Active Directory.pdf - Gattner

290 Kapitel 8: Active Directory-Domänendienstsicherheit
• Maximale Gültigkeitsdauer des Diensttickets Diese Richtlinie stellt den maximalen Zeitraum
(in Minuten) ein, für den ein Dienstticket für den Zugriff auf einen bestimmten Dienst verwendet
werden kann. Wenn die Einstellung null Minuten lautet, läuft das Ticket nie ab. Lautet der eingestellte
Wert nicht null, muss er höher sein als zehn Minuten und niedriger als oder gleich der Einstellung
für „Max. Gültigkeitsdauer des Benutzertickets“. Standardmäßig ist dieser Wert auf 600
Minuten (zehn Stunden) eingestellt.
• Maximale Gültigkeitsdauer des Benutzertickets Diese Richtlinie stellt den maximalen Zeitraum
(in Stunden) ein, für den das TGT des Benutzers verwendet werden kann. Nach Ablauf des TGT
muss ein neues vom KDC angefordert werden oder das vorhandene Ticket muss erneuert werden.
Standardmäßig ist dieser Wert auf 10 Stunden eingestellt.
• Maximaler Zeitraum, in dem ein Benutzerticket erneuert werden kann Diese Richtlinie legt den Zeitraum
(in Tagen) fest, in dem ein TGT erneuert werden kann (und das Anfordern eines neuen TGT
nicht erforderlich ist). Standardmäßig ist dieser Wert auf 7 Tage eingestellt.
• Maximale Toleranz für die Synchronisation des Computertakts Diese Richtlinie stellt den maximalen
Zeitunterschied (in Minuten) ein, den Kerberos zwischen der Uhrzeit auf einem Clientcomputer
und der Uhrzeit auf einem Domänencontroller, der die Kerberos-Authentifizierung bereitstellt,
zulässt. Ist der Zeitunterschied zwischen den beiden Computern größer als der angegebene Toleranzwert,
werden alle Kerberos-Tickets abgelehnt. Standardmäßig ist dieser Wert auf 5 Minuten
eingestellt. Beachten Sie, wenn diese Einstellung geändert wird, dass sie bei einem Neustart des
Computers auf den Standardwert zurückgesetzt wird.
In den meisten Fällen sind die Kerberos-Standardeinstellungen angemessen. In Umgebungen mit
hohen Sicherheitsanforderungen können Sie die Einstellungen für die Ticketgültigkeitsdauer verringern.
In diesem Fall müssen sich die Clients jedoch häufiger mit dem KDC verbinden und verursachen
auf diese Weise zusätzlichen Netzwerkdatenverkehr und eine zusätzliche Belastung der Domänencontroller.
Es empfiehlt sich, diese Einstellungen immer innerhalb eines Gruppenrichtlinienobjekts
zu definieren und das GPO auf Domänenebene zu verknüpfen.
Integration in die Public Key-Infrastruktur
Wie zuvor erwähnt, basiert Kerberos auf einem Authentifizierungsmodell mit gemeinsamem
geheimem Schlüssel. Dieses Modell bietet eine herausragende Sicherheit, birgt jedoch eine erhebliche
Einschränkung für die Bereitstellung des Zugriffs auf ein Windows Server 2008-Netzwerk.
Diese Einschränkung ist, dass jeder Benutzer, der auf das Netzwerk zugreift, ein Benutzerkonto in der
KDC-Kontodatenbank besitzen muss. Wenn ein Benutzer nicht in der Datenbank enthalten ist, kann
er keinen Zugriff auf das Netzwerk erhalten.
Dies ist kein Problem für ein Unternehmen, in dem alle Benutzer, die sich am Netzwerk anmelden,
bekannt sind und in dem für jeden Benutzer ein Benutzerkonto erstellt werden kann. Viele Unternehmen
erweitern jedoch die Liste der Benutzer, die auf Netzwerkressourcen zugreifen müssen, um
externe, nicht angestellte Benutzer. Ein Unternehmen kann eine kurzfristige Partnerschaft mit einem
anderen Unternehmen eingehen und den Mitarbeitern des Partnerunternehmens Zugriff auf Netzwerkressourcen
einräumen müssen. Außerdem könnte ein Unternehmen bestimmten Kunden Zugriff auf
Ressourcen des Unternehmensnetzwerks bereitstellen wollen. In diesen Szenarios kann die Liste der
Personen, die auf das Netzwerk zugreifen müssen, sehr lang werden. Die Erstellung eines Benutzerkontos
für jeden einzelnen Benutzer wäre somit fast unmöglich.