Als Active Directory Domain Services (AD DS) werden die Kernfunktionen von Active Directory bezeichnet, mit denen die Benutzer und Computer verwaltet werden und Sysadmins die Daten in logischen Hierarchien organisieren können.
AD DS stecken hinter Sicherheitszertifikaten, Single Sign-On (SSO), LDAP und der Berechtigungsverwaltung.
Die AD DS zu verstehen gehört zu den wichtigsten Aufgaben von Personen, die für Incident Responses und Cybersicherheit zuständig sind, da alle Cyber-Angriffe sich auf das AD auswirken. Sie müssen wissen, wonach Sie suchen sollen und wie Sie auf Angriffe reagieren müssen, wenn diese auftreten.
Sehen Sie sich unser Webinar zur Active Directory-Sicherheit an
"Beantworten Sie dann einfach und schnell Fragen wie: 'Wo sind meine Daten' oder 'Sind meine Daten geschützt?"
Vorteile der Active Directory Domain Services
Die AD DS für die grundlegende Verwaltung von Benutzern und Computern im Netzwerk zu verwenden, bietet mehrere Vorteile.
- Sie können die Organisation Ihrer Daten an die Bedürfnisse Ihres Unternehmens anpassen.
- Sie können im Bedarfsfall die AD DS von jedem Computer im Netzwerk aus verwalten.
- Die AD DS bietet eingebaute Replikation und Redundanz: Wenn ein Domänen-Controller (DC) ausfällt, übernimmt ein anderer DC dessen Aufgaben.
- Der gesamte Zugriff auf Netzwerkressourcen erfolgt über die AD DS, in denen die Netzwerkzugriffsberechtigungen zentral verwaltet werden.
Wichtige Begriffe im Zusammenhang mit Active Directory Domain Services
Um AD DS verstehen zu können, sollten einige Schlüsselbegriffe definiert sein.
- Schema: Der Satz benutzerdefinierter Regeln für Objekte und Attribute in den AD DS.
- Globaler Katalog: Der Container aller Objekte in den AD DS. Wenn Sie den Namen eines Benutzers finden müssen, finden Sie ihn im Globalen Katalog.
- Such- und Indexmechanismus: Dieses System ermöglicht es den Benutzern, sich in gegenseitig im AD zu finden. Ein gutes Beispiel ist, wenn Ihnen während des Eingebens eines Namens in Ihrem E-Mail-Programm vom E-Mail-Programm mögliche Übereinstimmungen angezeigt werden.
- Replikationsdienst: Der Replikationsdienst stellt sicher, dass jeder DC im Netzwerk über denselben Globalen Katalog und dasselbe Schema verfügt.
- Sites: Sites sind Darstellungen der Netzwerktopologie, die den AD DS zeigen, welche Objekte zusammengehören, um die Replikation und Indexierung zu optimieren.
- Lightweight Directory Access Protocol: LDAP ist ein Protokoll, über die das AD mit anderen LDAP-fähigen Verzeichnisdiensten plattformübergreifend kommunizieren kann.
Welche Dienste sind in den Active Directory Domain Services enthalten?
Dies sind die von den AD DS als Kernfunktionalität bereitgestellten Dienste, die ein zentrales Benutzerverwaltungssystem benötigt.
- Domänendienste: Speichern Daten und verwalten die Kommunikation zwischen den Benutzern und dem Domänen-Controller (DC) . Dies ist die primäre Funktionalität der AD DS.
- Zertifizierungsdienste: Ermöglichen Ihrem DC die Bereitstellung digitaler Zertifikate, Signaturen und Public-Key-Kryptographie.
- Lightweight Directory Services: Unterstützen das LDAP für plattformübergreifende Domänendienste, wie alle Linux-Computer in Ihrem Netzwerk.
- Directory Federation Services: Ermöglichen die SSO-Authentifizierung für mehrere Anwendungen in derselben Sitzung, so dass Benutzer nicht mehrfach dieselben Anmeldeinformationen angeben müssen.
- Berechtigungsverwaltung: Steuert Zugriffsberechtigungen und Datenzugriffsrichtlinien. So bestimmt beispielsweise die Berechtigungsverwaltung, ob Sie auf einen Ordner zugreifen oder eine E-Mail senden dürfen.
Rolle der Domänen-Controller in den Active Directory Domain Services
Domänen-Controller (DC) sind die Server in Ihrem Netzwerk, auf denen die AD DS gehostet werden. DC verarbeiten Authentifizierungsanfragen und speichern AD DS-Daten. DC hosten außerdem andere Dienste, die die AD DS ergänzen. Das sind:
- Kerberos Key Distribution Center (KDC): Das KDC verifiziert und verschlüsselt Kerberos-Tickets für die Authentifizierung in AD DS.
- NetLogon: Netlogon ist der Authentifizierungs-Kommunikationsdienst.
- Windows Zeit (W32time): Für Kerberos müssen alle Computerzeiten synchronisiert sein.
- Intersite-Messaging (IsmServ): Mit Intersite-Messaging können DC für die Zwecke von Replikation und Standortverwaltung miteinander kommunizieren.
Das AD benötigt mindestens einen Domänen-Controller. DCs sind die Container für die Domänen. Jede Domäne ist Teil eines AD-Forest, der eine oder mehrere in Organisationseinheiten gegliederte Domänen enthalten kann. Die AD DS verwalten die Trust-Beziehungen zwischen mehreren Domänen, so dass Benutzern in einer Domäne Zugriffsberechtigungen für andere Domänen in Ihrem Forest gewährt werden können.
Als zentrales Konzept gilt, dass die AD DS den Rahmen für die Domänenverwaltung bilden und der Computer, mit dem Benutzer auf das AD zugreifen, der DC ist.
Moderne Cybersicherheit setzt ein tiefes Verständnis des Active Directory voraus. Das Active Directory spielt eine Schlüsselrolle für die Fähigkeiten von Angreifern, ein Netzwerk zu infiltrieren, sich darin lateral zu bewegen und Daten zu exfiltrieren. Und wie gut getarnt oder clever sie auch sein mögen, Angreifer hinterlassen in den AD-Protokollen immerSpuren während sie sich durch Ihr Netzwerk bewegen.
Varonis überwacht das AD auf Anzeichen dieser Brotkrümel sowie die Dateiaktivität, DNS-Aufrufe, VPN-Aktivitäten und weitere Aspekte. Varonis korreliert die Daten für jeden Benutzer und Computer im AD zu einem vollständigen Bild, vergleicht die aktuelle Aktivität mit einem normalisierten Basisszenario und einem Katalog von Datensicherheits-Bedrohungsmodellen und identifiziert potenzielle Gefahren für Ihre Daten, proaktiv.
Möchten Sie mehr über AD-Sicherheit erfahren? Schauen Sie sich unser On-Demand-Webinar „4 Tipps zur Sicherung des Active Directory“ an.