[English]Active Directory ist eine kritische Infrastruktur und sollte als solche behandelt werden. Aber wie sichert man als Administrator seine Domain Controller gegen Angriffe? Microsoft hat bereits im August einen Support-Beitrag Securing Domain Controllers Against Attack veröffentlich. Dort finden sich Ratschläge, wie sich Domänen-Controller (DCs) gegen Angreifer absichern lassen. Einer der Punkte lautet Blocking Internet Access for Domain Controllers.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- AI Overviews: Münchner Gericht macht Google für Falschinformationen haftbar News 17. Juni 2026
- KI-Kompetenzen: Stellenausschreibungen springen um 113 Prozent News 17. Juni 2026
- Cyberkriminalität: 24 Milliarden gestohlene Passwörter im Netz News 17. Juni 2026
- macOS 27: Apple beendet Intel-Mac-Support endgültig News 17. Juni 2026
- Apple M4: Hacker entsperrt 15,8 TFLOPS KI-Potenzial News 17. Juni 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- WilLYwurm zu Windows 11 24H2-25H2: Juni 2026 Update KB5094126 verursacht Word OLE-Probleme
- FriedeFreudeEierkuchen zu Patchday: Windows 10/11 Updates (9. Juni 2026)
- Peter zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- Jonathan S. zu Diskussion
- Essi zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- Carsten zu Fujitsu/FSAS: Informationen über Windows Server 2022/2025 Performance-Probleme
- Jonathan S. zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- Varus zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- R.S. zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- Robert zu Nachlese: Juni 2026-Patchday verursacht Windows-Probleme
- Phadda zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- Jonathan S. zu EvilTokens: Passwort-lose OAuth 2.0-Angriffe auf Microsoft-Login-Seiten
- Totty zu HPE bietet VMware-Kunden 1 Jahr VM Essentials-Gratis-Lizenzen ein Jahr Gratis an
- Berke zu HPE bietet VMware-Kunden 1 Jahr VM Essentials-Gratis-Lizenzen ein Jahr Gratis an
- Varus zu Ransomware-Angriffe: Die Gefahr steigt und die Unternehmen bezahlen …
Der letzte genannte Punkt ist trivial. Alle Server sollten nach Möglichkeit komplett vom Internet getrennt sein, oder wenigstens so eingeschränkt, dass sie nur mit den Diensten Kontakt aufnehmen können, die gebraucht werden.
Intressant: Falls mindestens ein DC virtualisiert ist, empfiehlt MS dafür einen eigenen Host! Kein Wort vom Nutzen von Shielded VMs, dabei ist deren Aufgabe laut MS doch gerade "to protect virtual machines from a compromised host"
Siehe https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms
Kein Vertrauen in eigene Features? Stattdessen wird geraten, auf dem Host Bitlocker zu aktivieren, was sich jeder mit einem physikalisch gesicherten Serverraum eher sparen sollte.
Interessant, denn genau das steht aber in dem lila "Note" Feld ganz fett mit Hinweis auf Shielded VMs
Interessant ;-)
Das kommt davon, wenn man rückwärts liest.
:)
ODER
Man installiert die aktuellsten November Patches von Microsoft auf einem DC, da kann man so richtig schön zuschauen wie Vertrauensstellungen, Maschinenkonten, GPO Richtlinien sich in Rauch auflösen….
Es darf gerne gelacht werden…
Wie denn, wo denn, was denn?
Meinst du den bevorstehenden Kerberos Enforcement Mode? Oder die RC4-Sache? Bei uns ist bisher alles gut.
dann hattest du aber zuvor nicht nach best practice (von MS!) deine Domäne gehärtet oder die Maßnahmen zurückgebaut, bevor du den Patch eingespielt hast?
Ein DC braucht einen DNS Server – Wenn der DNS Service nicht ins Internet kommt ist es zappen duster. Oder soll man laut Microsoft eigene Server-Lizenzen für DNS Server kaufen?
Langsam zweifelt man an Microsoft doch sehr……
Einfach eine Datacenter-Lizenz kaufen, dann muß man sich um die Lizenz nur kümmern, wenn man hardwaretechnisch etwas ändert (z.B. Anzahl der Prozessor-Cores über das lizensierte Maß erhöht).
Mit einer Datacenter-Lizenz kann man auch 100 VMs installieren, die sind alle durch die Lizenz abgedeckt.
?
Machst du auf deiner Firewall DNS zu den externen DNS Servern deines Vertrauens auf und gut ist.
Wo ist das Problem? Der Rest wird blockiert.
Wieder Microsoft bashing ohne nachgedacht zu haben…
Ja, das, oder noch besser, einen anderen DNS als Forwarder davor und gut ists.
Das läuft bei mir so – ich verwende Pi-hole als DNS Forwarder, der im Netzwerk auch die Werbung und sonstiges, unerwünschtes Zeugs filtert.
Der Guide ist praktische eine Verkaufsveranstaltung von Microsoft. Das AD wird sicherer, wenn man es in die Azure Cloud legt? WSUS ist nur für kleine Firmen? Soso.
Immerhin wird der Zugriff auf das Internet per Web Browser thematisiert. Das wäre ja eigentlich das Hauptthema für Server UND Clients: wenn Mitarbeiter schon Links auf Webseiten oder in Outlook zum Anklicken bekommen, dann muss man die Firma eben vor den Konsequenzen schützen. Nicht primär per AV, nicht per DNS Filter, nicht per Schulungen – sondern indem man den Klick durch ein extrem eingeschränkte Internet völlig ungefährlich werden lässt. Egal ob in Outlook oder eine dubiosen Webseite (die dann ja gar nicht erreichbar ist).
Ja, man benötigt einen AV trotzdem, aber warum Firmen nicht weit mehr davon Gebrauch machen, den Zugriff aufs Internet einzuschränken und damit den Großteil der Gefahren (drive by downloads, Phishing Mails) einfach zu entschärfen, das kann man mir nur erklären, weil man eben ganz viele "Lösungen" (= Lizenzen = Geld) dafür nicht mehr anbieten könnte.