Sichern von Active Directory für Verwaltungsgruppen und -konten
Auf dieser Seite
Einführung
Ein wesentlicher Bestandteil der Sicherung Ihres Netzwerks besteht in der Verwaltung der Benutzer und Gruppen, die administrativen Zugriff auf den Verzeichnisdienst Active Directory® haben. Böswillige Personen, die administrative Zugriffsberechtigungen auf Active Directory-Domänencontroller erlangen, können die Sicherheit Ihres Netzwerks beeinträchtigen. Diese Personen sind möglicherweise nicht autorisierte Benutzer, die entsprechende Kennwörter erhalten haben. Ebenso kann es sich um legitimierte Administratoren handeln, die gezwungen werden oder in böser Absicht handeln. Darüber hinaus sind nicht immer böswillige Absichten die Ursache der Probleme. Ein Benutzer, der über Administratorberechtigungen verfügt, kann auch unbeabsichtigt Probleme verursachen, beispielsweise durch Unkenntnis der Auswirkungen von Konfigurationsänderungen. Aus diesen Gründen ist die sorgfältige Verwaltung von Benutzern und Gruppen mit Administratorberechtigungen für Domänencontroller sehr wichtig.
Die Standardsicherheitseinstellungen von Microsoft® Windows Server 2003 sind ausreichend, um Active Directory-Konten gegenüber vielen Risiken zu schützen. Einige Standardeinstellungen der Administratorkonten können jedoch verstärkt werden, um die Sicherheit Ihres Netzwerks zu verbessern.
Dieses Handbuch enthält in diesem Zusammenhang ausführliche Anleitungen zu folgenden Themen:
| • | Erstellen eines neuen Benutzerkontos mit administrativen Rechten |
| • | Schützen des Standardadministratorkontos |
| • | Schützen des Gastkontos |
| • | Verstärken der Sicherheit der Dienstadministratorkonten und -gruppen |
| • | Einführen bewährter Methoden zur Verwendung der Administratorkonten und -gruppen |
Verwenden Sie bei der Netzwerkverwaltung die in diesem Handbuch beschriebenen bewährten Vorgehensweisen. Dies kann Ihnen helfen, die Risiken des nicht autorisierten administrativen Zugriffs auf Active Directory zu verringern, so dass böswilliger oder versehentlicher Schaden für Ihre Organisation durch Kopieren oder Löschen von vertraulichen Daten oder Deaktivieren des Netzwerks vermieden werden kann.
WICHTIG: In den Anweisungen dieses Handbuchs wurde das Startmenü verwendet, das in der Standardeinstellung nach der Installation des Betriebssystems angezeigt wird. Wenn Sie Änderungen am Startmenü vorgenommen haben, kann die Vorgehensweise geringfügig abweichen.
Vorbereitung
Vor einer Durchführung der in diesem Dokument beschriebenen Anleitungen sollten Sie zunächst die Aufgaben abgeschlossen haben, die im Security Guidance Kit unter "Sichern von Windows Server 2003-Domänencontrollern" beschrieben sind.
Zur Durchführung der Verfahren in diesem Handbuch müssen Sie Name und Kennwort des integrierten Administratorkontos oder eines Kontos kennen, das Mitglied der Gruppe Administratoren der Domänencontroller ist. Stellen Sie fest, welche Server im Netzwerk als Domänencontroller fungieren. Ein Domänencontroller ist ein Server, auf dem Windows Server 2003 mit installiertem Active Directory ausgeführt wird.
Bevor Sie den Anweisungen dieses Handbuchs folgen, müssen Sie mit den administrativen Konten und Gruppen und der Aufteilung der Zuständigkeitsbereiche zwischen Dienst- und Datenadministratoren vertraut sein. Klicken Sie zur Anzeige und Verwaltung der Active Directory-Konten und -Gruppen auf Start, wählen Sie dann Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
Grundlegendes zu administrativen Konten und Gruppen
Administrative Konten einer Active Directory-Domäne sind:
| • | Das Administratorkonto, das bei der Installation von Active Directory in der Domäne erstellt wird. Dies ist das Konto mit den umfassendsten Berechtigungen in der Domäne. Die Person, die Active Directory auf dem Computer installiert, legt während der Installation das Kennwort für dieses Konto fest. |
| • | Alle nachfolgend erstellten Konten, denen Administratorrechte entweder direkt zugewiesen werden oder die Mitglied einer Gruppe mit diesen Rechten sind. |
Administrative Gruppen einer Active Directory-Domäne sind je nach Zahl und Art der in der Domäne installierten Dienste unterschiedlich. Gruppen, die insbesondere zur Administration von Active Directory verwendet werden, sind:
| • | Administrative Gruppen, die automatisch im Container Builtin erstellt werden. |
| • | Administrative Gruppen, die automatisch im Benutzercontainer erstellt werden. |
| • | Alle nachfolgend erstellten Gruppen, denen Administratorrechte entweder direkt zugewiesen werden oder die Mitglied einer Gruppe mit diesen Rechten sind. |
Grundlegendes zu Dienstadministratoren und Datenadministratoren
Es gibt für Active Directory unter Windows Server 2003 zwei Arten von administrativen Zuständigkeitsbereichen. Dienstadministratoren sind verantwortlich für die Wartung und Bereitstellung der Verzeichnisdienste, einschließlich der Verwaltung des Domänencontrollers und der Konfiguration der Verzeichnisdienste. Datenadministratoren sind verantwortlich für die Wartung der gespeicherten Daten von Verzeichnisdiensten, Servern und Arbeitsstationen, die Mitglied der Domäne sind.
In kleinen Organisationen werden diese beiden Aufgaben möglicherweise von einer Person übernommen, es ist jedoch wichtig zu wissen, welche Standardkonten und -gruppen für die Administration von Diensten zuständig sind. Die Konten und Gruppen zur Dienstadministration verfügen über die umfassendsten Berechtigungen im Netzwerk und benötigen daher den größten Schutz. Mit diesen werden verzeichnisweite Einstellungen, Installationen und Wartungen von Software, Service Pack-Installationen für das Betriebssystem und Aktualisierungen der Domänencontroller vorgenommen.
In der folgenden Tabelle werden die Standard-Gruppen und -Konten dargestellt, die zur Administration von Diensten verwendet werden, einschließlich des Standardspeicherorts und einer kurzen Beschreibung. Gruppen des ContainersBuiltin können nicht verschoben werden.
Standardgruppen und -konten der Dienstadministratoren
| Gruppen- oder Kontoname | Standardspeicherort | Beschreibung |
Organisations-Admins | Container Users | Diese Gruppe wird automatisch zur Gruppe Administratoren jeder Domäne in der Gesamtstruktur hinzugefügt, so dass diese vollständigen Zugriff auf die Konfiguration der Domäne hat. |
Schema-Admins | Container Users | Diese Gruppe hat vollständigen Verwaltungszugriff auf das Active Directory-Schema. |
Administratoren | Container Builtin | Diese Gruppe verfügt über vollständige Steuerungsmöglichkeiten für die Domäne und der Verzeichnisinhalte sowie zur Änderung von Mitgliedschaften aller administrativen Gruppen in der Domäne. Dies ist die Gruppe der Dienstadministratoren mit den umfassendsten Berechtigungen. |
Domänen-Admins | Container Users | Diese Gruppe wird automatisch zur Gruppe Administratoren jeder Domäne in der Gesamtstruktur hinzugefügt. Sie verfügt über vollständige Steuerungsmöglichkeiten für die Domäne und alle Verzeichnisinhalte sowie zu Änderungen von Mitgliedschaften aller administrativen Konten in der Domäne. |
Server-Operatoren | Container Builtin | In der Standardeinstellung hat diese vordefinierte Gruppe keine Mitglieder. Diese Gruppe kann Wartungsaufgaben der Domänencontroller durchführen, wie zum Beispiel Sicherungen und Wiederherstellungen. |
Konten-Operatoren | Container Builtin | In der Standardeinstellung hat diese vordefinierte Gruppe keine Mitglieder. Mit dieser Gruppe können Benutzer und Gruppen in der Domäne erstellt und verwaltet werden, jedoch keine Konten von Dienstadministratoren. Es wird jedoch empfohlen, dieser Gruppe keine Mitglieder hinzuzufügen und sie nicht für delegierte Administrationsaufgaben zu verwenden. |
Sicherungs-Operatoren | Container Builtin | In der Standardeinstellung hat diese vordefinierte Gruppe keine Mitglieder. Diese Gruppe bietet Berechtigungen zum Durchführen von Sicherungs- und Wiederherstellungsvorgängen auf Domänencontrollern. |
Verzeichnisdienst-Wiederherstellungs-Administrator | In Active Directory nicht gespeichert | Dieses spezielle Konto wird während der Active Directory-Installation erstellt, es handelt sich dabei jedoch um ein anderes Konto als das Administratorkonto in der Active Directory-Datenbank. Dieses Konto wird lediglich zum Starten des Domänencontrollers im Wiederherstellungsmodus des Verzeichnisdienstes verwendet. Im Wiederherstellungsmodus verfügt dieses Konto über vollständigen Zugriff auf das System und alle Dateien des Domänencontrollers. |
Die in der Tabelle dargestellten Konten und Gruppen sowie alle Mitglieder dieser Gruppen, werden durch einen Hintergrundprozess geschützt, der regelmäßig eine bestimmte Sicherheitsbeschreibung überprüft und anwendet. Es handelt sich hierbei um eine Datenstruktur, die Sicherheitsinformationen zu einem geschützten Objekt enthält. Durch diesen Prozess wird sichergestellt, dass jede nicht autorisierte Änderung der Sicherheitsbeschreibungen einer Administratorengruppe oder eines Kontos erneut mit den geschützten Einstellungen überschrieben wird.
Diese Sicherheitsbeschreibung befindet sich im Objekt AdminSDHolder. Wenn Sie also die Berechtigungen einer Gruppe von Dienstadministratoren oder eines Mitgliedskontos ändern möchten, müssen Sie die Sicherheitsbeschreibung des Objekts AdminSDHolder ändern, damit diese permanent angewendet werden. Führen Sie diese Änderungen mit Bedacht aus, da Sie dadurch gleichzeitig die Standardeinstellungen ändern, die für alle geschützten administrativen Konten Anwendung finden. Weitere Informationen zum Ändern von Berechtigungen der Dienstadministratorkonten finden Sie im Handbuch "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22342 (englischsprachig).
Erstellen eines neuen Benutzerkontos mit administrativen Rechten
Wenn Sie, mit Ausnahme des Standardadministratorkontos, noch kein Benutzerkonto als Mitglied der Gruppe Domänen-Admins eingerichtet haben, erstellen Sie dieses Konto, damit es für die Aufgaben in diesem Dokument verwendet werden kann. Als Administrator des Netzwerks werden Sie dieses neue Konto nur zur Ausführung von Aufgaben verwenden, die Anmeldeinformationen eines Domänenadministrators erfordern. Bleiben Sie nach der Durchführung dieser Aufgaben nicht über dieses Konto angemeldet. Wenn der Computer von einem Virus befallen wird, während ein Domänenadministrator angemeldet ist, wird der Virus unter dem Konto dieses Domänenadministrators ausgeführt. Auf diese Weise kann der Virus die Administratorberechtigungen verwenden, um die Arbeitsstationen und andere Bestandteile des Netzwerks zu infizieren. Erstellen Sie ein weiteres Konto zur Datenverwaltung und täglichen Verwendung, beispielsweise zur Ausführung von Microsoft Office und zum Senden und Empfangen von E-Mail-Nachrichten, fügen Sie dieses Benutzerkonto jedoch nicht zur Gruppe Domänen-Admins hinzu. Sichere Vorgehensweisen zur Erstellung und Verwendung der Administratorkonten werden im Folgenden in diesem Dokument beschrieben.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins (wenn dies das erste von Ihnen erstellte Administratorkonto ist, verwenden Sie zur Anmeldung das Standardadministratorkonto) |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So erstellen Sie ein neues Benutzerkonto mit Anmeldeinformationen eines Domänenadministrators
|
Schützen des Administratorkontos
Jede Active Directory-Installation verfügt über ein Administratorkonto in jeder Domäne. Dieses Konto kann nicht gesperrt oder gelöscht werden. Unter Windows Server 2003 kann das Administratorkonto zwar deaktiviert werden, es wird jedoch beim Starten des Computers im abgesicherten Modus automatisch wieder aktiviert.
Der Versuch eines böswilligen Benutzers, in ein System einzudringen, beginnt üblicherweise mit dem Versuch, das Kennwort des Administratorkontos zu erhalten. Aus diesem Grund sollten Sie das Konto umbenennen und den Text im Feld Beschreibung ändern, so dass nicht mehr zu erkennen ist, dass es sich um ein Administratorkonto handelt. Erstellen Sie zusätzlich ein in die Irre führendes Benutzerkonto mit dem Namen Administrator, das über keine besonderen Berechtigungen verfügt.
Verwenden Sie immer ein längeres und komplexes Kennwort für das Administratorkonto. Verwenden Sie unterschiedliche Kennwörter für das Konto des Administrators und des Verzeichnisdienst-Wiederherstellungsmodus-Administrators. Weitere Informationen zur Erstellung sicherer Kennwörter finden Sie im Security Guidance Kit unter "Auswählen sicherer Kennwörter".
Umbenennen des Standardadministratorkontos
Dieser Vorgang entfernt jeden offensichtlichen Hinweis auf Administratorberechtigungen eines Kontos, durch den Angreifer auf dieses Konto aufmerksam werden könnten. Obwohl der Angreifer auch nach dem Auffinden des Standardadministratorkontos das Kennwort zur Verwendung des Kontos benötigt, wird durch das Umbenennen eine zusätzliche Sicherheitsebene hinzugefügt. Verwenden Sie einen fiktiven Vor- und Nachnamen im Format der anderen Benutzernamen. Verwenden Sie keinesfalls den im folgenden Beispiel gezeigten Namen.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So benennen Sie das Standardadministratorkonto um
|
Erstellen eines fiktiven Administratorkontos
Dieser Vorgang führt zu einer zusätzlichen Sicherheitsebene beim Ausblenden des Standardadministratorkontos. Ein Angreifer, der die Ausspähung des Kennworts für das Administratorkonto plant, kann dadurch fehlgeleitet und auf ein Konto ohne besondere Berechtigungen gelenkt werden.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So erstellen Sie ein fiktives Administratorkonto
|
Schützen des Gastkontos
Das Gastkonto ermöglicht Benutzern ohne eigenes Konto die Anmeldung in Ihrer Domäne als Gast. In der Standardeinstellung ist dieses Konto deaktiviert. Dies ist auch die empfohlene Einstellung. Das Ausblenden dieses Kontos fügt jedoch eine weitere Sicherheitsebene gegen einen unberechtigten Zugriff ein. Verwenden Sie einen fiktiven Vor- und Nachnamen im Format der anderen Benutzernamen.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So benennen Sie das Gastkonto um
|
Verstärken der Sicherheit der Dienstadministratorkonten und -gruppen
Die Erstellung einer Organisationseinheit (OU) als Unterstruktur in Active Directory und deren Konfiguration mit den empfohlenen Sicherheitseinstellungen kann zu einer sichereren Umgebung zur Verwaltung von Konten für Dienstadministratoren und Arbeitsstationen beitragen.
Organisationseinheiten sind Container innerhalb von Domänen, die andere Organisationseinheiten, Benutzer, Gruppen, Computer und weitere Objekte enthalten können. Diese Organisationseinheiten und Suborganisationseinheiten bilden eine hierarchische Struktur innerhalb einer Domäne und dienen in erster Linie zur Gruppierung von Objekten zu Verwaltungszwecken.
Durch die Erstellung einer Unterstruktur, die alle Konten von Dienstadministratoren und alle von diesen verwendeten Arbeitsstationen enthält, können Sie besondere Sicherheits- und Richtlinieneinstellungen für deren maximalen Schutz anwenden.
Führen Sie folgende Aufgaben zur Erstellung einer Unterstruktur durch:
1. | Erstellen Sie die Organisationseinheitsstruktur für die Unterstruktur. |
2. | Legen Sie die Berechtigungen für die Unterstruktur-Organisationseinheiten fest. |
3. | Verschieben Sie die Gruppen der Dienstadministratoren in die Unterstruktur. |
4. | Verschieben Sie die Benutzerkonten der Dienstadministratoren in die Unterstruktur. |
5. | Verschieben Sie die Arbeitsstationskonten der Dienstadministratoren in die Unterstruktur. |
6. | Aktivieren Sie die Überwachung der Unterstruktur-Organisationseinheiten. |
Erstellen Sie die Organisationseinheitsstruktur für die Unterstruktur.
Erstellen Sie drei Organisationseinheiten:
| • | Dienstadministratoren unterhalb des Domänenstamms, als Speicherort für die zwei folgenden Suborganisationseinheiten
|
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So erstellen Sie die Organisationseinheitsstruktur für die Unterstruktur
|
Festlegen der Berechtigungen für die Unterstruktur-Organisationseinheiten
Der folgende Vorgang kann den Zugriff auf die Unterstruktur einschränken, so dass nur Dienstadministratoren die Mitgliedschaft in den Gruppen der Dienstadministratoren und Arbeitsstationen verwalten können:
| • | Unterbinden Sie die Weitergabe von Berechtigungen für die Organisationseinheit Dienstadministratoren, damit Änderungen an vererbbaren Berechtigungen, die weiter oben in der Domänenstruktur durchgeführt wurden, nicht vererbt werden können. |
| • | Legen Sie die Berechtigungen der Organisationseinheit Dienstadministratoren fest. |
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So legen Sie die Berechtigungen der Organisationseinheit Dienstadministratoren fest
|
Verschieben von Dienstadministratorengruppen in die OU Benutzer- und Gruppen
Verschieben Sie die folgenden Dienstadministratorengruppen von der aktuellen Position in die OU Benutzer- und Gruppen Ihrer Unterstruktur:
| • | Domänen-Admins und alle verschachtelten Untergruppen. |
| • | Organisations-Admins und alle verschachtelten Untergruppen. |
| • | Schema-Admins und alle verschachtelten Untergruppen. |
| • | Alle Gruppen, die innerhalb der Gruppen der Domänen-Admins, Server-Operatoren, Sicherungs-Operatoren oder Konten-Operatoren verschachtelt sind. |
| • | Jede Gruppe mit delegierten Rechten, die ihren Benutzern effektiv die Berechtigungen eines Dienstadministrators gewährt. |
Die vordefinierten Gruppen (Administratoren, Server-Operatoren, Konten-Operatoren und Sicherungs-Operatoren) können nicht aus ihrem Standardcontainer in die Unterstruktur verschoben werden. Die vordefinierten Gruppen werden unter Windows Server 2003 standardmäßig jedoch durch das Objekt AdminSDHolder geschützt.
Wenn Ihre Organisation keine verschachtelten Untergruppen erstellt beziehungsweise die Berechtigungen von Dienstadministratoren an keine Gruppe delegiert hat, müssen Sie lediglich Domänen-Admins, Organisations-Admins und Schema-Admins verschieben.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So verschieben Sie Dienstadministratorengruppen in die Benutzer- und Gruppenorganisationseinheiten
|
Verschieben von Benutzerkonten der Dienstadministratoren in die OU Benutzer- und Gruppen
Verschieben Sie die folgenden Benutzerkonten von der aktuellen Verzeichnisposition in die OU Benutzer- und Gruppen in Ihrer Unterstruktur:
| • | Alle administrativen Benutzerkonten, die Mitglied einer der Gruppen der Dienstadministratoren sind, die in der Tabelle "Standardgruppen und -konten der Dienstadministratoren" aufgeführt sind. Dies schließt das Konto des Domänenadministrators ein (das Sie zuvor umbenannt haben). |
| • | Das fiktive Administratorkonto, das Sie in einem früheren Schritt erstellt haben. |
Wie empfohlen, sollte jeder Dienstadministrator zwei Konten haben: eines für die Aufgaben der Dienstadministration und eines für die Datenadministration und den normalen Benutzerzugriff. Speichern Sie die administrativen Benutzerkonten in der OU Benutzer- und Gruppen Ihrer Unterstruktur. Wenn diese Konten bereits an einer anderen Position im Verzeichnis befinden, verschieben Sie diese jetzt in die Unterstruktur. Die regulären Benutzerkonten dieser Administratoren sollten nicht in die Unterstruktur verschoben werden. Reguläre Benutzerkonten verbleiben an ihrem ursprünglichen Speicherort: im Container Users oder in einer Organisationseinheit, die von Ihrer Organisation zum Speichern von Benutzerkonten verwendet wird.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So verschieben Sie Dienstadministratorkonten in die OU Benutzer- und Gruppen
|
Verschieben der Konten der administrativen Arbeitsstationen in die Organisationseinheit Admin-Arbeitsstationen
Verschieben Sie die Computerkonten der Arbeitsstationen, die von Administratoren verwendet werden, in die Organisationseinheit Admin-Arbeitsstationen Ihrer Unterstruktur.
WICHTIG: Verschieben Sie keine Domänencontrollerkonten aus der OU Domain Controllers, selbst wenn einige Administratoren diese zur Anmeldung und Ausführung administrativer Aufgaben verwenden. Das Verschieben dieser Konten stört die konsistente Anwendung der Domänencontrollerrichtlinien für alle Domänen und wird daher nicht unterstützt.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So verschieben Sie die Konten der administrativen Arbeitsstationen in die Organisationseinheit Admin-Arbeitsstationen
|
Aktivieren der Überwachung der Unterstruktur
Das Überwachen und Verfolgen von Hinzufügungen, Löschungen und Änderungen der Dienstadministratorkonten, Arbeitsstationen und Richtlinien unterstützt Sie dabei, unzulässige oder nicht autorisierte Änderungen festzustellen. Dies sind häufig Anzeichen für nicht autorisierte Vorgänge oder Versuche, den Zugriff auf Ihr System zu erlangen. Wenn Sie die Überwachung Ihrer Domänencontroller gemäß den Empfehlungen im Security Guidance Kit unter "Sichern von Windows Server 2003-Domänencontrollern" aktiviert haben, erhalten Sie für die Organisationseinheit Dienstadministratoren ein Sicherheitsprotokoll, das solche Änderungen verfolgt. Das Überwachen dieses Sicherheitsprotokolls auf Änderungen in der gesteuerten Unterstruktur und deren Rechtmäßigkeit unterstützt Sie dabei, eine nicht autorisierte Verwendung zu erkennen. Zum Zugriff auf das Sicherheitsprotokoll klicken Sie auf Start, zeigen Sie auf Verwaltung, klicken Sie dann auf Ereignisanzeige und anschließend auf Sicherheit.
Anforderungen
| • | Anmeldeinformationen: Domänen-Admins |
| • | Tools: Active Directory-Benutzer und -Computer |
| • | So aktivieren Sie die Überwachung der Unterstruktur
|
Einführen bewährter Methoden zur Verwendung der Administratorkonten und -gruppen
Die folgenden bewährten Methoden können Ihnen helfen, die Wahrscheinlichkeit eines Zugriffs durch nicht autorisierte Personen auf Computer und Netzwerk, auf ein Konto mit umfassenderen Berechtigungen oder einer unbeabsichtigten Störung des Netzwerks durch mangelhafte Kenntnisse der administrativen Rechte zu reduzieren:
| • | Einschränken der Anzahl von Dienstadministratorenkonten |
| • | Trennen der Administrator- und Benutzerkonten von administrativen Benutzern |
| • | Zuordnen von vertrauenswürdigen Mitarbeitern |
| • | Beschränken der Administratorrechte auf die notwendigen Berechtigungen |
| • | Steuern der administrativen Anmeldevorgänge |
| • | Sichern der Arbeitsstationen von Dienstadministratoren |
| • | Verstehen der Delegierung |
Einschränken der Anzahl von Dienstadministratorenkonten
Die Beschränkung der Mitgliedschaft von Dienstadministratorkonten auf das absolute Minimum, das für die Unterstützung Ihrer Organisation notwendig ist, ist ein wichtiger Schritt zur Reduzierung nicht autorisierter Verwendung. In kleinen Unternehmen sind üblicherweise zwei Konten als Mitglieder der Gruppe der Domänen-Admins ausreichend. Die Beschränkung dieser Mitgliedschaften reduziert die Anzahl der möglichen administrativen Konten, die von böswilligen Benutzern gefährdet werden können. Die Aufgaben, die von Dienstadministratoren ausgeführt werden, sollten auf Änderungen der Active Directory-Dienstkonfiguration und Änderungen der Konfiguration von Domänencontrollern beschränkt werden.
Verwenden Sie Konten von Dienstadministratoren nicht für tägliche Aufgaben, wie zum Beispiel die Verwaltung von Konten- und Mitgliedsservern. Diese Aufgaben sollten mit einem normalen Benutzerkonto ausgeführt werden.
Um ein normales Benutzerkonto zur Verwaltung von Konten- und Mitgliedsservern zu verwenden, können Sie die zu verwaltenden Objekte in einer separaten Organisationseinheit speichern und das reguläre Benutzerkonto zu einem Mitglied der Gruppe machen, die Berechtigungen zur Verwaltung der Organisationseinheit hat.
Für die folgenden Schritte benötigen Sie ein Konto, das Mitglied in der Gruppe Domänen-Admins ist:
1. | Erstellen Sie unterhalb des Domänenstamms eine Organisationseinheit mit dem Namen Daten. Verwenden Sie diese Organisationseinheit zum Speichern aller Objekte, die von Datenadministratoren verwaltet werden sollen, wie beispielsweise reguläre Benutzer, deren Arbeitsstationen und Mitgliedsserver. Hinweis: Sie sollten außerdem zwei weitere Organisationseinheiten innerhalb der Organisationseinheit Daten erstellen, eine mit der Bezeichnung Benutzer und eine weitere mit dem Namen Computer. Verschieben Sie dann alle Benutzer- und Computerkonten aus den Containern Users und Computers in die jeweiligen Organisationseinheiten. Durch das Verschieben der Objekte in Organisationseinheiten können Gruppenrichtlinien angewendet werden. Sie können auch ein eigenes Organisationseinheitsmodell erstellen, das Ihren Anforderungen an Delegierung und Gruppenrichtlinien entspricht. | ||||||||||||
2. | Erstellen Sie unterhalb des Domänenstamms eine weitere Organisationseinheit mit dem Namen Daten-Admins. | ||||||||||||
3. | Erstellen Sie innerhalb der Organisationseinheit Daten-Admins eine lokale Sicherheitsgruppe für die Domäne mit der Bezeichnung Domänen_NameDaten-Admins, beispielsweise "Contoso Daten-Admins". Mitglieder dieser Gruppe sind für die Verwaltung der Daten innerhalb der Organisationseinheit Daten zuständig. | ||||||||||||
4. | Ändern Sie die bestehenden Berechtigungen der Organisationseinheit Daten wie folgt:
| ||||||||||||
5. | Verschieben Sie das für den Domänenadministrator erstellte reguläre Benutzerkonto in die Organisationseinheit Daten. | ||||||||||||
6. | Fügen Sie das Konto der Sicherheitsgruppe Domänen_NameDaten-Admins hinzu. | ||||||||||||
7. | Wenn Sie die Datenverwaltung zu einem späteren Zeitpunkt an weitere Administratoren delegieren möchten, erstellen Sie deren Benutzerkonten in der Organisationseinheit Daten-Admins und fügen diese Benutzerkonten der Sicherheitsgruppe Domänen_NameDaten-Admins hinzu. |
Trennen der Administrator- und Benutzerkonten von administrativen Benutzern
Erstellen Sie für jeden Benutzer in der Rolle eines Dienstadministrators zwei Konten: ein reguläres Benutzerkonto zur Verwendung für normale Aufgaben und zur Verwaltung von Daten sowie ein weiteres Dienstadministrationskonto zur ausschließlichen Verwendung für Aufgaben der Dienstadministration. Das Dienstadministrationskonto sollte nicht für E-Mail aktiviert sein oder zur Ausführung von häufig eingesetzten Programmen verwendet werden, wie zum Beispiel Microsoft Office oder Webbrowser. Verwenden Sie für die beiden Konten immer unterschiedliche Kennwörter. Diese Vorsichtsmaßnahmen verringern die Offenlegung der Konten nach außen, gleichzeitig reduzieren Sie die Zeitspanne, in der administrative Konten angemeldet sind.
Zuordnen von vertrauenswürdigen Mitarbeitern
Dienstadministratoren steuern die Konfiguration und Ausführung der Verzeichnisdienste. Daher sollte diese Verantwortung nur zuverlässigen und vertrauenswürdigen Benutzern übertragen werden, die verantwortlichen Umgang und umfassendes Verständnis der Verzeichnisfunktionen bewiesen haben. Sie sollten mit den Richtlinien Ihrer Organisation in Bezug auf Sicherheit und Betrieb vertraut sein, und Sie sollten ihre Bereitschaft zum Durchsetzen dieser Richtlinien demonstriert haben.
Beschränken der Administratorrechte auf die notwendigen Berechtigungen
Active Directory enthält eine vordefinierte Gruppe der Sicherungs-Operatoren. Mitglieder dieser Gruppe können als Dienstadministratoren angesehen werden, da sie über Berechtigungen zur lokalen Anmeldung und Dateiwiederherstellung verfügen, einschließlich der Betriebssystemdateien von Domänencontrollern. Die Mitgliedschaft in der Gruppe Sicherungs-Operatoren in Active Directory sollte auf die Personen beschränkt sein, die die Sicherung und Wiederherstellung von Domänencontrollern durchführen.
Jeder Mitgliedsserver enthält weiterhin lokal eine vordefinierte Gruppe Sicherungs-Operatoren. Personen, die für die Anwendungssicherung auf einem Mitgliedsserver (beispielsweise Microsoft SQL Server) verantwortlich sind, sollten Mitglieder der lokalen Gruppe Sicherungs-Operatoren des jeweiligen Servers werden. Diese Benutzer sollten keine Mitglieder der Gruppe Sicherungs-Operatoren in Active Directory sein.
In der Domäne können Sie die Anzahl der Mitglieder der Gruppe Sicherungs-Operatoren reduzieren. Domänencontroller sollten nach Möglichkeit dediziert ausgeführt werden. In kleineren Organisationen wird jedoch ein Domänencontroller möglicherweise zur Ausführung weiterer Anwendungen verwendet. In diesem Fall wird Benutzern, die verantwortlich für die Anwendungssicherung auf dem Domänencontroller sind, gleichzeitig Vertrauen als Dienstadministrator gewährt, da sie über die Berechtigung zum Wiederherstellen von Dateien verfügen, einschließlich der Betriebssystemdateien.
Vermeiden Sie die Verwendung der Gruppe Konten-Operatoren zur Delegierung von "Datenverwaltungsaufgaben", wie zum Beispiel die Kontenverwaltung. In der Standardeinstellung bieten die Verzeichnisberechtigungen dieser Gruppe die Möglichkeit zur Änderung und Löschung von Computerkonten der Domänencontroller. Die Gruppe Konten-Operatoren enthält in der Standardeinstellung keine Mitglieder. Diese Einstellung sollte nicht geändert werden.
Steuern der administrativen Anmeldevorgänge
Die Mitglieder der Gruppen der Administratoren, Organisations-Admins und Domänen-Admins verfügen über die Konten in der Domäne, mit den umfangreichsten Berechtigungen. Zur Minimierung von Sicherheitsrisiken sollten Sie weitere Schritte ausführen, die gesicherte Anmeldungen der Administratoren erzwingen, beispielsweise die Verwendung von Smartcards oder zweier Anmeldedialogfelder, die von verschiedenen Administratoren ausgefüllt werden müssen. Informationen zu weiteren Maßnahmen finden Sie im Handbuch "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22342 (englischsprachig).
Sichern der Arbeitsstationen von Dienstadministratoren
Zusätzlich zur Zugriffsbeschränkung auf die Ressourcen der Domänencontroller und auf die in den Verzeichnissen gespeicherten Informationen, können Sie die Sicherheit durch strenge Überwachung der Arbeitsstationen erhöhen, die durch Dienstadministratoren zu administrativen Zwecken verwendet werden. Dienstadministratoren sollten sich nur an ordnungsgemäß verwalteten Computern anmelden, die über alle Sicherheitsupdates und eine aktuelle Antivirus-Software verfügen. Wenn Sie sich als Dienstadministrator an einem Computer anmelden, der nicht ordnungsgemäß verwaltet wird, gehen Sie das Risiko der Offenlegung der Anmeldeinformationen ein, da möglicherweise ein böswilliger Benutzer auf den Computer zugreifen kann.
Weitere Informationen zum Beschränken der Administratoren auf bestimmte Arbeitsstationen und anderen Sicherheitsmaßnahmen finden Sie im Handbuch "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22342 (englischsprachig).
Verstehen der Delegierung
In einer kleinen Organisation sind üblicherweise lediglich ein oder zwei administrative Benutzer vorhanden, in diesem Fall wird die Delegierung möglicherweise nicht benötigt. Wenn sich die Organisation vergrößert, sollten Sie jedoch Datenadministratoren benennen und Arbeitsbereiche der Administration an diese delegieren. Datenadministratoren sind für die Verwaltung von Daten verantwortlich, die im Domänenverzeichnis und auf den zur Domäne gehörenden Computern gespeichert sind. Datenadministratoren können keine Änderungen an der Konfiguration und Bereitstellung der Verzeichnisdienste vornehmen, sie verwalten lediglich einige Objekte im Verzeichnis. Durch die Verwendung von Berechtigungen für die im Verzeichnis gespeicherten Objekte wird die auf bestimmte Bereiche beschränkte Überwachung durch das jeweilige Administratorkonto ermöglicht. Darüber hinaus verwalten Datenadministratoren auch die Computer in ihrer Domäne, mit Ausnahme der Domänencontroller. Sie verwalten lokale Ressourcen, wie Datei- und Druckerfreigaben auf lokalen Servern, und die Gruppen- und Benutzerkonten in ihrem eigenen Organisationsbereich. Datenadministratoren können alle Aufgaben Ihres Zuständigkeitsbereichs auf Verwaltungsarbeitsstationen ausführen, sie benötigen keinen direkten Zugriff auf die Domänencontroller.
Die Delegierung der Datenadministration wird durch die Erstellung von Gruppen, die Gewährung der geeigneten Benutzerrechte und -berechtigungen für diese Gruppen und die Anwendung der Gruppenrichtlinieneinstellungen für die Gruppenmitglieder ermöglicht. Nach dem Ausführen dieser Schritte besteht die Delegierung aus dem Hinzufügen von Benutzerkonten zu den erstellten Gruppen. Der entscheidende Schritt des gesamten Vorgangs besteht in der Gewährung der richtigen Zugriffsrechte und der Anwendung der passenden Richtlinien, unter Anwendung des Prinzips, nur die notwendigsten Berechtigungen zu gewähren. Dies steigert die Sicherheit, ermöglicht den Administratoren jedoch weiterhin die Ausführung der delegierten Aufgaben.
Weitere Informationen zur Delegierung der Datenadministration finden Sie unter "Best Practices for Delegating Active Directory Administration" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22707 (englischsprachig).
Weitere Informationen
| • | Weitere Informationen zur Sicherheit von Active Directory finden Sie unter: |
| • | "Sichern der Windows Server 2003-Domänencontroller" im Security Guidance Kit. |
| • | "Best Practice Guide for Securing Active Directory Installations" (für Windows Server 2003) auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22342 (englischsprachig). |
| • | "Best Practices for Delegating Active Directory Administration" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22707 (englischsprachig). |
Allgemeine Informationen zu vordefinierten Konten und der Migration von Microsoft® Windows NT® 4.0 auf Active Directory finden Sie unter:
| • | "Default Groups" auf der TechNet-Website unter http://go.microsoft.com/fwlink/?LinkId=22706 (englischsprachig). |
| • | "Migrating from Windows NT Server 4.0 to Windows Server 2003" auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=22709 (englischsprachig). |