Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Schutz von Anmeldeinformationen in Windows Server 2016

Schutz von Anmeldeinformationen in Windows Server 2016

Aug 9, 2018

Windows Server 2016 beinhaltet mehrere Werkzeuge, um das Risiko des Diebstahls und Missbrauchs von Anmeldeinformationen zu verringern. Die Gruppe der Geschützten Benutzer schränkt unsichere Authentifizierungsmethoden ein, während Kontorichtlinien und verwaltete Dienstkonten die Sicherheit von Benutzer-, Computer- und Dienstkonten stärken. Windows Defender Credential Guard isoliert Geheimnisse mit virtualisierungsbasierter Sicherheit, und Microsoft LAPS sorgt für einzigartige, automatisch rotierende lokale Admin-Passwörter. Zusammen helfen diese Maßnahmen, Privilege Escalation und laterale Bewegungen zu verhindern.

Anmeldeinformationen sind die Schlüssel zu einem Konto. Indem Angreifer Anmeldeinformationen sammeln, können sie in Ihr Netzwerk eindringen, sich seitwärts bewegen und ihre Privilegien eskalieren, um Ihre Daten zu stehlen. Windows Server 2016 verfügt über mehrere Funktionen, um die Wahrscheinlichkeit zu minimieren, dass Angreifer in der Lage sein werden, Anmeldeinformationen zu sammeln.

Ausgewählte verwandte Inhalte:

Verwendung der Gruppe Protected Users

Das Hinzufügen von Benutzern, insbesondere von Benutzern mit hohen Privilegien, zur „Protected Users“-Gruppe hilft Ihnen dabei, sich gegen den Kompromiss ihrer Anmeldeinformationen zu schützen, indem weniger sichere Authentifizierungsoptionen deaktiviert werden. Beispielsweise speichert Windows die Anmeldeinformationen von Mitgliedern dieser Gruppe nicht lokal, sodass sie nie auf Arbeitsstationen zurückbleiben, wo Angreifer sie ernten könnten. Darüber hinaus können Benutzerkonten, die Mitglieder dieser Gruppe sind, nicht:

  • Verwenden Sie die Delegation von Standardanmeldeinformationen
  • Verwenden Sie Windows Digest
  • Verwenden Sie NTLM
  • Verwenden Sie langfristige Kerberos-Schlüssel
  • Offline anmelden
  • Verwenden Sie NT LAN Manager (NTLM) zur Authentifizierung
  • Verwenden Sie DES für die Kerberos-Pre-Authentifizierung
  • Verwenden Sie RC4-Verschlüsselungssuites für die Kerberos-Vorauthentifizierung
  • Erhalten Sie delegierte Berechtigungen durch eingeschränkte Delegation
  • Erhalten Sie delegierte Berechtigungen durch uneingeschränkte Delegation
  • Erneuern Sie Benutzer-Ticket-Granting-Tickets (TGTs) über die anfängliche Lebensdauer von 240 Minuten hinaus

Verwendung von Kontoeinstellungen

Benutzerkonten

Für Benutzerkonten, die weniger strenge Schutzmaßnahmen benötigen, können Sie die folgenden Sicherheitsoptionen verwenden, die für jedes AD-Konto verfügbar sind:

  • Anmeldezeiten — Ermöglicht Ihnen festzulegen, wann Benutzer ein Konto verwenden können.
  • Anmeldearbeitsstationen — Ermöglicht Ihnen, die Computer zu beschränken, an denen sich das Konto anmelden kann.
  • Password Never Expires — Befreit das Konto von der Einstellung der Richtlinie „Maximales Passwortalter“; konfigurieren Sie diese Option nicht für Privileged Accounts.
  • Für die interaktive Anmeldung ist eine Smartcard erforderlich — Für die Anmeldung des Kontos muss eine Smartcard vorgelegt werden.
  • Das Konto ist sensibel und kann nicht delegiert werden — Stellt sicher, dass vertrauenswürdige Anwendungen die Anmeldeinformationen des Kontos nicht an andere Dienste oder Computer im Netzwerk weiterleiten können.
  • Dieses Konto unterstützt Kerberos AES 128-Bit-Verschlüsselung — Ermöglicht Kerberos AES 128-Bit-Verschlüsselung.
  • Dieses Konto unterstützt Kerberos AES 256-Bit-Verschlüsselung — Ermöglicht Kerberos AES 256-Bit-Verschlüsselung. Verwenden Sie diese Option für privilegierte Konten.
  • Kontoablauf — Ermöglicht Ihnen, ein Enddatum für das Konto festzulegen.

Computerkonten

Neben der Kontrolle von Benutzerkonten müssen Sie auch den Umfang von Computer- und Dienstkonten verstehen und verwalten. Wenn Sie einen Computer zum ersten Mal einer Domäne hinzufügen, erstellt Windows ein Computerkonto im Active Directory im „Computers“-Container und weist ihm automatisch ein Passwort zu. AD verwaltet diese Passwörter und aktualisiert sie automatisch alle 30 Tage.

Um die Berechtigungen von Computerkonten zu verwalten und zu steuern, welche Gruppenrichtlinien auf sie angewendet werden, können Sie sie zu Gruppen hinzufügen und in verschiedene OUs verschieben. Sie können auch Computerkonten deaktivieren und zurücksetzen:

  • Deaktivieren eines Computerkontos bedeutet, dass der Computer keine Verbindung mehr zum Domain herstellen kann. Wenn Sie ein Computerkonto löschen und der Computer noch betriebsbereit ist, müssen Sie den Computer erneut in die Domain aufnehmen, wenn Sie möchten, dass er die Domainmitgliedschaft wiedererlangt.
  • Das Zurücksetzen eines Computerkontos entfernt die Verbindung zwischen dem Computer und der Domäne.

Servicekonten

Dienstkonten sind eine spezielle Art von Konto, die Windows-Dienste verwenden, um mit dem Betriebssystem und Ressourcen im Netzwerk zu interagieren. (Es ist auch möglich, Benutzerkonten zu erstellen und sie so zu konfigurieren, dass sie als Dienstkonten laufen, aber das ist nicht praktikabel.)

Es gibt drei Arten von integrierten Dienstkonten:

  • Lokales System — Das NT AUTHORITYSYSTEM-Konto verfügt über Berechtigungen, die denen der lokalen Administratorengruppe auf dem Computer entsprechen.
  • Lokaler Dienst — Das NT AUTHORITYLocalService-Konto verfügt über Berechtigungen, die denen der lokalen Benutzergruppe auf dem Computer entsprechen.
  • Netzwerkdienst — Das NT AUTHORITYNetworkService-Konto verfügt über Berechtigungen, die denen der lokalen Benutzergruppe auf dem Computer entsprechen.

Um diese Konten zu schützen, stellen Sie sicher, dass ein Systemadministrator ihre Passwörter regelmäßig aktualisiert. Dies ist ein manueller Prozess, wenn Sie native Tools verwenden.

Gruppenverwaltete Dienstkonten und virtuelle Konten

Ein Group Managed Service Account ist eine spezielle Art von Dienstkonto; AD aktualisiert automatisch die Passwörter dieser Konten. Ein virtuelles Konto ist das computerspezifische lokale Äquivalent eines Group Managed Service Account.

Ausgewählte verwandte Inhalte:

Verwendung von Windows Defender Credential Guard

Windows Defender Credential Guard ist eine neue Technologie in Windows 10 und Windows Server 2016, die dabei hilft, Anmeldeinformationen vor Angreifern zu schützen, die versuchen, sie mithilfe von Malware zu ernten. Windows Defender Credential Guard verwendet virtualisierungsbasierte Sicherheit, die es Ihnen ermöglicht, Geheimnisse wie zwischengespeicherte Anmeldeinformationen zu isolieren, sodass nur privilegierte Software darauf zugreifen kann.

Bei der auf Virtualisierung basierenden Sicherheit laufen die spezifischen Prozesse, die Anmeldeinformationen oder Daten verwenden, und der Speicher, der mit diesen Prozessen verbunden ist, in einem separaten Betriebssystem parallel zu, aber unabhängig von dem Host-Betriebssystem. Dieses virtuelle Betriebssystem schützt Prozesse vor Versuchen jeglicher externer Software, die Daten zu lesen, die diese Prozesse speichern und verwenden. Windows Defender Credential Guard nutzt die Hardware-Sicherheit, einschließlich Secure Boot und Virtualisierung.

Sie können Windows Defender Credential Guard mit Group Policy, Windows Management Instrumentation (WMI) oder Windows PowerShell verwalten.

Windows Defender Credential Guard erlaubt nicht die Verwendung von:

  • Unbeschränkte Kerberos-Delegierung
  • NT LAN Manager Version 1 (NTLMv1)
  • Microsoft Challenge Handshake Authentication Protocol (MS-CHAPv2)
  • Digest
  • Credential Security Support Provider (CredSSP)
  • Kerberos DES-Verschlüsselung

Verwendung der Local Administrator Password Solution

Microsofts Local Administrator Password Solution (LAPS) bietet ein sicheres zentrales Repository für die Passwörter aller integrierten lokalen Administrator-Konten und automatisiert das ordnungsgemäße Management dieser Passwörter. Insbesondere LAPS:

  • Stellt sicher, dass lokale Administratorpasswörter auf jedem Computer einzigartig sind
  • Ändert automatisch alle lokalen Administratorpasswörter alle 30 Tage
  • Bietet konfigurierbare Berechtigungen, um den Zugriff auf Passwörter zu steuern
  • Überträgt Passwörter auf sichere, verschlüsselte Weise an den Client

Verwendung des Active Directory Administrative Center

Das Active Directory Administrative Center ermöglicht es Ihnen, Ihr Active Directory nach Konten zu durchsuchen, die von Angreifern übernommen werden könnten. Insbesondere sollten Sie regelmäßig nach den folgenden Arten von Konten Ausschau halten:

  • Benutzerkonten, deren Passwörter nie ablaufen — Sie sollten vermeiden, Konten mit festen Passwörtern zu konfigurieren, da sie weniger sicher sind als Konten mit Passwörtern, die Benutzer regelmäßig aktualisieren müssen.
  • Inaktive Benutzerkonten — Inaktive Benutzerkonten gehören normalerweise einer Person an, die die Organisation verlassen hat. Die Active Directory Administrative Center-Konsole ermöglicht es Ihnen, Konten zu finden, die sich für eine bestimmte Anzahl von Tagen nicht angemeldet haben.

Das Löschen oder Deaktivieren dieser Benutzerkonten verhindert, dass sie von externen Angreifern oder bösartigen Insidern missbraucht werden.

Ausgewählte verwandte Inhalte:

Zusammenfassung

Wie Sie sehen können, bietet Windows Server 2016 viele Möglichkeiten, um Anmeldeinformationen in Ihrer Umgebung zu schützen. Sie können einige oder alle davon nutzen. Insbesondere ist es klug, von Gruppenverwalteten Dienstkonten, Windows Defender Credential Guard und LAPS Gebrauch zu machen, da sie die IT-Sicherheit mit relativ wenig Aufwand erheblich verbessern können.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Jeff Melnick

Direktor für Systemtechnik

Jeff ist ehemaliger Director of Global Solutions Engineering bei Netwrix. Er ist ein langjähriger Netwrix-Blogger, Redner und Präsentator. Im Netwrix-Blog teilt Jeff Lifehacks, Tipps und Tricks, die Ihre Systemadministrationserfahrung erheblich verbessern können.

Erfahren Sie mehr zu diesem Thema

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Active Directory-Attribute: Letzte Anmeldung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen