[English]Active Directory ist eine kritische Infrastruktur und sollte als solche behandelt werden. Aber wie sichert man als Administrator seine Domain Controller gegen Angriffe? Microsoft hat bereits im August einen Support-Beitrag Securing Domain Controllers Against Attack veröffentlich. Dort finden sich Ratschläge, wie sich Domänen-Controller (DCs) gegen Angreifer absichern lassen. Einer der Punkte lautet Blocking Internet Access for Domain Controllers.
Anzeige
Der letzte genannte Punkt ist trivial. Alle Server sollten nach Möglichkeit komplett vom Internet getrennt sein, oder wenigstens so eingeschränkt, dass sie nur mit den Diensten Kontakt aufnehmen können, die gebraucht werden.
Intressant: Falls mindestens ein DC virtualisiert ist, empfiehlt MS dafür einen eigenen Host! Kein Wort vom Nutzen von Shielded VMs, dabei ist deren Aufgabe laut MS doch gerade "to protect virtual machines from a compromised host"
Siehe https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms
Kein Vertrauen in eigene Features? Stattdessen wird geraten, auf dem Host Bitlocker zu aktivieren, was sich jeder mit einem physikalisch gesicherten Serverraum eher sparen sollte.
Interessant, denn genau das steht aber in dem lila "Note" Feld ganz fett mit Hinweis auf Shielded VMs
Interessant ;-)
Das kommt davon, wenn man rückwärts liest.
:)
ODER
Man installiert die aktuellsten November Patches von Microsoft auf einem DC, da kann man so richtig schön zuschauen wie Vertrauensstellungen, Maschinenkonten, GPO Richtlinien sich in Rauch auflösen….
Es darf gerne gelacht werden…
Wie denn, wo denn, was denn?
Meinst du den bevorstehenden Kerberos Enforcement Mode? Oder die RC4-Sache? Bei uns ist bisher alles gut.
dann hattest du aber zuvor nicht nach best practice (von MS!) deine Domäne gehärtet oder die Maßnahmen zurückgebaut, bevor du den Patch eingespielt hast?
Ein DC braucht einen DNS Server – Wenn der DNS Service nicht ins Internet kommt ist es zappen duster. Oder soll man laut Microsoft eigene Server-Lizenzen für DNS Server kaufen?
Langsam zweifelt man an Microsoft doch sehr……
Einfach eine Datacenter-Lizenz kaufen, dann muß man sich um die Lizenz nur kümmern, wenn man hardwaretechnisch etwas ändert (z.B. Anzahl der Prozessor-Cores über das lizensierte Maß erhöht).
Mit einer Datacenter-Lizenz kann man auch 100 VMs installieren, die sind alle durch die Lizenz abgedeckt.
?
Machst du auf deiner Firewall DNS zu den externen DNS Servern deines Vertrauens auf und gut ist.
Wo ist das Problem? Der Rest wird blockiert.
Wieder Microsoft bashing ohne nachgedacht zu haben…
Ja, das, oder noch besser, einen anderen DNS als Forwarder davor und gut ists.
Das läuft bei mir so – ich verwende Pi-hole als DNS Forwarder, der im Netzwerk auch die Werbung und sonstiges, unerwünschtes Zeugs filtert.
Der Guide ist praktische eine Verkaufsveranstaltung von Microsoft. Das AD wird sicherer, wenn man es in die Azure Cloud legt? WSUS ist nur für kleine Firmen? Soso.
Immerhin wird der Zugriff auf das Internet per Web Browser thematisiert. Das wäre ja eigentlich das Hauptthema für Server UND Clients: wenn Mitarbeiter schon Links auf Webseiten oder in Outlook zum Anklicken bekommen, dann muss man die Firma eben vor den Konsequenzen schützen. Nicht primär per AV, nicht per DNS Filter, nicht per Schulungen – sondern indem man den Klick durch ein extrem eingeschränkte Internet völlig ungefährlich werden lässt. Egal ob in Outlook oder eine dubiosen Webseite (die dann ja gar nicht erreichbar ist).
Ja, man benötigt einen AV trotzdem, aber warum Firmen nicht weit mehr davon Gebrauch machen, den Zugriff aufs Internet einzuschränken und damit den Großteil der Gefahren (drive by downloads, Phishing Mails) einfach zu entschärfen, das kann man mir nur erklären, weil man eben ganz viele "Lösungen" (= Lizenzen = Geld) dafür nicht mehr anbieten könnte.