6 Tools zum Schutz Ihrer Domain-Controller

Es gibt viele Dinge, die Sie als Administrator tun können, um Risiken, die mit Ihren Domain Controllern verbunden sind, zu reduzieren oder zu beseitigen. In diesem Artikel werden wir uns einige Tools ansehen, die Sie zur Unterstützung einsetzen können.

Angriffsfläche – Dieses Konzept bezieht sich auf Software, Protokolle und Ports, die von Servern verwendet werden, um ihre Funktion zu ermöglichen. Diese Elemente sind die Bereiche der Verwundbarkeit und sollten überwacht oder sogar deaktiviert werden, wenn sie nicht benötigt werden. Indem Sie die Angriffsfläche reduzieren, können Sie die Chance, dass ein Angreifer auf eine aktuelle oder zukünftige Schwachstelle zugreifen kann, erheblich verringern. Die unten aufgeführten Tools und Anwendungen helfen Ihnen, Ihre gesamte Angriffsfläche zu reduzieren.

Assistent für Sicherheitskonfiguration

Der Security Configuration Wizard (SCW) kann aus den Administrativen Tools gestartet werden. Dieses Tool hilft Ihnen dabei, eine Richtlinie zu erstellen, die Dienste, Firewall-Regeln und andere Einstellungen aktiviert, welche es Ihrem Server ermöglichen, seine zugewiesene Rolle auszuführen. Dadurch werden auch Dienste, Protokolle und Ports, die nicht benötigt werden, deaktiviert. Der Assistent führt Sie durch die Schritte zum Erstellen oder Bearbeiten einer Richtlinie für die auf dem Server installierten Rollen. Abbildung 1 unten zeigt einen Screenshot des Security Configuration Wizard. Sie müssen Administratorrechte auf dem Server haben.

Abbildung 1

Sicherheitsrichtlinien, die mit SCW erstellt wurden, können mit Group Policy eingesetzt werden. Damit SCW ordnungsgemäß funktioniert, müssen alle Anwendungen, die IP-Protokoll und Ports nutzen, auf dem Server ausgeführt werden, wenn Sie SCW starten.

Microsoft Security Compliance Manager

Der Security Compliance Manager (SCM) ist ein kostenloses Tool, das Ihnen ermöglicht, Computer in Ihrer Active Directory-Umgebung zu konfigurieren und zu verwalten, indem Sie Baseline-Richtlinien basierend auf bewährten Sicherheitspraktiken erstellen.

AppLocker

AppLocker allows you to create rules that will allow or deny applications from running. AppLocker can control the following types of applications: .exe, .com, .js, .ps1, .vbs, .cmd, .bat, .mst, .msi, .msp, .dll and .ocx. If you do not want users to be able to store executable files on their home drive, you can restrict that using AppLocker. You can also restrict applications that are permitted to run on domain controllers.

Patches und Updates

Domain-Controller sollten immer die aktuellsten Patches und Updates haben. Es ist jedoch wichtig, nur die relevanten Patches zu installieren. Es kann sein, dass Sie Ihre Domain-Controller getrennt von den anderen Computern in Ihrer Umgebung patchen und aktualisieren müssen. Dies stellt sicher, dass die Domain-Controller die benötigten Updates erhalten, ohne unnötige Software zu installieren.

Remote Desktop

Der Fernzugriff auf Domänencontroller sollte mithilfe von Gruppenrichtlinien nur für autorisierte Personen eingeschränkt werden.

Web-Browsing auf Domain Controllern

Es ist eine schlechte Praxis, das Surfen im Internet von Domain-Controllern aus zu erlauben. Das Problem ist, dass man als Administrator versehentlich bösartige Software herunterladen könnte.