[English]Active Directory ist eine kritische Infrastruktur und sollte als solche behandelt werden. Aber wie sichert man als Administrator seine Domain Controller gegen Angriffe? Microsoft hat bereits im August einen Support-Beitrag Securing Domain Controllers Against Attack veröffentlich. Dort finden sich Ratschläge, wie sich Domänen-Controller (DCs) gegen Angreifer absichern lassen. Einer der Punkte lautet Blocking Internet Access for Domain Controllers.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Dolphin-Emulator 2606: Game Boy Player endlich vollständig unterstützt News 27. Juni 2026
- ServiceNow: KI-Wissensvorlagen und Now Assist ab Ende Juni News 27. Juni 2026
- Kundenservice-KI: Salesforce und Zoom starten Pay-per-Lösung News 27. Juni 2026
- MacBook Pro: Apple erhöht Preise um bis zu 2.800 Euro News 27. Juni 2026
- FRITZ!Box 7590: 2,4-GHz-Band fällt wegen Hitze komplett aus News 27. Juni 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- R.S. zu Kompendium-Artikel mit Infos und Tricks?
- Bernd Bachmann zu Windows 11: Point-in-time Restore allgemein verfügbar
- Steter Tropfen zu Windows 11: Point-in-time Restore allgemein verfügbar
- Luzifer zu Micron kann sich hohe RAM-Preise für 5 Jahre sichern
- prx zu Data Loss Prevention: Shadow AI als großes Risiko
- Günter Born zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
- Günter Born zu Diskussion
- Micha zu Windows 11: Point-in-time Restore allgemein verfügbar
- Exchadmin zu Windows 11: Point-in-time Restore allgemein verfügbar
- Hans van Aken zu Diskussion
- R.S. zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
- aus dem Rhein-Main Gebiet zu Data Loss Prevention: Shadow AI als großes Risiko
- R.S. zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
- R.S. zu Windows 11: Point-in-time Restore allgemein verfügbar
- Hobbyadmin zu Windows 10: Microsoft verlängert kostenloses ESU bis Oktober 2027
Der letzte genannte Punkt ist trivial. Alle Server sollten nach Möglichkeit komplett vom Internet getrennt sein, oder wenigstens so eingeschränkt, dass sie nur mit den Diensten Kontakt aufnehmen können, die gebraucht werden.
Intressant: Falls mindestens ein DC virtualisiert ist, empfiehlt MS dafür einen eigenen Host! Kein Wort vom Nutzen von Shielded VMs, dabei ist deren Aufgabe laut MS doch gerade "to protect virtual machines from a compromised host"
Siehe https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms
Kein Vertrauen in eigene Features? Stattdessen wird geraten, auf dem Host Bitlocker zu aktivieren, was sich jeder mit einem physikalisch gesicherten Serverraum eher sparen sollte.
Interessant, denn genau das steht aber in dem lila "Note" Feld ganz fett mit Hinweis auf Shielded VMs
Interessant ;-)
Das kommt davon, wenn man rückwärts liest.
:)
ODER
Man installiert die aktuellsten November Patches von Microsoft auf einem DC, da kann man so richtig schön zuschauen wie Vertrauensstellungen, Maschinenkonten, GPO Richtlinien sich in Rauch auflösen….
Es darf gerne gelacht werden…
Wie denn, wo denn, was denn?
Meinst du den bevorstehenden Kerberos Enforcement Mode? Oder die RC4-Sache? Bei uns ist bisher alles gut.
dann hattest du aber zuvor nicht nach best practice (von MS!) deine Domäne gehärtet oder die Maßnahmen zurückgebaut, bevor du den Patch eingespielt hast?
Ein DC braucht einen DNS Server – Wenn der DNS Service nicht ins Internet kommt ist es zappen duster. Oder soll man laut Microsoft eigene Server-Lizenzen für DNS Server kaufen?
Langsam zweifelt man an Microsoft doch sehr……
Einfach eine Datacenter-Lizenz kaufen, dann muß man sich um die Lizenz nur kümmern, wenn man hardwaretechnisch etwas ändert (z.B. Anzahl der Prozessor-Cores über das lizensierte Maß erhöht).
Mit einer Datacenter-Lizenz kann man auch 100 VMs installieren, die sind alle durch die Lizenz abgedeckt.
?
Machst du auf deiner Firewall DNS zu den externen DNS Servern deines Vertrauens auf und gut ist.
Wo ist das Problem? Der Rest wird blockiert.
Wieder Microsoft bashing ohne nachgedacht zu haben…
Ja, das, oder noch besser, einen anderen DNS als Forwarder davor und gut ists.
Das läuft bei mir so – ich verwende Pi-hole als DNS Forwarder, der im Netzwerk auch die Werbung und sonstiges, unerwünschtes Zeugs filtert.
Der Guide ist praktische eine Verkaufsveranstaltung von Microsoft. Das AD wird sicherer, wenn man es in die Azure Cloud legt? WSUS ist nur für kleine Firmen? Soso.
Immerhin wird der Zugriff auf das Internet per Web Browser thematisiert. Das wäre ja eigentlich das Hauptthema für Server UND Clients: wenn Mitarbeiter schon Links auf Webseiten oder in Outlook zum Anklicken bekommen, dann muss man die Firma eben vor den Konsequenzen schützen. Nicht primär per AV, nicht per DNS Filter, nicht per Schulungen – sondern indem man den Klick durch ein extrem eingeschränkte Internet völlig ungefährlich werden lässt. Egal ob in Outlook oder eine dubiosen Webseite (die dann ja gar nicht erreichbar ist).
Ja, man benötigt einen AV trotzdem, aber warum Firmen nicht weit mehr davon Gebrauch machen, den Zugriff aufs Internet einzuschränken und damit den Großteil der Gefahren (drive by downloads, Phishing Mails) einfach zu entschärfen, das kann man mir nur erklären, weil man eben ganz viele "Lösungen" (= Lizenzen = Geld) dafür nicht mehr anbieten könnte.