Privilegierte Konten im AD schützen

Mit Windows 2000 Server kam das Active Directory (AD) vor ungefähr 20 Jahren auf den Markt. Es sollten jedoch 13 Jahre vergehen, bis mit Server 2012 R2 eine der größten Verbesserungen in puncto Sicherheit der Kerberos-Authentifizierung von hochprivilegierten Konten veröffentlicht wurde. Ein Teil der neuen Funktionalität, die Sonderbehandlung der "Protected Users"-Gruppe, wurde mit dem Heraufstufen der Domänenfunktionsebene automatisch eingeführt und hat in manchen Fällen Irritationen hervorgerufen. Weitere Features wie Authentication Policies sind vielen Administratoren bis heute unbekannt.

Hochprivilegierte Konten schützen

Für den normalen User, der sich ohne Systemverwalterrechte an seiner Arbeitsstation oder an einem gemeinsam genutzten Computer anmeldet, um mithilfe von Anwendungsprogrammen

seine Aufgaben zu erledigen, ist die übliche Anmeldung mittels Kerberos durchaus gut genug: Das bei der Anmeldung erteilte Ticket Granting Ticket (TGT) ist standardmäßig zehn Stunden gültig und wird bei Ablauf stillschweigend erneuert. Die Anmeldung ist dabei grundsätzlich an jedem Clientsystem innerhalb des Forests möglich, sofern die Default-Konfiguration nicht verändert wurde. Sind ältere Geräte im Einsatz, ist zur Not auch eine NTLM-Authentifizierung möglich. Das ist in den meisten Fällen auch vollkommen in Ordnung.

Anders ist es jedoch bei einem hochprivilegierten Account. Dabei muss sich "hochprivilegiert" nicht unbedingt auf einen Domänen- oder Schema-Admin beziehen. Auch ein Konto, das weitreichende Verwaltungs- und Datenzugriffsberechtigungen in einem anderen System als dem Active Directory selbst besitzt, muss der IT-Verantwortliche ausreichend schützen. Ein SQL-Admin hat das Potenzial, wichtige Daten zu Geschäftsvorgängen zu entwenden oder zu verändern. Ein Fileserver-Admin könnte unter Umständen auf geheime Entwürfe aus der

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.