Microsoft Exchange und Active Directory Blog
Manche Active Directory Features lassen sich nicht auf Organisationseinheiten sondern nur auf AD-Gruppen festlegen. Ein Beispiel dafür sind Fine Grained Password Policies. Will man solche Features trotzdem auf alle Benutzer einer Organisationseinheit anwenden, erstellt man einfach eine Gruppe mit allen Benutzern welche in der OU gespeichert werden. Diese Gruppe wird auch Schattengruppe (Shadow Group) genannt. … Weiterlesen …
Häufig werden Service Accounts für den Start von Windows Diensten oder geplanten Aufgaben mit dem Attribut „Passwort läuft nie ab“ konfiguriert und dann jahrelang genutzt. Oft werden solche Service Accounts auch zweck entfremdet und auf vielen Servern für verschiedenste Aufgaben eingesetzt. Service Accounts mit weit reichenden Berechtigungen und nie ablaufenden Passwörtern erleichtern es dann den … Weiterlesen …
Einige Leser dieses Blogs haben sich einen Beitrag über das Delegieren von Admin Berechtigungen gewünscht. Die meisten Anfragen drehen sich darum, dass bestimmte administrative Tätigkeiten, wie das Anlegen von Benutzerkonten oder das Zurücksetzen von Passwörtern, von Benutzern übernommen werden sollen. Diese Benutzer sollen selbstverständlich keine Domain Admin Berechtigungen besitzen, sondern nur die für ihre Tätigkeit … Weiterlesen …
Manchmal kann es erforderlich sein, dass nachträglich die IP und der Hostname eines Domain Controllers geändert werden müssen, etwa wenn ein neuer Domain Controller einen alten ersetzen und unter gleicher IP und Name erreichbar sein soll. Das Ändern der IP Adresse eines Domain Controllers ist normalerweise problemlos möglich, das Ändern des Hostnames einer Domain Controllers … Weiterlesen …
Häufig werden Benutzer zur lokalen Gruppe “Administratoren” auf Servern oder PCs hinzugefügt, damit Benutzer Admin Rechte auf entsprechenden Rechnern erhalten. Zwar ist dies die einfachste Möglichkeit um einem Benutzerkonto Admin Rechte zu konfigurieren, aber leider verliert man hier schnell die Übersicht. Hier mal ein Beispiel der Mitglieder der lokalen Administrator Gruppe eines Servers: Die Benutzer … Weiterlesen …
In diesem dritten Teil der Artikelreihe “Einfache Maßnahmen für mehr Sicherheit im AD” geht es um die Passwörter der lokalen Administrator Konten. In vielen Umgebungen sind die lokalen Administrator Passwörter immer gleich, dies öffnet Malware mitunter aber Tür und Tor und macht das Lateral Movement erst möglich oder vereinfacht es zumindest. Unterschiedliche Passwörter für den … Weiterlesen …
Die grundlegende Funktionsweise der Admin Tiers hatte ich bereits in Teil 1 dieser Artikelserie beschrieben, in diesem Artikel geht es nun um die Einrichtung von Admin Tiers in einer bestehenden Umgebung. Grundsätzlich ist es sinnvoll, wenn bereits mindestens ein Admin Host installiert wurde. Im Großen und Ganzen geht es in diesem Artikel erst einmal darum … Weiterlesen …
In Teil 1 dieser Artikelserie wurden bereits Maßnahmen vorgestellt um die Sicherheit des Active Directory zu verbessern. Die nächsten Artikel widmen sich nun der Umsetzung der genannten Maßnahmen innerhalb eines bestehenden Active Directory anhand einer Beispielumgebung. In diesem Artikel geht es zunächst um den Admin Host. Einleitung Als Beispiel kann hier das fiktive Unternehmen “FrankysWebLab” … Weiterlesen …
Um die Sicherheit innerhalb des Active Directory zu erhöhen reichen meist schon kleine organisatorische Maßnahmen in Verbindung mit kostenlosen Tools. Viele weit verbreitete Angriffswege können mit ein paar kleinen Änderungen und recht einfachen Maßnahmen zumindest schon deutlich eingedämmt werden. Im folgenden Artikel taucht oft das Wort “Angreifer” auf, mit “Angreifer” ist allerdings nicht unbedingt eine … Weiterlesen …
Gerade in größeren und vor allem älteren Active Directory Umgebungen, häufen sich mit der Zeit eine Vielzahl von Berechtigungen und Delegierungen an. Oft finden sich darunter auch Berechtigungen mit verwaisten SIDs, beispielsweise wenn der Benutzer bereits gelöscht wurde, die ACL aber noch besteht. Diese verwaisten SIDs kennen viele von Fileservern und deren Berechtigungsstruktur. Um die … Weiterlesen …