Active Directory.pdf - Gattner

278 Kapitel 8: Active Directory-Domänendienstsicherheit
In einer AD DS-Umgebung werden diese gemeinsamen geheimen Schlüssel im AD DS-Datenspeicher
abgelegt. Wenn ein Benutzer Zugriff auf das Netzwerk und auf Ressourcen im Netzwerk benötigt,
bestätigt das Schlüsselverteilungscenter, dass der Benutzer den gemeinsamen geheimen Schlüssel
kennt und authentifiziert den Benutzer. Das Schlüsselverteilungscenter speichert darüber hinaus auch
gemeinsame geheime Schlüssel für Computer, die Mitglieder der AD DS-Domäne sind. Diese Schlüssel
werden zur Authentifizierung von Computern verwendet, die für den Zugriff auf Netzwerkressourcen
eingesetzt werden.
Hinweis In der Kerberos-Terminologie ist dieser zentrale Server zur Verwaltung des Benutzerkontos ein
Schlüsselverteilungscenter (Key Distribution Center, KDC), wie zuvor besprochen. In der Windows Server
2008-Implementierung von Kerberos wird dieser Server als Domänencontroller bezeichnet. Jeder AD DS-
Domänencontroller, schreibgeschützte Domänencontroller eingeschlossen, ist ein Schlüsselverteilungscenter.
In Kerberos wird die Grenze, die durch die Benutzerdatenbank für ein Schlüsselverteilungscenter definiert
ist, als Bereich bezeichnet. In der Windows Server 2008-Terminologie wird diese Grenze Domäne
genannt.
Jedes Schlüsselverteilungscenter (ausgeführt als Kerberos-Schlüsselverteilungscenter-Dienst in
Windows Server 2008) umfasst zwei getrennte Dienste: den Authentifizierungsdienst (AS) und den
Ticketerteilungsdienst (Ticket Granting Service, TGS). Der Authentifizierungsdienst ist für die
anfängliche Clientanmeldung verantwortlich und gibt ein TGT an den Client aus (Ticket-Granting
Ticket). Der Ticketerteilungsdienst (TGS) ist für alle Diensttickets verantwortlich, mit denen auf Ressourcen
im Windows Server 2008-Netzwerk zugegriffen wird.
Das Schlüsselverteilungscenter speichert die Kontodatenbank für die Kerberos-Authentifizierung. In
der Windows Server 2008-Implementierung von Kerberos wird die Datenbank durch den Verzeichnissystem-Agenten
(Directory System Agent, DSA) verwaltet, der innerhalb des LSA-Prozesses auf
jedem Domänencontroller ausgeführt wird. Clients und Anwendungen erhalten niemals direkten
Zugriff auf die Kontodatenbank; alle Anforderungen müssen über den Verzeichnissystem-Agenten
und unter Verwendung einer der AD DS-Schnittstellen erfolgen. Jedes Objekt innerhalb der Kontodatenbank
(tatsächlich jedes Attribut für jedes Objekt) wird durch eine Zugriffssteuerungliste (Access
Control List, ACL) geschützt. Der Verzeichnissystem-Agent stellt sicher, dass Zugriffsversuche auf
die Kontodatenbank ordnungsgemäß autorisiert werden.
Hinweis Wenn die AD DS auf dem ersten Domänencontroller in der Domäne installiert werden, wird ein
spezielles Konto namens krbtgt in der Domäne erstellt. Das Konto kann weder gelöscht noch umbenannt
werden und sollte niemals aktiviert oder aus dem Container Users verschoben werden. Dem Konto wird bei
der Erstellung ein Kennwort zugewiesen, und das Kennwort wird automatisch in regelmäßigen Abständen
geändert. Dieses Kennwort wird verwendet, um einen geheimen Schlüssel zu erstellen, der zum Verschlüsseln
und Entschlüsseln der TGTs eingesetzt wird, die von allen Domänencontrollern (Schlüsselverteilungscentern)
in der Domäne ausgegeben werden. Für jeden schreibgeschützten Domänencontroller wird ein
eindeutiges krbtgt-Konto angelegt, wenn der Computer heraufgestuft wird. Auf diese Weise wird eine kryptografische
Isolierung zwischen den Schlüsselverteilungscentern in unterschiedlichen Teilstrukturen erreicht,
und es wird verhindert, dass ein gefährdeter schreibgeschützter Domänencontroller (Read-Only Domain
Controller, RODC) Diensttickets and Ressourcen in anderen Teilstrukturen oder einem Hubstandort ausgibt.