Active Directory.pdf - Gattner

314 Kapitel 8: Active Directory-Domänendienstsicherheit
• Lassen Sie Administratorkonten niemals von mehreren Personen nutzen. In manchen Unternehmen
kennen alle Administratoren das Kennwort für das Standardadministratorkonto, und alle verwenden
dieses Konto für die Durchführung administrativer Aufgaben. Die gemeinsame Nutzung
von Administratorkonten vereitelt jede Möglichkeit, genau zu überwachen, wer Änderungen am
Verzeichnis vorgenommen hat; von dieser Vorgehensweise wird daher dringend abgeraten. Die
gemeinsame Nutzung von Administratorkonten und Kennwörtern kann außerdem zu einem
Sicherheitsproblem führen, wenn Administratoren das Team oder das Unternehmen verlassen.
• Sichern Sie den Anmeldevorgang für Administratoren. Um das Risiko, dass jemand ein Administratorkonto
missbraucht oder schädigt, auf ein Minimum zu beschränken, sollten Sie folgende
Schritte in Betracht ziehen, um starke Administratoranmeldeinformationen durchzusetzen:
Verlangen Sie Smartcards für die Administratoranmeldung. Lassen Sie Dienstadministratoren
Smartcards für ihre interaktive Anmeldung verwenden. Abgesehen davon, dass Sie Administratoren
zum Besitz einer Karte für die Anmeldung zwingen, stellen Smartcards außerdem
sicher, dass ein zufällig generiertes, kryptografisch starkes Kennwort für das Benutzerkonto
verwendet wird. Diese starken Kennwörter stellen einen Schutz gegen den Diebstahl
schwacher Kennwörter zum Erlangen des Administratorzugriffs dar. Sie können die Verwendung
von Smartcards durch Aktivieren der Sicherheitsoption Interaktive Anmeldung: Smartcard
erforderlich für jedes Administratorkonto durchsetzen.
Teilen Sie die Anmeldeinformationen für besonders kritische Administratorkonten auf. Jedem
Konto, das Mitglied der Gruppe Organisations-Admins oder Domänen-Admins in der Gesamtstruktur-Stammdomäne
ist, weisen Sie zwei Benutzer zur gemeinsamen Nutzung zu, sodass
beide Benutzer anwesend sein müssen, um sich erfolgreich am Konto anzumelden. Sie können
die Anmeldeinformationen aufteilen, indem Sie entweder geteilte Kennwörter (jeder Administrator
kennt nur einen Teil des Kennworts) oder geteilte Smartcards plus PINs verwenden.
• Sichern Sie die Arbeitsstationen von Dienstadministratoren. Zusätzlich zur Konfiguration der
Sicherheit des Administratorkontos sollten Sie außerdem die Sicherheit der Administratorarbeitsstationen
sicherstellen. Erwägen Sie zu diesem Zweck die Implementierung folgender Prozesse:
Schränken Sie ein, an welchen Arbeitsstationen Dienstadministratoren sich anmelden können.
Jedes Administratorkonto kann so eingeschränkt werden, dass es sich nur an bestimmten
Arbeitsstationen anmelden darf. Wenn die Sicherheit eines Ihrer Administratorkonten verletzt
wird, begrenzt das Einschränken der möglichen Arbeitsstationen auch die Anzahl der Stellen,
an denen das Konto verwendet werden kann.
Wenden Sie eine besondere Sicherheitsrichtlinie auf die Administratorarbeitsstationen an. Ziehen
Sie das Verschieben aller Arbeitsstationen der Dienstadministratoren in eine dedizierte
OU in Betracht, und weisen Sie dieser anschließend eine hoch sichere Richtlinie für die
Arbeitsstationen zu. Beispielsweise können Sie das Benutzerrecht Lokal anmelden zulassen
auf die Dienstadministratorkonten einschränken.
Stellen Sie sicher, dass auf Administratorarbeitsstationen alle Sicherheitsupdates installiert
sind und dass die Antivirussoftware auf den Arbeitsstationen auf dem neuesten Stand ist.
Fordern Sie Administratoren zur Verwendung von Remote Desktop für die Durchführung administrativer
Aufgaben auf. Sie können Remote Desktop auf jedem Windows Server 2008 aktivieren
und die Sicherheitseinstellungen so konfigurieren, dass nur die angegebenen Administratoren
sich über Remote Desktop mit dem Server verbinden können. Wenn Sie den Remote Desktop
6-Client auf Windows XP-Clients installieren oder einen Windows Vista-Client verwenden, können
Sie die Netzwerkverschlüsselung für alle Remote Desktop-Verbindungen durchsetzen.