Was genau ist ein Domain Controller?

Domain Controller (DCs) sind wesentlich um die Netzwerksicherheit zu schützen, Userdaten zu zentralisieren und Standard System Sicherheit Protokolle auszurollen. In diesem Artikel sprechen wir über die wichtigsten Funktionen von DCs, warum sie so wesentlich sind und wann MSPs sie brauchen.

 

Was ist ein Domain Controller?

 

Ein Domain Controller ist ein Server, der Active Directory Domain Services (AD DS) ausführt. Der DC ist verantwortlich für die Authentifizierungsrequests innerhalb einer speziellen Domain. Organisationen haben meist einige DCs, von denen jeder eine Kopie des Active Directory (AD) hat.

What is Domain Controller InfoGraphic

 

Alle Login Daten im Netzwerk werden im Active Directory des DC gesammelt und gespeichert. Daher ist der DV kritisch in der Sicherstellung der Netzwerk- und User-ID Sicherheit.

 

Die häufigsten Beispiele für Active Directories (von denen DC ein Teil ist) sind Microsoft Active Directories (On Premises), Microsoft AzureAD (cloud basiert) für Windows, beziehungsweise Samba für Linux.

 

Was machen Domain Controller?

 

Stellen Sie sich Domänencontroller als Türhüter vor, der sicherstellt, dass User Authentifizierung, Rechte, Zugriffe und der Schutz von Protokollen in Ihrer Domain sichergestellt sind. Das macht er indem er ein Active Directory verwendet.

 

Authentifizierung und Validierung

 

Der DC ist verantwortlich für die Authentifizierung der User wenn sie sich in Ihr Netzwerk einloggen möchten. Meist wird die Identität validiert durch Cross-References der Account Informationen, wie Username und Passwort die mit den Informationen im Active Directory hinterlegt wurden. Basierend auf dieser Prüfung wird der Zugang zum Netzwerk entweder gestattet oder nicht.

 

Regulierung von Rechten und Zugriff

 

Der DC erleichtert die hierarchische Organisation der User, basierend auf unterschiedlichen Rechte-Levels. Der DC überwacht die Rechte der User in Ihrer Domain. Mit dem Active Directory stellt er zuerst sicher, dass der User die Erlaubnis hat auf Ihre Domain zuzugreifen und identifiziert anschließend die Rechte des Users, also was er sehen und worauf er in Ihrem Netzwerk zugreifen darf (oder nicht).

 

Implementieren von Gruppen Policies

 

Mit dem DC können Sie auch Netzwerkweite Regeln und Sicherheitsprotokolle implementieren. Zum Beispiel:

 

  • Legen Sie Anforderungen an eindeutige oder komplexe Passwörter fest
  • Legen Sie die Mindestlänge oder andere Anforderungen an Passwörter fest
  • Legen Sie Anforderungen fest, wie häufig Passwörter geändert werden müssen
  • Konfigurieren Sie Ihr Netzwerk, damit Ihre User Einstellungen den Konfigurationen entsprechen
  • Geben Sie speziellen Usern Zugriff zu speziellen Services Ihres Netzwerks
  • Konfigurieren Sie alle Computer in Ihrer Domain um Ihre Bildschirme nach einiger Zeit der Inaktivität zu sperren

 

Außerdem implementieren manche MSPs AD Gruppen. Das erleichtert die administrative Arbeit, da Zugriffsrechte nicht individuell zugewiesen werden müssen. Stattdessen, wenn ein User  einer speziellen AD Gruppe hinzugefügt wird, erhält er automatisch Zugriff auf all relevanten Ressourcen.

 

Warum sind Domain Controller wichtig?

 

MSPs sollten die Wichtigkeit von DCs nicht unterschätzen. Als Türhüter zu den Netzwerken Ihrer Kunden steuern DCs, wer Zugriff bekommt und auf welche Ressourcen.

 

Was ist ein AD?

Active Directories (ADs) sind Datenbanken mit der Information über die User und Geräte in Ihrem Netzwerk. Sie können sich das als Logbuch vorstellen, das alle wichtigen Netzwerkinformationen wie Userkonten, Gruppen, Kontaktdaten und Computerdaten erhält.

 

Der DC ist der Server der das AD ausführt. Das AD erleichtert die DC Operationen damit die Authentifizierung, Validierung und die Zugriffskontrolle im Netzwerk möglichst reibungslos funktioniert.

 

Ein AD hat drei Sektionen: Domänen, Trees und Forests.

 

Eine Domain meint eine Gruppe von Usern, Computern und anderen verbundenen Geräten. Eine Domain ist eine Sektion eines Netzwerks, wo alle Objekte gemeinsam verwaltet werden können.

 

Ein Tree beschreibt die Kombination mehrerer Domains.

 

Ein Forest  ist eine Ansammlung von Trees (oder Gruppen von Domänen). Er beschreibt auch eine gesicherte Area im Netzwerk, da Inter-Forest Objekte nicht miteinander kommunizieren können, außer „Trust“ wurde hergestellt.

 

Wann brauchen MSPs einen Domain Controller?

Als MSPs ist eine Ihrer wichtigsten Aufgaben die Überwachung und das Hosting der Netzwerke Ihrer Kunden. Hier sehen Sie wann und warum MSPs DCs brauchen :

Sie…

  • Erleichtern den administrativen Aufwand
  • Zentralisieren die Kontrolle über User Einstellungen und Rechte
  • Maximieren die Sicherheit des Netzwerks und der Daten Ihrer Kunden
  • Bieten eine zentralisierte Datenbank von Userdaten
  • Erhöhen die Möglichkeiten zur Zusammenarbeit in der Domain

Warum können DCs ein Risiko darstellen?

 

Da DCs kritische Türhüter zu Ihrer Domain sind, sind sie auch das erste Opfer vieler Cyber Angriffe. Ihre wichtige Rolle der Authentifizierung und Zugriffsgewährung machen sie zu sehr lohnenswerten Zielen.

 

Mit einem erfolgreichen Übernehmen Ihres DCs, kann Ihrer AD DS Datenbank großer Schaden zugefügt werden, Sicherheitslücken entstehen und Userdaten geklaut werden. Sollte Ihr AD Forest  erfolgreich angegriffen werden, sind Sie nicht in der Lage ihn zu verwenden, außer Sie haben gute und sichere Backups.

 

Daher sollten MSPs sicherstellen, dass sie gute Cybersicherheitsmaßnahmen implementiert haben um die DCs zu schützen.

 

Ein weiterer wesentlicher Punkt ist, wie abhängig Ihr Netzwerk von DC-Uptime ist. Daher ist es wichtig dass Ihre DCs nur für Domain Services verwendet werden, weil die Ausführung anderer Services dazu führen kann, dass die Services langsamer laufen oder das System zusammenbricht.

 

Wie sollten MSPs die Sicherheit der DCs sicherstellen?

 

Durch den höhen Wert und das hohe Risiko von DCs und damit den Ads ist es wesentlich, dass Sie alles tun um sie zu schützen. Hier einige mögliche Strategien:

 

  • Schränken Sie den physischen und remote Zugriff auf DCs ein
  • Hosten Sie virtuelle DCs auf dezidierten physischen Hosts
  • Überwachen Sie Ihren DC stets
  • Implementieren Sie gute Sicherheitsprotokolle, mit Prozessen wir Multifaktor Authentifizierung und unique oder komplexe Passwörter
  • Minimieren Sie die Verwundbarkeit von DCs und AD indem nur wenige User Admin Rechte bekommen
  • DCs sollten immer leere Speicher haben und keine anderen Services darauf
  • Blockieren Sie Internet Access zu Ihren DCs
  • Alle DCs sollten nur auf dem neuesten Betriebssystem laufen

 

Klingt schwierig? Muss es aber nicht sein! Mit Ateras Network Discovery ist es ganz einfach die Netzwerke Ihrer Kunden zu überwachen indem Sie die Workgroups und DC Netzwerke scannen. Probieren Sie es doch mit der kostenlosen Probeversion aus!

 

Was ist ein primärer Domain Controller?

 

Da der DC so wesentlich ist, ist es klug zwei zu haben. Das ist ein Backup Mechanismus, falls einer der DCs in die Knie geht.

 

In dem Kontext könnten Sie Primary Domain Controller (PDC) und Backup Domain Controller (BDC) zu hören bekommen. Seit 2008 ist das hierarchische Verhältnis von PDCs und BDCs obsolet geworden. Stattdessen sind alle DCs inzwischen gleichberechtigt wo das AD auf allen gleichzeitig synchronisiert wird.

 

Letzte Gedanken

 

MSPs kennen den Wert und die Verletzlichkeit von DCs. Obwohl  DCs das Leben einfacher machen und Ihnen ein ruhiges Gewissen verschaffen wenn Sie an ein sicheres Netzwerk denken, sind sie dennoch der beliebteste Teil des Netzwerks der angegriffen wird. Wie immer ist es besser, safe statt sorry zu sein!

 

Stellen Sie sicher, dass Sie robuste Sicherheitsmaßnahmen für Ihre DCs implementieren, damit Sie alle Benefits von DCs genießen können, ohne jegliches Risiko!