Domäne Sichern

Domain speichern

Um Ihre. com-Domain zu einem vernünftigen Preis zu sichern, zeigt Ihnen unser kostenloser Domain-Check, ob Ihre Wunschdomain noch verfügbar ist. Schutz von Domain Controllern vor Zugriffen Domain Controller Stellen Sie die physische Speicherung für die AD DS-Datenbank bereit, und stellen Sie außerdem die Services und Informationen bereit, die Organisationen benötigen, um ihre Bediener, Arbeitsplätze, Benutzer bei der effektiven Verwaltung ihrer Systeme und Applikationen zu unterstützen. Die Verantwortlichen für die Domänen stellen die physische Speicherung der AD DS-Basis bereit, sowie die Dienstleistungen und die Dienstleistungen und Daten, die für jedes Unternehmertum die effektive Verwaltung seiner Mitarbeiter, Stellen, Benutzer und Anträge ermöglichen.

Wird ein böswilliger Nutzer privilegierter Zugang zu einem Domain-Controller erhalten, kann der Nutzer die AD DS-Datenbank modifizieren, beschädigen oder vernichten und alle Computer und Accounts, die von AD Directory gesteuert werden, erweitern. Wenn ein Nutzer mit Malware -Rechten darauf bedacht ist, einen privaten Eigentümer zu erreichen, kann er die AD DS-Basis und damit alle Syteme und Kompten, die von AD Directory bereitgestellt werden, unterdrücken.

Weil Domänencontroller in die AD DS-Datenbank einlesen und in diese hineinschreiben, kann der Gesamtstruktur des Activity Directory nicht mehr vertraut werden, wenn Sie mit einem bekannt einwandfreien Backup restaurieren und die Schlupflöcher schliessen können, die die Anfälligkeit des Vorgangs auslösen. Parce des contrôleurs d'doménaires les et les dans la décolleté AD DS d'été. Der Kompromiss eines contrôleur de domäne signifie d'été kann nie wieder als Aktives Directory angesehen werden, es sei denn, Sie sind in der Lage, eine Wiederherstellung mit einem gut bekannten Backup durchzuführen und die lückenlose Lösung zu finden, die den Kompromiss in diesem Prozess ermöglicht.

Eine Domänencontrollers kann den Come-Pfad der umfassenden gemeinsamen Nutzung des Zugriffs kompromittieren oder den direkten Weg zur Vernichtung von Mitglieds-Servern, Arbeitsplätzen und Aktivem Verzeichnis bieten. Kompromiss gefährdung eines Domänencontrollers kann den schnellsten Weg zur groß angelegten Zugriffsverbreitung oder den direkten Weg zur Vernichtung der Server, Arbeitsämter und des aktiven Verzeichnisses der Mitglieder bieten.

Aus diesem Grund müssen die Verantwortlichen der Domänen separat und strenger gesichert werden als die allgemeine Windows-Infrastruktur. In diesem Abschnitt finden Sie Angaben zur physikalischen Sicherung von Domain-Controllern, aus denen hervorgeht, ob es sich bei den Domain-Controllern um physische oder physische Computer in den Rechenzentren, Zweigniederlassungen und selbst entfernten Standorten mit nur grundlegenden Infrastruktursteuerungen handelt. Dieser Abschnitt enthält vier verschiedene Angaben zur Entwicklung der Domänenkontroller, unabhängig davon, ob es sich bei den Maschinen um physische oder physische Maschinen handelt, in Rechenzentren, Niederlassungen und Standorten, die nur über eine einzige Infrastruktursteuerung verfügen.

Im Rechenzentrum sollten physikalische Domänen-Controller in speziellen gesicherten Gestellen oder in von der allgemeinen Bevölkerung getrennten Räumen aufgestellt werden. Die Kontrolleure der physischen Domänen müssen in den Zentren in speziellen Einrichtungen oder Käfigen eingerichtet werden, die von der allgemeinen Serverpopulation betreut werden. Nach Möglichkeit sollten Domain Controller mit Trusted Platform Module (TPM)-Chips ausgestattet sein, und alle Datenträger im Domain Controller Server sollten über BitLocker Drive Verschlüsselung gesichert sein.

Im Rahmen der Möglichkeiten sollten Domänencontroller mit Trusted Platform Module (TPM)-Chips konfiguriert werden und alle Volumina von Domänencontroller-Servern sollten durch BitLocker-Leserverschlüsselung abgesichert sein. Im Allgemeinen schützt das Programm die Performance in einem zweistelligen Prozentsatz, aber das Directory vor Attacken, auch wenn die Festplatte vom Datenserver abgezogen wird.

BitLock ers prozentuale Leistungszuschläge werden in der Regel prozentual auf eine Ziffer angerechnet, aber das Repertoire ist gegen Kompromisse geschützt, auch wenn Festplatten vom Dienstanbieter gelöscht werden. Mit BitLocker können Sie auch Ihr System vor Attacken, wie z.B. Rootskits, absichern, da das Ändern der Startup-Dateien dazu führt, dass der Datenserver im Recovery-Modus startet, so dass die originalen binären Dateien wiederhergestellt werden können.

Die BitLocker -Software kann auch helfen, Systeme vor Angriffen wie die Änderung von Datenblättern zu schützen, da das Ändern von Boot-Dateien den Server im Wiederherstellungsmodus startet, so dass die ursprünglichen Binärdateien geladen werden können. Bei der Konfiguration eines Domänencontrollers zur Nutzung von Software-RAID, seriell angeschlossenem SCSI, SAN/NAS-Storage oder dynamischen Datenträgern kann BitLocker nicht eingesetzt werden, so dass wenn immer möglich lokale, installierte Storage- (mit oder ohne Hardware-RAID-) Domänencontroller eingesetzt werden sollten.

Wenn ein Domänen-Controller für die Verwendung von Software-RAID, seriellem SCSI-Speicher, SAN/NAS-Speicher oder dynamischen Volumes konfiguriert ist, kann BitLocker nicht implementiert werden, weshalb nach Möglichkeit lokaler Speicher (mit oder ohne Hardware-RAID) in den Controleurs verwendet werden sollte. Beim Implementieren von Virtual Domain Controllern sollten Sie darauf achten, dass der Domain Controller auf getrennten physikalischen Rechnern läuft als andere virtuelle Maschinen in der Systemumgebung.

Wenn Sie die Steuerung virtueller Domänencontroller implementieren, müssen Sie sicherstellen, dass die Domänencontroller auf physischen Einheiten laufen, die von anderen Maschinen in der Umgebung getrennt sind. Selbst wenn Sie eine Virtualisierungsplattform eines Drittanbieters einsetzen, sollten Sie virtuelle Domänencontroller auf Hyper-V-Servern in Windows Server2012 oder Windows Server2008 R2 bereitstellen, was eine minimale Angriffsfläche bereitstellt und mit den Domänencontrollern und nicht mit dem Rest des Host-Servers, der die Virtualisierungs-Hosts verwaltet, verwaltungstechnisch unterstützt werden kann.

Sie nutzen eine Virtualisierungsplattform eines Drittanbieters. Erwägen Sie, Virtual Domain Controller auf Hyper-V Server in Windows Server 2012 oder Windows Server 2008 R2 bereitzustellen, was eine minimale Angriffsfläche bietet und mit den Domänencontrollern, die sie hosten, und nicht mit dem Rest der Virtualisierungshosts verwaltet werden kann.

Bei der Implementierung von Service Center Virtueller Maschinen-Manager (SCVMM) für die Virtualisierungsinfrastrukturverwaltung können Sie die Management von physikalischen Rechnern, an die sich virtuelle Maschinen mit Domain-Controllern und von den Domain-Controllern selbst berechtigte Verwalter richten, zuweisen. Wenn Sie den Systemmanager für virtuelle Maschinen (SCVMM) zur Steuerung Ihrer Infrastruktur für die Virtualisierung einsetzen, können Sie die Administration der Hotelkörper, auf denen sich die Maschinen der Domänencontroller und die Domänencontroller selbst ausrichten.

Sie sollten auch erwägen, den Speicher von den Virtual Domain Controllern zu trennen, um zu vermeiden, dass die Speicheradministratoren auf Dateien der Virtual Maschine zugreifen. Sie beabsichtigen auch, den Speicher von den Controllern der Domäne zu trennen, um zu gewährleisten, dass Speicheradministratoren nicht auf die virtuelle Maschinendatei zugreifen können. In Umgebungen, in denen sich mehrere Datenserver im Rechenzentrum befindet, aber nicht so weit physikalisch abgesichert ist, dass der Rechenzentrumsserver abgesichert wird, sollten physikalische Domain-Controller mit TPM-Chips und BitLocker Drive-Verschlüsselung für alle Servervolumen eingerichtet werden.

Die Endroiter müssen in Bereichen, in denen sich mehrere Dienstanbieter befinden, aber an dem Punkt, an dem die Dienstanbieter des Rechenzentrums sicher sind, nicht physisch sicher sind, mit TPM-Chips und BitLocker-Laufwerksverschlüsselung für alle Servervolumes konfiguriert werden. Möglicherweise kann ein Domain Controller in einem abgeschlossenen Bereich in Niederlassungen aufbewahrt werden, sollten Sie an diesen Orten einen RODC einsetzen.

Wenn ein Unternehmen ssteuergerät nicht in einem abgeschlossenen Raum an Zweigstellen gelagert werden kann, sollten Sie den Einsatz von RODCs an diesen Standorten in Betracht ziehen. Wenn immer möglich, sollten Sie die Controller für Virtualdomänen in Zweigstellen auf getrennten physikalischen Rechnern betreiben als die anderen virtuellen Maschinen auf dem Gelände. Im Rahmen der Möglichkeiten sollten Sie die Kontrolleure virtueller Domänen in Zweigstellen auf die Erfolge von Körperbau ern konzentrieren, die von anderen Maschinen auf dem Gelände getrennt sind.

Bei Zweigen, in denen die virtuellen Domänen-Controller auf getrennten physikalischen Rechnern und dem restlichen Bestand an virtuellen Servern betrieben werden können, sollten Sie die Implementierung von TPMSchips und BitLocker-Laufwerksverschlüsselung auf Rechnern durchführen, die als Minimum die virtuellen Domänen-Controller ausführen, und wenn möglich auf allen Rechnern. Im Rahmen von Zweigen, in denen die Kontrolleure der virtuellen Domäne nicht auf die Physik und den Körperbau getrennt vom Bestand des virtuellen Servers zugreifen können, müssen Sie TPM und das Chiffrement der BitLocker-Laufwerke auf die virtuellen Domänen controller auf den geringstmöglichen Wert und nach wie vor die allerhöchsten Anforderungen an die Virtuosität der Domäne einführen.

Abhängig von der Grösse der Niederlassung und der Security des physikalischen Rechners sollten Sie den Einsatz von Retrozessionen in Niederlassungen in Betracht ziehen. Im Hinblick auf die Verringerung der Erfolgsaussichten und die Verbesserung der Körperbaulichkeit von Menschen sollten Sie den Einsatz von RODCs in den Niederlassungen in Betracht ziehen. Wenn sich in Ihrer Umgebung Standorte befinden, an denen nur ein einziger physikalischer Benutzer eingerichtet werden kann, sollte ein Benutzer einen Benutzer installieren, um Virtualisierungs-Workloads am entfernten Standort auszuführen, und BitLocker Drive Verschlüsselung sollte zum Schutz aller Datenträger auf dem Benutzer eingerichtet sein.

Die Infrastruktur umfasst Standorte, an denen nur ein physischer Benutzer installiert werden kann. Ein Diener, der Virtualisierungs-Workloads ausführen kann, muss am entfernten Standort installiert werden, und die BitLocker-Laufwerksverschlüsselung muss konfiguriert werden, um alle Servervolumes zu schützen. Eine virtuelle Maschine auf dem Serverbetrieb sollte einen LODC mit anderen Servern betreiben, die als separate virtuelle Maschine auf dem Rechner laufen.

Eine Maschine auf dem Server muss einen RoDaC ausführen, während die anderen Server als virtuelle Maschinen auf dem Gelände arbeiten. Weitere Hinweise zur Planung des Einsatzes des DSGVO finden Sie im Read-Only Domain Controller Planning and Deployment Guide. In dem Leitfaden für die schreibgeschützte Planung und Entwicklung von Domain Controller finden Sie vierteljährliche Daten zur RODC-Einsatzplanung.

Nähere Angaben zur Bereitstellung und Sicherung virtualisierter Domain Controller erhalten Sie unter Ausführung von Domain Controllern in Hyper-V auf der Website von TechNet. Weitere wichtige Daten zur Bereitstellung und Sicherung virtualisierter Domänen controller sind die Ausführung von Domänencontrols in Hyper-V auf der Web-Seite von TechNet. Führen Sie alle Domain Controller auf der neuesten Windows Server-Version aus, die in Ihrem Unternehmen bereitgestellt wird, und ordnen Sie die alten Systeme in der Domänencontroller-Bevölkerung den Vorrang zu, um Domain Controller zu deaktivieren.

Sie haben die Pflicht, alle Domänenkonstrukteure auf der neuesten Version von Windows Server auszuführen, die in Ihrem Unternehmen unterstützt wird, und dem Herunterfahren bestehender Systeme in der Domänenkontrollerpopulation Priorität zu geben. Indem Sie Ihre Domain-Controller auf dem neuesten Stand halten und alte Domain-Controller entfernen, können Sie oft neue Features und Sicherheitsvorteile nutzen, wie sie in Domänen oder allgemeinen Strukturen mit Domain-Controllern, die über ein älteres Betriebssystem verfügen, nicht zu finden sind.

Um die Kontrolle über Ihre Domänen controller auf dem neuesten Stand zu halten und bestehende Domänen controller zu eliminieren, können Sie oft von neuen Funktionen und Sicherheitsvorkehrungen profitieren, die in Domänen oder Wäldern, in denen die Kontrolle ure ein bestehendes System verwenden, möglicherweise nicht verfügbar sind. Domain Controller sollten erneut installiert werden, anstatt frühere Betriebssysteme oder Serverrollen zu aktualisieren, d.h. keine direkten Aktualisierungen von Domain Controllern durchzuführen oder die AD DS Installationsassistenten auf Servern auszuführen, auf denen das Betriebssystem nicht erneut installiert wird.

Die Betreiber müssen in der Lage sein, die Systeme für die Nutzung der Dienste oder die Rollen der Dienste von Antérieurs zu entwickeln, d.h. sie dürfen keine Auswirkungen auf die Dienste der Dienste von Antérieurs zu haben, auf denen das Betriebssystem noch nicht installiert ist. Indem Sie neue Domainsteuerungen implementieren, sorgen Sie dafür, dass alte Files und Settings nicht unbeabsichtigt auf Domain Controllern bleiben, und Sie erleichtern die Umsetzung einer konsistenten und sicheren Konfigurierung des Domain Controllers.

Im Rahmen der Implementierung neu installierter Systeme stellen Sie sicher, dass Legacy-Dateien und -Einstellungen nicht versehentlich auf den Domänencontrollern belassen werden, und Sie vereinfachen die Anwendung einer konsistenten und sicheren Domänencontroller-Konfiguration. Einige kostenlose Werkzeuge, von denen einige standardmäßig in Windows installiert sind, können zur Erstellung einer initialen Konfigurationsbasis linie für die Domänencontrollersicherheit verwendet werden. Diese kann dann mit Hilfe von Google Analytics forciert werden.

Da bestimmte kostenlose Verfügbarkeiten, von denen einige standardmäßig in Windows installiert sind, können Sie eine erste Sicherheitskonfigurationsdatenbank für die Domänenkontroller erstellen, die dann von allen AGBs verwendet werden kann. Nach der ersten Einrichtung sollten alle Domain Controller blockiert sein. Die Verantwortlichen müssen bei der ersten Kompilierung die Daten nachvollziehen.

Möglich ist dies durch die Verwendung des Sicherheitskonfigurationsassistenten, der unmittelbar aus den Windows Server Service-, Registrierungs-, Systemund WFAS-Einstellungen auf einer Basic Builder Domain Controller-Konfiguration bereitgestellt wird. Ceci ño de la sécurité de sécurité security, die nativ in Windows Server zur Verfügung gestellt wird, um Service-, Registrierungs-, Systemsystem- und WFAS-Einstellungen auf einem "base build" Domain-Controller zu definieren.

Es können Benutzereinstellungen gesichert und in ein Group Policy-Objekt importiert werden, das mit der Organisationseinheit des Domänencontrollers in jeder Domäne im Baum verlinkt werden kann, indem die Einheitskonfiguration des Domänencontrollers als konsistent gekennzeichnet wird. Die Partner können sich auf eine GPO speichern und exportieren, die mit den OR-Domänencontrollern in jeder Walddomäne vertraut gemacht werden kann, um eine konsistente Konstellation der Controleurs der Domänen anzuwenden.

In Ihrer Domäne, die mehrere Windows-Betriebssystem-Versionen enthält, können Sie Windows Management Instrumentierung (WMI)-Filter konfiguriert werden, um Gruppenrichtlinien-Objekte nur auf die Domänencontroller für die jeweilige Betriebssystemversion anzuwenden. Wenn Sie Ihre Domäne mehrere weitere Windows-Betriebssysteme enthält, können Sie Windows Management Instrumentierung (WMI) für die Anwendung von GPO-Einzigartigkeit sfiltern nur auf Domänencontroller mit der entsprechenden Version auswerten.

ApplicationLocker oder eine Whitelisting-Anwendung eines Drittanbieters sollte es Ihnen ermöglichen, Services und Applikationen zu konfigurieren, die auf Domain Controllern laufen dürfen, und diese genehmigten Services und Services sollten nur für den Rechner auf dem Rechner auf dem Host AD DS bestehen und eventuell DNS plus Systemsicherheitssoftware wie z. B. Virenschutzprogramme sind erforderlich. Hierfür sind folgende Komponenten notwendig. Application Locker oder ein Whitelist-Tool eines Drittanbieters sollte verwendet werden, um die Services und Applikationen zu konfigureren, die auf exécuter domaine laufen dürfen, und diese autorisierten Applikationen und Services sollten nur aus dem bestehen, was für den Ordinateur notwendig ist, um AD DS und eventuell DNS zu hosten, sowie jegliche Systemsicherheitssoftware wie zum Beispiel Antivirussoftware.

Die Whitelist genehmigter Applikationen auf Domain Controllern wird um eine weitere Sicherheitsstufe erweitert, so dass die Applikation auch dann nicht laufen kann, wenn eine nicht genehmigte Applikation auf einem Domain Controller in Betrieb ist. Die Liste der autorisierten Antragsteller auf dem Gebiet der Domänenkontrolle fügt eine Couch hinzu, so dass selbst wenn eine nicht authorisierte Antragstellung auf einem Domänenkontrolleur auftritt.

Gruppenrichtlinienobjekte, die Unternehmenseinheiten auf allen Domänencontrollern innerhalb einer Gesamtstruktur miteinander verbinden, sollten so eingerichtet sein, dass RDP-Verbindungen nur von berechtigten Nutzern und Netzwerken (z.B. Sprungbrettservern) zugelassen werden. Die Ziele der Gruppenrichtlinien, die auf alle ODER-Domänencontroller in einem Wald verweisen, müssen so gestaltet sein, dass die Autorisierung von Verbindungen über RDP nur von Nutzern und Systemberechtigten (z.B. Jump-Servern) erlaubt ist.

Das Ziel ist es, durch eine Kombination von Benutzerrechten und WFAS-Konfigurationseinstellungen zu erreichen und sollte in der GPOs implementiert werden, um eine einheitliche Anwendung der Richtlinie zu gewährleisten. S' c. Wenn diese Option umgangen wird, kehrt das System bei der nächsten Aktualisierung der Gruppenrichtlinie zu seiner korrekten Konfiguration zurück. Möglicherweise ist es nicht besonders benutzerfreundlich, Sie sollten Domänencontroller und andere Komponenten der kritischen Infrastruktur separat von der allgemeinen Windows-Infrastruktur patchen.

Da die Schweiz zwar kontraintuitiv erscheint, sollten Sie das Patchen von Domänencontrollern und anderen Komponenten kritischer Infrastrukturen getrennt von Ihrer gesamten Windows-Infrastruktur in Betracht ziehen. Wenn Sie eine unternehmensweite Konfigurationsmanagementsoftware für alle Computer in Ihrer Infrastruktur verwenden, kann der Kompromiss der Systemmanagementsoftware verwendet werden, um alle von dieser Logik verwalteten Infrastrukturkomponenten zu beeinträchtigen oder zu zerstören.

Indem Sie den Patches und Systemen zur Trennung von Domain-Controllern von der Öffentlichkeit verwalten, können Sie die Anzahl der auf Domain-Controllern installierten Programme verringern und nicht nur deren Handhabung genau kontrollieren. Im Rahmen der Trennung von Patches und Systemmanagement für die Kontrolleure der Domäne von der allgemeinen Bevölkerung können Sie die Anzahl der auf den Domänenkontrollen installierten logischen Programme sowie die Kontrolle ihrer Nutzung nachvollziehen.

Es wurde überprüft, dass im Rahmen eines Virtualisierungs-Assessments die Nutzung und Konfigurierung des Internetexplorers auf Domain Controllern überprüft wird. Die im Rahmen einer Evaluierung der Sicherheit von Microsoft Directory durchgeführte Überprüfung ist die Nutzung und Einstellung des Web Explorers auf die Domänencontroller. In diesem Fall hat die Untersuchung der Tausenden von Domain Controllern jedoch gezeigt, dass in zahlreichen Fällen Nutzer die geeigneten Zugriffsrechte von Microsoft Explorer zum Surfen durch das Unternehmen im Intra- oder Internetzugang verwenden.

In der Analyse Tausender von Domänenkonstrukteuren wurden jedoch viele Fälle aufgedeckt, in denen privilegierte Benutzer mit dem Internetzugang durch das Intra- oder das Internetsystem des Unternehmens navigiert haben. Das Durchsuchen des Internets (oder eines infizierten Intranets) von einem der leistungsfähigsten Computer in einer Windows-Infrastruktur mit einem sehr berechtigten Benutzerkonto (das standardmäßig nur für Domänencontrollerkonten angemeldet werden darf) birgt, wie bereits im Kapitel "Fehlkonfiguration" erläutert, ein besonderes Sicherheitsrisiko für ein Unternehmen.

In der Rubrik "Bad Configuration" unter "Avenues to Compromise" wurde bereits beschrieben, dass das Surfen im Internet (oder einem infizierten Intranet) von einem der leistungsfähigsten Computer in einer Windows-Infrastruktur aus über ein hoch privilegiertes Konto (das die einzigen Konten sind, die lokal mit Standard-Domänencontrollern verbunden werden dürfen) ein außerordentliches Risiko für die Sicherheit des Unternehmens darstellt.

In den meisten FÃ?llen, in denen die DomÃ?nencontroller und privilegierten Benutzerkonten zum Surfen im Web genutzt wurden, die DomÃ?nencontroller mit Windows Server2003 betrieben wurden oder die Schutzfunktion neuerer Betriebssysteme, bzw. der Browser gezielt abgeschaltet wurde, können Sie eine groÃ?e Anzahl von Schutzmechanismen gegen bösartige Herunterladungen verwenden.

Es handelt sich in den meisten Fällen um Domänencontroller und privilegierte Konten, die zum Durchsuchen des Internets verwendet wurden, Domänencontroller, die Windows Server 2003 betrieben haben, oder um von neuen Betriebssystemen und Browsern bereitgestellte Schutzfunktionen, die absichtlich deaktiviert wurden.

Der Start von Internetbrowsern auf Domain-Controllern muss nicht nur durch eine Policy verhindert werden, sondern auch durch die technischen Kontrollen und Domain-Controller sollten nicht auf das Webzugang haben. Die Lancierung von Navigationssystemen auf der Website von Drittanbietern sollte nicht nur durch Richtlinien, sondern auch durch Steuerungstechniken verboten werden, und den Drittanbietern sollte der Zugriff auf das Web verboten werden.

Falls Ihre Domain-Controller über mehrere Websites hinweg verteilt werden müssen, sollten Sie eine gesicherte Verbindung zwischen den Websites einrichten. Wenn Sie als Kontrolleur Ihrer Domäne mehrere Websites replizieren müssen, müssen Sie sich an die entsprechenden Stellen wenden, um die Verbindung zwischen den Websites sicher einzurichten. Auch wenn detaillierte Konfigurationshinweise den Umfang dieses Handbuchs abdecken, können Sie eine Reihe von Kontrollen einführen, um die Möglichkeit einzuschränken, dass Domain Controller missbräuchlich verwendet oder fehlerhaft konfiguriert und dann beeinträchtigt werden.

Nach den Anweisungen zur detaillierten Konfiguration, die nicht in diesem Dokument enthalten sind, können Sie eine Reihe von Kontrollen implementieren, um die Möglichkeit einzuschränken, dass Domänencontroller missbraucht oder falsch konfigurierte und dann gefährdet werden. Kreisfirewalls sollten so eingerichtet sein, dass sie ausgehende Verbindungen von Domain Controllern zum Netz unterdrücken. Die Pare-feuille muss so eingestellt sein, dass sie ausgehende Konnexe von Domänenkontrollern zum Thema Web blockiert.

Mithilfe des Assistenten für die Sicherheitskonfiguration sollten Sie wie oben beschrieben Windows-Firewall- und erweiterte Sicherheitskonfigurationen auf Domain-Controllern aufzeichnen. Sie haben die Möglichkeit, die Konfigurationseinstellungen der Konfigurationsparameter der Windows -Firewall mit der Avancée von Advanced Security auf die Domänencontroller mit Hilfe des Sicherheitskonfigurationsassistenten zu erlernen. Achten Sie darauf, dass die Firewall-Konfigurationseinstellungen den Anforderungen Ihres Unternehmens entsprechen, und wählen Sie dann Group Policy Objects Use Group Policy Objects, um die Konfigurationseinstellungen zu forcieren.

Sie können die Ergebnisse des Sicherheitskonfigurationsassistenten überprüfen, um sicherzustellen, dass die Firewall-Konfigurationseinstellungen den Anforderungen Ihres Unternehmens entsprechen, und dann die Konfigurationseinstellungen mithilfe von Google Analytics anwenden. Du kannst eine kombinierte Anwendung aus der " Black Hole " Proxy-Konfiguration von AppLocker und dem WFAS Configuration Domain Controller verwenden, um den Zugang zum Web zu unterbinden und die Nutzung von Internetbrowsern auf Domain Controllern zu unterbinden.

Sie nutzen eine Kombination aus AppLocker-Konfiguration, Proxy-Konfiguration mit Noir-Konfiguration und WFAS-Konfiguration, um Domänencontroller am Zugriff auf das Internet zu hindern und die Verwendung von Webbrowsern auf Domänencontrollern zu verhindern.

Auch interessant

Mehr zum Thema