[English]Active Directory ist eine kritische Infrastruktur und sollte als solche behandelt werden. Aber wie sichert man als Administrator seine Domain Controller gegen Angriffe? Microsoft hat bereits im August einen Support-Beitrag Securing Domain Controllers Against Attack veröffentlich. Dort finden sich Ratschläge, wie sich Domänen-Controller (DCs) gegen Angreifer absichern lassen. Einer der Punkte lautet Blocking Internet Access for Domain Controllers.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- PDF-Angriffe: Gefälschte Dokumente infizieren Smartphones News 24. Februar 2026
- Tesla stellt Produktion auf humanoiden Roboter Optimus um News 24. Februar 2026
- Microsoft 365: KI-Sicherheitslücke und Preiserhöhungen belasten Unternehmen News 24. Februar 2026
- Google Assistant macht 2026 Platz für die KI-Generation Gemini News 24. Februar 2026
- Nvidia: Rekordpreise für Gamer, Absturz für KI-Miete News 24. Februar 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Jaja bei Hetzner erhöht Cloud-Preise: KI schuld, oder "günstige Gelegenheit"?
- Sepp L. Hut bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Tomas Jakobs bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Matze bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Anonym bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Anonym bei Outlook Classic: Bug blendet Mauszeiger aus
- Daniel A. bei Outlook New: Microsoft verlängert Opt-out-Phase für Firmen bis 2027
- Anonym bei Google Chrome 145.0.7632.116/117 fixt Schwachstellen
- ToWa bei Outlook New: Microsoft verlängert Opt-out-Phase für Firmen bis 2027
- Dave bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Frank bei Outlook Classic: Bug blendet Mauszeiger aus
- tobi bei KI-Folgen: Preiswelle rollt über Technik-Markt
- R.S. bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Daniel A. bei Outlook New: Microsoft verlängert Opt-out-Phase für Firmen bis 2027
- Stefan Kanthak bei PDF-Trojaner TamperedChef und Schwachstellen in PDF-Tools
Der letzte genannte Punkt ist trivial. Alle Server sollten nach Möglichkeit komplett vom Internet getrennt sein, oder wenigstens so eingeschränkt, dass sie nur mit den Diensten Kontakt aufnehmen können, die gebraucht werden.
Intressant: Falls mindestens ein DC virtualisiert ist, empfiehlt MS dafür einen eigenen Host! Kein Wort vom Nutzen von Shielded VMs, dabei ist deren Aufgabe laut MS doch gerade "to protect virtual machines from a compromised host"
Siehe https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms
Kein Vertrauen in eigene Features? Stattdessen wird geraten, auf dem Host Bitlocker zu aktivieren, was sich jeder mit einem physikalisch gesicherten Serverraum eher sparen sollte.
Interessant, denn genau das steht aber in dem lila "Note" Feld ganz fett mit Hinweis auf Shielded VMs
Interessant ;-)
Das kommt davon, wenn man rückwärts liest.
:)
ODER
Man installiert die aktuellsten November Patches von Microsoft auf einem DC, da kann man so richtig schön zuschauen wie Vertrauensstellungen, Maschinenkonten, GPO Richtlinien sich in Rauch auflösen….
Es darf gerne gelacht werden…
Wie denn, wo denn, was denn?
Meinst du den bevorstehenden Kerberos Enforcement Mode? Oder die RC4-Sache? Bei uns ist bisher alles gut.
dann hattest du aber zuvor nicht nach best practice (von MS!) deine Domäne gehärtet oder die Maßnahmen zurückgebaut, bevor du den Patch eingespielt hast?
Ein DC braucht einen DNS Server – Wenn der DNS Service nicht ins Internet kommt ist es zappen duster. Oder soll man laut Microsoft eigene Server-Lizenzen für DNS Server kaufen?
Langsam zweifelt man an Microsoft doch sehr……
Einfach eine Datacenter-Lizenz kaufen, dann muß man sich um die Lizenz nur kümmern, wenn man hardwaretechnisch etwas ändert (z.B. Anzahl der Prozessor-Cores über das lizensierte Maß erhöht).
Mit einer Datacenter-Lizenz kann man auch 100 VMs installieren, die sind alle durch die Lizenz abgedeckt.
?
Machst du auf deiner Firewall DNS zu den externen DNS Servern deines Vertrauens auf und gut ist.
Wo ist das Problem? Der Rest wird blockiert.
Wieder Microsoft bashing ohne nachgedacht zu haben…
Ja, das, oder noch besser, einen anderen DNS als Forwarder davor und gut ists.
Das läuft bei mir so – ich verwende Pi-hole als DNS Forwarder, der im Netzwerk auch die Werbung und sonstiges, unerwünschtes Zeugs filtert.
Der Guide ist praktische eine Verkaufsveranstaltung von Microsoft. Das AD wird sicherer, wenn man es in die Azure Cloud legt? WSUS ist nur für kleine Firmen? Soso.
Immerhin wird der Zugriff auf das Internet per Web Browser thematisiert. Das wäre ja eigentlich das Hauptthema für Server UND Clients: wenn Mitarbeiter schon Links auf Webseiten oder in Outlook zum Anklicken bekommen, dann muss man die Firma eben vor den Konsequenzen schützen. Nicht primär per AV, nicht per DNS Filter, nicht per Schulungen – sondern indem man den Klick durch ein extrem eingeschränkte Internet völlig ungefährlich werden lässt. Egal ob in Outlook oder eine dubiosen Webseite (die dann ja gar nicht erreichbar ist).
Ja, man benötigt einen AV trotzdem, aber warum Firmen nicht weit mehr davon Gebrauch machen, den Zugriff aufs Internet einzuschränken und damit den Großteil der Gefahren (drive by downloads, Phishing Mails) einfach zu entschärfen, das kann man mir nur erklären, weil man eben ganz viele "Lösungen" (= Lizenzen = Geld) dafür nicht mehr anbieten könnte.