Active Directory.pdf - Gattner

269
K A P I T E L 8
Active Directory-Domänendienstsicherheit
Inhalt dieses Kapitels:
AD DS-Sicherheitsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Kerberos-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
NTLM-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
Implementieren der Sicherheit für Domänencontroller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
Entwerfen sicherer administrativer Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Einer der vornehmlichen Gründe für die Bereitstellung eines Verzeichnisdienstes wie den Active
Directory-Domänendiensten (Active Directory Domain Services, AD DS) ist der, Sicherheit im
Unternehmensnetzwerk zu gewährleisten. Jedes Unternehmen speichert geschäftskritische Informationen
auf Dateiservern im Netzwerk. E-Mails haben sich zu einem der wichtigsten Mittel für den
Austausch von Geschäftsinformationen entwickelt. Intranet- oder Internetsites enthalten möglicherweise
vertrauliche Informationen, und der Zugriff auf die Sites muss für bestimmte Benutzer eingeschränkt
werden. Um sicherzustellen, dass nur autorisierte Benutzer Zugriff erhalten, ist die Verwaltung
eines sicheren Zugriffs auf diese Arten von Informationen von wesentlicher Bedeutung.
Microsoft Windows Server 2008 AD DS stellt den Verzeichnisdienst zur Verfügung, der zur Gewährleistung
von Sicherheit in diesen und vielen weiteren Szenarien verwendet werden kann.
Das vorliegende Kapitel beginnt mit einer Einführung in die Grundlagen der AD DS-Sicherheit. Die
Active Directory-Domänendienste verwenden verschiedene Bausteine und Konzepte zur Gewährleistung
der Sicherheit in einem Windows Server 2008-Netzwerk. Im Anschluss an die Sicherheitsgrundlagen
werden die Authentifizierungs- und Autorisierungsfunktionen besprochen, die von den AD DS
zur Überprüfung der Benutzeridentität (Authentifizierung) und zur Erteilung des Zugriffs auf die
geeigneten Ressourcen (Autorisierung) eingesetzt werden. Windows Server 2008 verwendet, ebenso
wie Microsoft Windows 2000 und Windows Server 2003, Kerberos als primäres Authentifizierungsprotokoll.
Aus diesem Grund konzentriert sich der erste Teil des vorliegenden Kapitels auf die Rolle
des Kerberos-Protokolls für die Authentifizierung.
Nach der Besprechung von Authentifizierung und Autorisierung werden die AD DS-Domänencontrollersicherheit
und die Entwicklung von sicheren Verfahren für die Umgebungsverwaltung erläutert.
Dies ist eine wichtige zweite Komponente beim Aufbau einer sicheren AD DS-Umgebung.
Weitere Informationen Das vorliegende Kapitel bietet eine Grundlage für das Verständnis und die Implementierung
der Sicherheit in einem Windows Server 2008-Netzwerk. In späteren Kapiteln, wie etwa Kapitel 9,
„Delegieren der Active Directory-Domänendienste“, und Kapitel 13, „Einsetzen von Gruppenrichtlinien zum
Verwalten der Sicherheit“, werden die hier angesprochenen Konzepte eingehender behandelt.