Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze sectie is gericht op technische besturingselementen die moeten worden geïmplementeerd om de kwetsbaarheid voor aanvallen van de Active Directory-installatie te verminderen. De sectie bevat de volgende informatie:
Het implementeren van Least-Privilege beheermodellen is gericht op het identificeren van het risico dat het gebruik van accounts met hoge bevoegdheden voor dagelijkse administratie presenteert, naast het bieden van aanbevelingen om te implementeren om het risico te verminderen dat bevoegde accounts aanwezig zijn.
Het implementeren van beveiligde beheerhosts beschrijft principes voor de implementatie van toegewezen, beveiligde beheersystemen, naast een aantal voorbeeldmethoden voor een veilige implementatie van een beheerhost.
Het beveiligen van domeincontrollers tegen aanvallen bespreekt beleidsregels en instellingen die, hoewel vergelijkbaar met de aanbevelingen voor de implementatie van beveiligde beheerhosts, enkele domeincontrollerspecifieke aanbevelingen bevatten om ervoor te zorgen dat de domeincontrollers en de systemen die worden gebruikt om ze te beheren, goed beveiligd zijn.
Bevoegde accounts en groepen in Active Directory
Deze sectie bevat achtergrondinformatie over bevoegde accounts en groepen in Active Directory, bedoeld om de gemeenschappelijke kenmerken en verschillen tussen bevoegde accounts en groepen in Active Directory uit te leggen. Als u deze verschillen begrijpt, hebt u, ongeacht of u de aanbevelingen implementeert in Het implementeren van Least-Privilege Beheermodellen , of u ervoor kiest om deze voor uw organisatie aan te passen, de hulpprogramma's die u nodig hebt om elke groep en elk account op de juiste manier te beveiligen.
Ingebouwde geprivilegieerde accounts en groepen
Active Directory faciliteert delegering van beheer en ondersteunt het principe van minimale bevoegdheden bij het toewijzen van rechten en machtigingen. 'Reguliere' gebruikers die accounts in een domein hebben, kunnen standaard veel van wat is opgeslagen in de directory lezen, maar kunnen slechts een zeer beperkte set gegevens in de directory wijzigen. Gebruikers die extra bevoegdheden nodig hebben, kunnen lid worden van verschillende groepen met bevoegdheden die zijn ingebouwd in de directory, zodat ze specifieke taken met betrekking tot hun rollen kunnen uitvoeren, maar geen taken kunnen uitvoeren die niet relevant zijn voor hun taken. Organisaties kunnen ook groepen maken die zijn afgestemd op specifieke taakverantwoordelijkheden en die gedetailleerde rechten en machtigingen krijgen waarmee IT-medewerkers dagelijkse beheerfuncties kunnen uitvoeren zonder rechten en machtigingen te verlenen die hoger zijn dan wat vereist is voor deze functies.
Binnen Active Directory zijn drie ingebouwde groepen de hoogste bevoegdheidsgroepen in de directory: Ondernemingsadministratoren, domeinadministratoren en beheerders. De standaardconfiguratie en -mogelijkheden van elk van deze groepen worden beschreven in de volgende secties:
Groepen met hoogste bevoegdheden in Active Directory
Enterprise-beheerders
Ondernemingsadministrators (EA) is een groep die alleen in het hoofddomein van het forest bestaat en standaard lid is van de groep Administrators in alle domeinen in het forest. Het ingebouwde administratoraccount in het foresthoofddomein is het enige standaardlid van de EA-groep. EA's krijgen rechten en machtigingen waarmee ze forestbrede wijzigingen kunnen implementeren (dat wil gezegd wijzigingen die van invloed zijn op alle domeinen in het forest), zoals het toevoegen of verwijderen van domeinen, het tot stand brengen van forestvertrouwensrelaties of het verhogen van functionele forestniveaus. In een goed ontworpen en geïmplementeerd overdrachtsmodel is EA-lidmaatschap alleen vereist bij het maken van het bos of bij het aanbrengen van bepaalde bosbrede wijzigingen, zoals het tot stand brengen van een uitgaande bosvertrouwensrelatie. De meeste rechten en machtigingen die aan de EA-groep worden verleend, kunnen worden gedelegeerd aan gebruikers en groepen met minder bevoegdheden.
Domeinadministratoren
Elk domein in een forest heeft een eigen DA-groep (Domain Admins), die lid is van de groep Administrators van dat domein en een lid van de lokale groep Administrators op elke computer die lid is van het domein. Het enige standaardlid van de DA-groep voor een domein is het ingebouwde Administrator-account voor dat domein. DA's zijn 'alom machtig' binnen hun domeinen, terwijl EA's over overkoepelende bevoegdheden binnen het forest beschikken. In een correct ontworpen en geïmplementeerd overdrachtsmodel moet het lidmaatschap van domeinadministratoren alleen vereist zijn in scenario's met 'break glass' (zoals situaties waarin een account met hoge bevoegdheden op elke computer in het domein nodig is). Hoewel systeemeigen Active Directory-delegeringsmechanismen toestaan voor zover het mogelijk is DA-accounts alleen in noodscenario's te gebruiken, kan het maken van een effectief delegatiemodel tijdrovend zijn en veel organisaties maken gebruik van hulpprogramma's van derden om het proces te versnellen.
Administrators
De derde groep is de ingebouwde domein-beheerdersgroep (BA) waarin de DA's en EA's zijn genest. Deze groep krijgt veel van de directe rechten en machtigingen in de directory en op domeincontrollers. De groep Administrators voor een domein heeft echter geen bevoegdheden op lidservers of op werkstations. Het is via lidmaatschap van de lokale groep Administrators van de computers die lokale bevoegdheid wordt verleend.
Note
Hoewel dit de standaardconfiguraties van deze bevoegde groepen zijn, kan een lid van een van de drie groepen de directory bewerken om lid te worden van een van de andere groepen. In sommige gevallen is het triviaal om lid te worden van de andere groepen, terwijl in andere groepen het moeilijker is, maar vanuit het perspectief van potentiële bevoegdheden moeten alle drie de groepen als effectief gelijkwaardig worden beschouwd.
Schemabeheerders
Een vierde bevoegde groep, SchemaAdministrators (SA), bestaat alleen in het hoofddomein van het forest en heeft alleen het ingebouwde administratoraccount van dat domein als standaardlid, vergelijkbaar met de groep Ondernemingsadministrators. De groep Schemaadministrators is bedoeld om alleen tijdelijk en af en toe te worden ingevuld (wanneer het AD DS-schema is gewijzigd).
Hoewel de SA-groep de enige groep is die het Active Directory-schema kan wijzigen (dat wil gezegd, zijn de onderliggende gegevensstructuren van de directory, zoals objecten en kenmerken), is het bereik van de rechten en machtigingen van de SA-groep beperkter dan de eerder beschreven groepen. Het is ook gebruikelijk om te vinden dat organisaties geschikte procedures hebben ontwikkeld voor het beheer van het lidmaatschap van de SA-groep, omdat lidmaatschap van de groep doorgaans zelden nodig is en slechts gedurende korte tijd. Dit geldt technisch gezien ook voor de EA-, DA- en BA-groepen in Active Directory, maar het is veel minder gebruikelijk om te vinden dat organisaties vergelijkbare procedures voor deze groepen hebben geïmplementeerd als voor de SA-groep.
Beveiligde accounts en groepen in Active Directory
In Active Directory worden een standaardset met bevoegde accounts en groepen met de naam 'beveiligde' accounts en groepen anders beveiligd dan andere objecten in de map. Elk account met direct of transitief lidmaatschap in een beveiligde groep (ongeacht of het lidmaatschap is afgeleid van beveiligings- of distributiegroepen) neemt deze beperkte beveiliging over.
Als een gebruiker bijvoorbeeld lid is van een distributiegroep die op zijn beurt lid is van een beveiligde groep in Active Directory, wordt dat gebruikersobject gemarkeerd als een beveiligd account. Wanneer een account wordt gemarkeerd als een beveiligd account, wordt de waarde van het kenmerk adminCount voor het object ingesteld op 1.
Note
Hoewel transitief lidmaatschap in een beveiligde groep geneste distributie en geneste beveiligingsgroepen omvat, ontvangen accounts die lid zijn van geneste distributiegroepen de SID van de beveiligde groep niet in hun toegangstokens. Distributiegroepen kunnen echter worden geconverteerd naar beveiligingsgroepen in Active Directory. Daarom worden distributiegroepen opgenomen in de inventarisatie van beveiligde groepsleden. Als een beveiligde geneste distributiegroep ooit wordt geconverteerd naar een beveiligingsgroep, ontvangen de accounts die lid zijn van de voormalige distributiegroep vervolgens de SID van de bovenliggende beveiligde groep in hun toegangstokens bij de volgende aanmelding.
De volgende tabel bevat de standaard beveiligde accounts en groepen in Active Directory op besturingssysteemversie en servicepackniveau.
Standaard beveiligde accounts en groepen in Active Directory op besturingssysteem en sp-versie (Service Pack)
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 -Windows Server 2012 |
|---|---|---|---|
| Administrators | Accountoperators | Accountoperators | Accountoperators |
| Administrator | Administrator | Administrator | |
| Administrators | Administrators | Administrators | |
| Domeinadministratoren | Backupoperators | Backupoperators | Backupoperators |
| Certificaatuitgevers | |||
| Domeinadministratoren | Domeinadministratoren | Domeinadministratoren | |
| Enterprise-beheerders | Domeincontrollers | Domeincontrollers | Domeincontrollers |
| Enterprise-beheerders | Enterprise-beheerders | Enterprise-beheerders | |
| Krbtgt | Krbtgt | Krbtgt | |
| Afdrukoperators | Afdrukoperators | Afdrukoperators | |
| Domeincontrollers met alleen-lezen toegang | |||
| Replicator | Replicator | Replicator | |
| Schemabeheerders | Schemabeheerders | Schemabeheerders |
AdminSDHolder en SDProp
In de systeemcontainer van elk Active Directory-domein wordt automatisch een object met de naam AdminSDHolder gemaakt. Het doel van het object AdminSDHolder is ervoor te zorgen dat de machtigingen voor beveiligde accounts en groepen consistent worden afgedwongen, ongeacht waar de beveiligde groepen en accounts zich in het domein bevinden.
Elke 60 minuten (standaard) wordt een proces dat bekend staat als Security Descriptor Propagator (SDProp) uitgevoerd op de domeincontroller die de PDC Emulator-rol van het domein bevat. SDProp vergelijkt de machtigingen voor het object AdminSDHolder van het domein met de machtigingen voor de beveiligde accounts en groepen in het domein. Als de machtigingen voor een van de beveiligde accounts en groepen niet overeenkomen met de machtigingen voor het object AdminSDHolder, worden de machtigingen voor de beveiligde accounts en groepen opnieuw ingesteld op die van het object AdminSDHolder van het domein.
Overname van machtigingen is uitgeschakeld voor beveiligde groepen en accounts, wat betekent dat zelfs als de accounts of groepen worden verplaatst naar verschillende locaties in de map, ze geen machtigingen overnemen van hun nieuwe bovenliggende objecten. Overname is ook uitgeschakeld voor het object AdminSDHolder, zodat machtigingen voor de bovenliggende objecten de machtigingen van AdminSDHolder niet wijzigen.
Note
Wanneer een account wordt verwijderd uit een beveiligde groep, wordt het niet langer beschouwd als een beveiligd account, maar blijft het kenmerk adminCount ingesteld op 1 als het niet handmatig wordt gewijzigd. Het resultaat van deze configuratie is dat de ACL's van het object niet meer worden bijgewerkt door SDProp, maar het object neemt nog steeds geen machtigingen over van het bovenliggende object. Daarom kan het object zich in een organisatie-eenheid (OE) bevinden waarvoor machtigingen zijn gedelegeerd, maar het voorheen beveiligde object neemt deze gedelegeerde machtigingen niet over. Een script voor het zoeken en opnieuw instellen van voorheen beveiligde objecten in het domein vindt u in het Microsoft Ondersteunings-artikel 817433.
Eigendom van adminSDHolder
De meeste objecten in Active Directory zijn eigendom van de BA-groep van het domein. Het object AdminSDHolder is echter standaard eigendom van de DA-groep van het domein. (Dit is een situatie waarin DA's hun rechten en machtigingen niet afleiden via lidmaatschap van de groep Administrators voor het domein.)
In versies van Windows ouder dan Windows Server 2008 kunnen eigenaren van een object machtigingen van het object wijzigen, inclusief het verlenen van machtigingen die ze oorspronkelijk niet hebben. De standaardmachtigingen voor het object AdminSDHolder van een domein verhinderen daarom dat gebruikers die lid zijn van BA- of EA-groepen de machtigingen voor het object AdminSDHolder van een domein wijzigen. Leden van de groep Administrators voor het domein kunnen echter eigenaar worden van het object en zichzelf aanvullende machtigingen verlenen, wat betekent dat deze beveiliging elementair is en alleen het object beschermt tegen onbedoelde wijziging door gebruikers die geen lid zijn van de DA-groep in het domein. Daarnaast zijn de BA- en EA-groepen (indien van toepassing) gemachtigd om de kenmerken van het object AdminSDHolder in het lokale domein (hoofddomein voor EA) te wijzigen.
Note
Een kenmerk van het object AdminSDHolder, dSHeuristics, staat beperkte aanpassing (verwijdering) toe van groepen die worden beschouwd als beveiligde groepen en worden beïnvloed door AdminSDHolder en SDProp. Deze aanpassing moet zorgvuldig worden overwogen als deze wordt geïmplementeerd, hoewel er geldige omstandigheden zijn waarin wijziging van dSHeuristics op AdminSDHolder nuttig is. Meer informatie over het wijzigen van het kenmerk dSHeuristics op een object AdminSDHolder vindt u in de Microsoft-ondersteuningsartikelen 817433 en in bijlage C: Beveiligde accounts en groepen in Active Directory.
Hoewel de meest bevoegde groepen in Active Directory hier worden beschreven, zijn er een aantal andere groepen waaraan verhoogde bevoegdheidsniveaus zijn verleend. Zie bijlage B: Bevoegde accounts en groepen in Active Directory voor meer informatie over alle standaard- en ingebouwde groepen in Active Directory en de gebruikersrechten die aan elke groep zijn toegewezen.