-Medien eingesammelt, so ist der Zugriff entsprechend abzusichern, z. B. ist der Zugriff auf Dateifreigaben mit den lokal zwischengespeicherten Datensicherungen, auf Domänenadministratoren zu beschränken.

Inkrementelle Sicherungen

Zur platzsparenden Datensicherung wird bei Systemdateien häufig auf inkrementelle Datensicherungsverfahren zurückgegriffen. Bei diesen Verfahren werden ausschließlich die Dateien gesichert, die sich seit der letzten Datensicherung geändert haben. Im Falle einer Wiederherstellung bringt dieses Verfahren jedoch auch einen erhöhten Zeitbedarf mit sich. Inkrementelle Datensicherung sollte für Domänen-Controller nicht angewendet werden, auch der Hersteller rät davon ab.

Wiederherstellungsmethoden

Wenn trotzdem inkrementelle Datensicherungen angefertigt werden, werden hierbei nur die seit der letzten Komplettsicherung neu erstellten Daten gesichert. Ältere Aktualitätsstände werden nicht berücksichtigt. In Einzelfällen kann allerdings die Anforderung bestehen, ältere Aktualitätsstände wiederherzustellen und entsprechend zu replizieren, z. B. im Zuge einer Roll-Back-Aktion. Die hiervon betroffenen Daten können mit Hilfe des Kommandozeilen-Werkzeugs ntdsutil für eine Replizierung priorisiert werden. Bei der Priorisierung wird festgelegt, welche Daten aus der Sicherung wiederhergestellt bzw. welche Daten beibehalten werden sollen. Aus diesem Grund ist das Priorisieren der Daten sorgfältig durchzuführen, da es hierbei sonst zu Inkonsistenzen in der Gesamtstruktur kommen kann, z. B. dass gesperrte oder ungültige Benutzerkonten wieder verfügbar sind.

Die Datensicherung und Wiederherstellung von Domänen-Controllern mittels einer Image-Erstellung wird aufgrund der auftretenden Inkonsistenz beim USN-Rollback (Update Sequence Number Rollback) nicht empfohlen.

Ausreichende Verfügbarkeit von Sicherungen

Damit die Datensicherungen im Notfall auch verfügbar sind, muss am Ende jedes Sicherungsvorganges überprüft werden, ob er fehlerfrei durchgeführt werden konnte.

In allen Domänen sollte regelmäßig eine Überprüfung der Datensicherungen durchgeführt werden, um drei Aspekte sicherzustellen:

  • Es muss sichergestellt sein, dass in der betreffenden Woche ausreichend Domänen-Controller erfolgreich gesichert wurden.
  • Es ist sicherzustellen, dass die erstellten Sicherungsmedien deutlich mit der eindeutigen Bezeichnung des Domänen-Controllers und dem Datum der Datensicherung beschriftet und anschließend sicher aufbewahrt werden. Dabei sollte die Beschriftung der Sicherungsmedien die Funktion des Domänen-Controllers einschließen, um eine spätere Identifizierung zu erleichtern.
  • Im Fall einer erfolglosen Datensicherung ist der Fehler schnellstmöglich zu beheben.

Dabei ist in regelmäßigen Abständen zu testen, ob sich die Datensicherungen auch wieder einspielen lassen. Erfolgreich geprüfte Backup-Medien sollten entsprechend gekennzeichnet werden. Diese Tests sind in einer gesonderten Testumgebung, die von der Produktionsumgebung getrennt ist, durchzuführen.

Prüffragen:

  • Existiert eine Datensicherungs- und Wiederherstellungsrichtlinie für Domänen-Controller?

  • Ist die eingesetzte Sicherungssoftware explizit vom Hersteller für die Datensicherung von Domänen-Controllern freigegeben?

  • Ist für die Domänen-Controller ein separates Datensicherungskonto mit Dienste-Administratorenrechten eingerichtet?

  • Ist die Anzahl der Mitglieder der Gruppe "Sicherungs-Operatoren" auf das notwendige Maß begrenzt?

  • Ist der Zugriff auf das AdminSDHolder-Objekt zum Schutz der Berechtigungen besonders geschützt?

  • Werden Datensicherungen der Domänen-Controller in regelmäßigen Abständen und nach einem Verfahren durchgeführt, das veraltete Objekte weitgehend vermeidet?

  • Werden die Sicherungsmedien an einem geeigneten, sicheren Standort aufbewahrt?

  • Wird der korrekte Ablauf und das Wiedereinspielen von Datensicherungen der Domänen-Controller regelmäßigen Abständen überprüft?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK