[English]Active Directory ist eine kritische Infrastruktur und sollte als solche behandelt werden. Aber wie sichert man als Administrator seine Domain Controller gegen Angriffe? Microsoft hat bereits im August einen Support-Beitrag Securing Domain Controllers Against Attack veröffentlich. Dort finden sich Ratschläge, wie sich Domänen-Controller (DCs) gegen Angreifer absichern lassen. Einer der Punkte lautet Blocking Internet Access for Domain Controllers.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Falsche Gesundheitsamt-Mitarbeiter: Neue Betrugswelle rollt durch Deutschland News 27. April 2026
- iPhone 17 und Air haben mysteriöses Lade-Problem News 27. April 2026
- Apple plant umfassende Smart-Home-Offensive mit KI-gestützten Geräten News 27. April 2026
- Apple setzt auf Ultra: Vom Falt-iPhone bis zum Touch-Mac News 27. April 2026
- Globale KI-Industrie am Wendepunkt: Sicherheit weicht nationaler Machtpolitik News 27. April 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Anonym bei Google-Fotos: Einschränkungen und KI-Auswertung; Zeit für einen Exit
- Froschkönig bei Outlook.com mit Problemen bei iOS und anderen Clients?
- Froschkönig bei Microsoft sagt, dass der Defender als Virusschutz ausreicht
- Froschkönig bei Windows 11 bekommt mehr Update-Kontrolle
- ava.c45@repoick.com bei Was ist in Frankreich los: Datenleck auf Datenleck
- Froschkönig bei Was ist in Frankreich los: Datenleck auf Datenleck
- anonmyous bei Microsoft sagt, dass der Defender als Virusschutz ausreicht
- CrazyMC bei Outlook.com mit Problemen bei iOS und anderen Clients?
- Lukas bei Outlook.com mit Problemen bei iOS und anderen Clients?
- MBDTeam bei Windows April 2026-Updates verursachen Anmelde-Probleme
- User007 bei Microsoft sagt, dass der Defender als Virusschutz ausreicht
- User007 bei Microsoft sagt, dass der Defender als Virusschutz ausreicht
- weisi bei Was ist in Frankreich los: Datenleck auf Datenleck
- Ich bin glücklich. bei Microsoft sagt, dass der Defender als Virusschutz ausreicht
- Ich bin glücklich. bei Microsoft sagt, dass der Defender als Virusschutz ausreicht
Der letzte genannte Punkt ist trivial. Alle Server sollten nach Möglichkeit komplett vom Internet getrennt sein, oder wenigstens so eingeschränkt, dass sie nur mit den Diensten Kontakt aufnehmen können, die gebraucht werden.
Intressant: Falls mindestens ein DC virtualisiert ist, empfiehlt MS dafür einen eigenen Host! Kein Wort vom Nutzen von Shielded VMs, dabei ist deren Aufgabe laut MS doch gerade "to protect virtual machines from a compromised host"
Siehe https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms
Kein Vertrauen in eigene Features? Stattdessen wird geraten, auf dem Host Bitlocker zu aktivieren, was sich jeder mit einem physikalisch gesicherten Serverraum eher sparen sollte.
Interessant, denn genau das steht aber in dem lila "Note" Feld ganz fett mit Hinweis auf Shielded VMs
Interessant ;-)
Das kommt davon, wenn man rückwärts liest.
:)
ODER
Man installiert die aktuellsten November Patches von Microsoft auf einem DC, da kann man so richtig schön zuschauen wie Vertrauensstellungen, Maschinenkonten, GPO Richtlinien sich in Rauch auflösen….
Es darf gerne gelacht werden…
Wie denn, wo denn, was denn?
Meinst du den bevorstehenden Kerberos Enforcement Mode? Oder die RC4-Sache? Bei uns ist bisher alles gut.
dann hattest du aber zuvor nicht nach best practice (von MS!) deine Domäne gehärtet oder die Maßnahmen zurückgebaut, bevor du den Patch eingespielt hast?
Ein DC braucht einen DNS Server – Wenn der DNS Service nicht ins Internet kommt ist es zappen duster. Oder soll man laut Microsoft eigene Server-Lizenzen für DNS Server kaufen?
Langsam zweifelt man an Microsoft doch sehr……
Einfach eine Datacenter-Lizenz kaufen, dann muß man sich um die Lizenz nur kümmern, wenn man hardwaretechnisch etwas ändert (z.B. Anzahl der Prozessor-Cores über das lizensierte Maß erhöht).
Mit einer Datacenter-Lizenz kann man auch 100 VMs installieren, die sind alle durch die Lizenz abgedeckt.
?
Machst du auf deiner Firewall DNS zu den externen DNS Servern deines Vertrauens auf und gut ist.
Wo ist das Problem? Der Rest wird blockiert.
Wieder Microsoft bashing ohne nachgedacht zu haben…
Ja, das, oder noch besser, einen anderen DNS als Forwarder davor und gut ists.
Das läuft bei mir so – ich verwende Pi-hole als DNS Forwarder, der im Netzwerk auch die Werbung und sonstiges, unerwünschtes Zeugs filtert.
Der Guide ist praktische eine Verkaufsveranstaltung von Microsoft. Das AD wird sicherer, wenn man es in die Azure Cloud legt? WSUS ist nur für kleine Firmen? Soso.
Immerhin wird der Zugriff auf das Internet per Web Browser thematisiert. Das wäre ja eigentlich das Hauptthema für Server UND Clients: wenn Mitarbeiter schon Links auf Webseiten oder in Outlook zum Anklicken bekommen, dann muss man die Firma eben vor den Konsequenzen schützen. Nicht primär per AV, nicht per DNS Filter, nicht per Schulungen – sondern indem man den Klick durch ein extrem eingeschränkte Internet völlig ungefährlich werden lässt. Egal ob in Outlook oder eine dubiosen Webseite (die dann ja gar nicht erreichbar ist).
Ja, man benötigt einen AV trotzdem, aber warum Firmen nicht weit mehr davon Gebrauch machen, den Zugriff aufs Internet einzuschränken und damit den Großteil der Gefahren (drive by downloads, Phishing Mails) einfach zu entschärfen, das kann man mir nur erklären, weil man eben ganz viele "Lösungen" (= Lizenzen = Geld) dafür nicht mehr anbieten könnte.