Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wet 3: Als een slechte acteur onbeperkte fysieke toegang tot uw computer heeft, is dit niet meer uw computer. - Tien onveranderbare wetten van beveiliging (versie 2.0).
Domeincontrollers bieden de fysieke opslag voor de AD DS-database (Active Directory Domain Services), naast het leveren van de services en gegevens waarmee ondernemingen hun servers, werkstations, gebruikers en toepassingen effectief kunnen beheren. Als bevoegde toegang tot een domeincontroller wordt verkregen, kan een kwaadwillende gebruiker de AD DS-database wijzigen, beschadigen of vernietigen en, extensie, alle systemen en accounts die worden beheerd door Active Directory.
Omdat domeincontrollers alles in de AD DS-database kunnen lezen en ernaar kunnen schrijven, betekent inbreuk op een domeincontroller dat uw Active Directory-forest nooit meer als betrouwbaar kan worden beschouwd, tenzij u het kunt herstellen met behulp van een bekende goede back-up en de hiaten die het compromis hebben toegestaan, kunt sluiten.
Afhankelijk van de voorbereiding, tooling en vaardigheid van een aanvaller kan onherstelbare schade binnen enkele minuten of uren, niet dagen of weken, worden voltooid. Wat belangrijk is, is niet hoelang een aanvaller bevoegde toegang heeft tot Active Directory, maar hoe voorbereid de aanvaller is op het moment van bevoegde toegang. Een domeincontroller in gevaar brengen kan het meest directe pad naar de vernietiging van lidservers, werkstations en Active Directory bieden. Vanwege deze bedreiging moeten domeincontrollers afzonderlijk en strenger worden beveiligd dan de algemene infrastructuur.
Fysieke beveiliging voor domeincontrollers
Deze sectie bevat informatie over het fysiek beveiligen van domeincontrollers. Domeincontrollers kunnen fysieke of virtuele machines zijn, in datacenters, filialen of externe locaties.
Datacenterdomeincontrollers
Fysieke domeincontrollers
In datacenters moeten fysieke domeincontrollers worden geïnstalleerd in speciale beveiligde rekken of kooien die gescheiden zijn van de algemene serverpopulatie. Indien mogelijk moeten domeincontrollers worden geconfigureerd met TPM-chips (Trusted Platform Module) en moeten alle volumes op de domeincontrollerservers worden beveiligd via BitLocker Drive Encryption. BitLocker voegt een kleine hoeveelheid prestatieoverhead toe, maar beschermt de map tegen inbreuk, zelfs als schijven van de server worden verwijderd. BitLocker kan ook helpen bij het beveiligen van systemen tegen aanvallen zoals rootkits, omdat de wijziging van opstartbestanden ervoor zorgt dat de server wordt opgestart in de herstelmodus, zodat de oorspronkelijke binaire bestanden kunnen worden geladen. Als een domeincontroller is geconfigureerd voor het gebruik van software RAID, seriële gekoppelde SCSI, SAN/NAS-opslag of dynamische volumes, kan BitLocker niet worden geïmplementeerd, dus lokaal gekoppelde opslag (met of zonder hardware RAID) moet indien mogelijk worden gebruikt in domeincontrollers.
Virtuele domeincontrollers
Als u virtuele domeincontrollers implementeert, moet u ervoor zorgen dat domeincontrollers ook worden uitgevoerd op fysieke hosts die gescheiden zijn van andere virtuele machines in de omgeving. Zelfs als u een niet-Microsoft-virtualisatieplatform gebruikt, kunt u overwegen om virtuele domeincontrollers te implementeren op Hyper-V in Windows Server. Deze configuratie biedt een minimale kwetsbaarheid voor aanvallen en kan worden beheerd met de domeincontrollers die worden gehost in plaats van te worden beheerd met de rest van de virtualisatiehosts. Als u System Center Virtual Machine Manager (SCVMM) implementeert voor het beheer van uw virtualisatie-infrastructuur, kunt u beheer delegeren voor de fysieke hosts waarop de virtuele machines van de domeincontroller zich bevinden, en de domeincontrollers zelf, aan geautoriseerde beheerders. U moet ook overwegen om de opslag van virtuele domeincontrollers te scheiden om te voorkomen dat opslagbeheerders toegang hebben tot de bestanden van de virtuele machine.
Note
Als u van plan bent gevirtualiseerde domeincontrollers te zoeken met andere, minder gevoelige virtuele machines op dezelfde fysieke virtualisatieservers (hosts), kunt u overwegen om een oplossing te implementeren die op rollen gebaseerde scheiding van taken afdwingt, zoals afgeschermde VM's in Hyper-V. Deze technologie biedt uitgebreide bescherming tegen kwaadwillende of niet-geïnformeerde infrastructuurbeheerders (waaronder virtualisatie, netwerk, opslag en back-upbeheerders). Het maakt gebruik van de fysieke basis van vertrouwen met externe attestation en beveiligde VM-inrichting, en zorgt voor een beveiligingsniveau dat gelijk is aan die van een toegewezen fysieke server.
Vertakkingslocaties
Fysieke domeincontrollers in vertakkingen
Op locaties waar meerdere servers zich bevinden, maar niet fysiek zijn beveiligd, moeten fysieke domeincontrollers worden geconfigureerd met TPM-chips en BitLocker-stationsversleuteling voor alle servervolumes. Als een domeincontroller niet kan worden opgeslagen in een vergrendelde ruimte op vertakkingslocaties, kunt u overwegen om Read-Only domeincontrollers (RODC's) op die locaties te implementeren.
Virtuele domeincontrollers in vertakkingen
Indien mogelijk moet u virtuele domeincontrollers uitvoeren in filialen op fysieke hosts die gescheiden zijn van de andere virtuele machines in de site. In filialen waar virtuele domeincontrollers niet kunnen worden uitgevoerd op fysieke hosts die gescheiden zijn van de rest van de populatie van virtuele servers, moet u TPM-chips en BitLocker-stationsversleuteling implementeren op hosts waarop virtuele domeincontrollers worden uitgevoerd, minimaal en op alle hosts, indien mogelijk. Afhankelijk van de grootte van het filiaal en de beveiliging van de fysieke hosts, moet u overwegen RODC's in filialen te implementeren.
Externe locaties met beperkte ruimte en beveiliging
Als uw infrastructuur locaties bevat waar slechts één fysieke server kan worden geïnstalleerd, moet een server waarop virtualisatieworkloads kunnen worden uitgevoerd, worden geïnstalleerd en moet BitLocker-stationsversleuteling worden geconfigureerd om alle volumes op de server te beveiligen. De ene virtuele machine op de server moet worden uitgevoerd als een RODC en andere servers moeten als afzonderlijke virtuele machines op de host worden uitgevoerd. Informatie over de planning voor de implementatie van RODC's vindt u in deRead-Only handleiding voor het plannen en implementeren van domeincontrollers. Zie Actieve domeincontrollers in Hyper-V voor meer informatie over het implementeren en beveiligen van gevirtualiseerde domeincontrollers. Zie de Hyper-V Beveiligingshandleiding voor meer gedetailleerde richtlijnen voor het beveiligen van de beveiliging van Hyper-V, het delegeren van beheer van virtuele machines en het beveiligen van virtuele machines.
Domeincontrollerbesturingssystemen
U moet alle domeincontrollers uitvoeren op de nieuwste versie van Windows Server die wordt ondersteund door uw organisatie. Organisaties moeten prioriteit geven aan het buiten gebruik stellen van verouderde besturingssystemen in de populatie van domeincontrollers. Door domeincontrollers actueel te houden en verouderde domeincontrollers te elimineren, kunt u profiteren van nieuwe functionaliteit en beveiliging. Deze functionaliteit is mogelijk niet beschikbaar in domeinen of forests met domeincontrollers met verouderde besturingssystemen.
Note
Net als bij elke beveiligingsgevoelige en configuratie met één doel, raden we u aan het besturingssysteem te implementeren met behulp van de Server Core-installatieoptie . Het biedt meerdere voordelen, zoals het minimaliseren van het kwetsbaarheid voor aanvallen, het verbeteren van de prestaties en het verminderen van de kans op menselijke fouten. We raden u aan om alle bewerkingen en beheer op afstand uit te voeren, van toegewezen, zeer beveiligde eindpunten, zoals PAW's (Privileged Access Workstations) of beveiligde beheerhosts.
Beveiligde configuratie van domeincontrollers
U kunt hulpprogramma's gebruiken om een initiële beveiligingsconfiguratiebasislijn te maken voor domeincontrollers die moeten worden afgedwongen met GPO's. Deze hulpprogramma's worden beschreven in instellingen voor beveiligingsbeleid beheren en overzicht van Desired State Configuration.
RDP-beperkingen
Groepsbeleidsobjecten die zijn gekoppeld aan alle OE's van domeincontrollers in een forest moeten worden geconfigureerd om RDP-verbindingen alleen toe te staan van geautoriseerde gebruikers en systemen, zoals jumpservers. Beheer kan worden bereikt via een combinatie van instellingen voor gebruikersrechten en Windows Firewall met geavanceerde beveiligingsconfiguratie. Deze besturingselementen kunnen worden geïmplementeerd met GPO's, zodat het beleid consistent wordt toegepast. Als beleid wordt overgeslagen, retourneert de volgende vernieuwing van groepsbeleid het systeem naar de juiste configuratie.
Patch- en configuratiebeheer voor domeincontrollers
Hoewel het mogelijk contra-intuïtief lijkt, moet u overwegen om domeincontrollers en andere essentiële infrastructuuronderdelen afzonderlijk van uw algemene Windows-infrastructuur te patchen. Als u bedrijfsconfiguratiebeheersoftware gebruikt voor alle computers in uw infrastructuur, kan inbreuk op de systeembeheersoftware worden gebruikt om alle infrastructuuronderdelen die door die software worden beheerd, te beschadigen of te vernietigen. Door patch- en systeembeheer voor domeincontrollers te scheiden van de algemene populatie, kunt u de hoeveelheid software verminderen die op domeincontrollers is geïnstalleerd, naast het strikt beheren van hun beheer.
Internettoegang voor domeincontrollers blokkeren
Een van de controles die worden uitgevoerd als onderdeel van een Active Directory-beveiligingsevaluatie is het gebruik en de configuratie van webbrowsers op domeincontrollers. Er mag geen webbrowser worden gebruikt op domeincontrollers. Een analyse van duizenden domeincontrollers heeft talloze gevallen aan het licht gebracht waarbij bevoegde gebruikers Internet Explorer gebruikten om door het intranet of internet van de organisatie te bladeren.
Surfen op internet of een geïnfecteerd intranet vanaf een van de krachtigste computers in een Windows-infrastructuur vormt een buitengewoon risico voor de beveiliging van een organisatie. Of het nu via een station via downloaden of via het downloaden van door malware geïnfecteerde 'hulpprogramma's', aanvallers toegang kunnen krijgen tot alles wat ze nodig hebben om volledig inbreuk te maken op de Active Directory-omgeving of de Active Directory-omgeving te vernietigen.
U moet het starten van webbrowsers op domeincontrollers beperken met behulp van beleid en technische besturingselementen. Algemene internettoegang van en naar domeincontrollers moet ook strikt worden gecontroleerd.
We raden alle organisaties aan om over te stappen op een cloudbenadering voor identiteits- en toegangsbeheer en migreren van Active Directory naar Microsoft Entra-id. Microsoft Entra ID is een volledige cloudoplossing voor identiteits- en toegangsbeheer voor het beheren van mappen, het inschakelen van toegang tot on-premises en cloud-apps en het beveiligen van identiteiten tegen beveiligingsrisico's. Microsoft Entra ID biedt een robuuste en gedetailleerde set beveiligingscontroles om identiteiten te beschermen, zoals meervoudige verificatie, beleid voor voorwaardelijke toegang, id-beveiliging, identiteitsbeheer en Privileged Identity Management.
De meeste organisaties werken in een hybride identiteitsmodel tijdens hun overgang naar de cloud, waarbij een deel van hun on-premises Active Directory wordt gesynchroniseerd via Microsoft Entra Connect. Hoewel dit hybride model in elke organisatie bestaat, raden we aan om on-premises identiteiten in de cloud te beveiligen via Microsoft Defender for Identity. De configuratie van de Defender for Identity-sensor op domeincontrollers en AD FS-servers maakt een beveiligde eenrichtingsverbinding met de cloud mogelijk via een proxy en specifieke eindpunten. Raadpleeg de technische documentatie voor Defender for Identity voor een volledige uitleg over het configureren van deze proxyverbinding. Deze nauw beheerde configuratie zorgt ervoor dat het risico dat deze servers worden verbonden met de cloudservice wordt beperkt en organisaties profiteren van de toename van de beveiligingsmogelijkheden die Defender for Identity biedt. We raden u ook aan deze servers te beveiligen met eindpuntdetectie in de cloud, zoals Microsoft Defender voor Servers.
Voor organisaties met wettelijke of andere beleidsvereisten voor het onderhouden van een on-premises implementatie van Active Directory, raden we u aan om de internettoegang van en naar domeincontrollers volledig te beperken.
Beperkingen voor perimeterfirewall
Perimeterfirewalls moeten worden geconfigureerd om uitgaande verbindingen van domeincontrollers naar internet te blokkeren. Hoewel domeincontrollers mogelijk moeten communiceren over de grenzen van de site, kunt u perimeterfirewalls configureren om communicatie tussen sites mogelijk te maken door de richtlijnen te volgen in Het configureren van een firewall voor Active Directory-domeinen en -vertrouwensrelaties.
Voorkomen dat surfen vanaf domeincontrollers wordt gebruikt
U kunt een combinatie van AppLocker-configuratie, proxyconfiguratie 'zwart gat' en Windows Firewall met geavanceerde beveiligingsconfiguratie gebruiken om te voorkomen dat domeincontrollers toegang hebben tot internet en om het gebruik van webbrowsers op domeincontrollers te voorkomen.