| Windows Server 2008: Mehr Sicherheit mit RODC und NAP | |
| Network Access Protection (NAP) | |
| Variable Zwangsmaßnahmen |
Die wohl interessanteste Neuerung beim Active Directory ist der Read Only Domain Controller (RODC), ein neuer Typ Domänen-Controller (DC), der lediglich über eine unidirektionale Verbindung zu anderen Domänen-Controllern verfügt. Ein RODC führt eine Kopie der Verzeichnisdienst-Datenbank, kann aber keine Änderungen zu anderen DCs replizieren. Anwendungen, die schreibenden Zugriff auf das Active Directory benötigen, werden vom RODC an einen Domänen-Controller mit Schreibberechtigung verwiesen. Die meisten lesenden Zugriffe auf den Verzeichnisdienst kann der RODC selbständig bearbeiten.
RODCs sollten an Standorten eingesetzt werden, wo der physische Zugriff auf einen Server durch unautorisierte Personen nicht ohne weiteres verhindert werden kann. Solche Server sind besonders gefährdet, weil es ein Leichtes ist, die Sicherheitsmechanismen von Windows auszuhebeln, wenn man von einem externen Medium ein anderes Betriebssystem startet, um auf die Systempartition zuzugreifen. Sollte es einem Angreifer gelingen, die Verzeichnisdatenbank auf einen physisch kompromittierten Server zu manipulieren, ist beim Einsatz eines RODC ausgeschlossen, dass die Änderungen systemweit in das Verzeichnis übernommen werden.
Aber selbst wenn ein Angreifer nur lesenden Zugriff auf die Verzeichnisdatenbank erhält, stellt dies eine große Bedrohung für das Unternehmensnetz dar. Insbesondere die Passwörter der Anwender sind gefährdet, auch wenn diese verschlüsselt oder nur Hash-Werte abgelegt wurden. Deshalb kann man die Speicherung von Passwörtern auf RODCs grundsätzlich unterbinden. Der Nachteil dieses Verfahrens ist allerdings, dass die Anmeldung an einen RODC dann nur noch möglich ist, wenn zusätzlich ein vollwertiger Domänen-Controller für die Authentifizierung zur Verfügung steht.
Ein RODC verfügt noch über weitere Features, um die Sicherheit zu erhöhen. So ist es etwa möglich, ein Benutzerkonto in der Domäne einzurichten, die über Administrationsrechte auf dem RODC verfügt, jedoch keine Veränderungen in der Domäne vornehmen kann. Bei reinen Mitglied-Servern konnte ein Systemverwalter schon immer mit einer lokalen Administratorkennung arbeiten, die seine Rechte auf den jeweiligen Server beschränkte. Ein Systemverwalter, der einen Domänen-Controller betreuen soll, muss unter Windows Server 2003 in aller Regel aber Mitglied der Gruppe der Domänen-Administratoren sein. Unter Windows 2008 ist es jetzt möglich, einen Administrator an einem bestimmten Standort mit der Verwaltung eines RODC zu beauftragen, ohne diesem aber Rechte in der Domäne einräumen zu müssen.
Ein weiteres Sicherheitsrisiko unter Windows 2003 ist der DNS-Dienst, wenn er auf einem Domänen-Controller an einem unzureichend geschützten Standort installiert ist. Manipulationen am Domain Name Service können zu schwerwiegenden Funktionsstörungen im gesamten Netz führen. Aus diesem Grund unterstützt ein DNS-Server, der auf einem RODC läuft, keine dynamischen Updates. Das heißt, Windows-Clients, die sich selbständig am DNS registrieren wollen, müssen den Umweg über einen vollwertigen DNS-Server gehen. Der DNS-Dienst auf einem RODC sorgt dafür, dass die Clients an einen entsprechenden DNS-Server weitergeleitet werden.
Ein kompromittierter RODC kann die Änderungen nicht systemweit im Verzeichnis verbreiten.
Es lassen sich eigene Domänen-Kennungen einrichten, die über Administrationsrechte auf dem RODC verfügen, jedoch keine Veränderungen in der Domäne vornehmen können.
Die Speicherung von Passwörtern auf RODCs kann grundsätzlich unterbunden werden
RODCs unterscheiden sich in ihrer Funktionsweise zum Teil erheblich von vollwertigen Domänen-Controllern. Die Einführung eines neuen Typs von Domänen-Controllern erhöht die Komplexität des Active Directory und damit auch seine Fehleranfälligkeit.
Im Fall von Fehlfunktionen steigt unter Umständen der Aufwand für die Fehlersuche, da RODC-spezifische Eigenheiten zu berücksichtigen sind.
RODCs bieten nicht dieselbe Fehlertoleranz wie vollwertige Domänen-Controller, da sie in großem Maße von diesen abhängig sind. Verzichtet man beispielsweise auf das Password-Caching auf dem RODC, können sich Anwender an einem dezentralen Standort nicht mehr anmelden, falls die Netzverbindung zur Firmenzentrale unterbrochen ist.
RODCs können nur betrieben werden, wenn mindestens ein vollwertiger DC unter Windows Server 2008 in der Domäne zur Verfügung steht. Gerade in der Anfangsphase erhöht dies die Fehleranfälligkeit, wenn noch nicht alle Domänen-Controller auf Windows 2008 migriert wurden.
RODCs verursachen für die Administratoren einen zusätzlichen Lernaufwand. Das sollte insbesondere in kleinen und mittelgroßen Unternehmen, wo in der Regel keine Active-Directory-Spezialisten zur Verfügung stehen, nicht unterschätzt werden.
Anwendungskompatibilität: Vor dem Einsatz eines RODC ist in jedem Fall zu prüfen, ob Anwendungen von Drittanbietern, die auf das Active Directory angewiesen sind, mit diesem neuen Domänen-Controller-Typ überhaupt zurechtkommen.
