Der Domänencontroller MUSS gegen unautorisierte Neustarts geschützt werden!

[Dayworker 10]

Hallo zusammen,

 

wir setzen gerade in der AD die BSI Vorgaben durch. Dadurch sind wir in einem Punkt auf den Neustarts der DC´s gestoßen.

APP.2.2: Active Directory (bund.de) hier unter APP 2.2.A5 zum Nachlesen.

 

Jemand eine Idee, wie man den Neustarts der DC´s absichern kann.

 

Freue mich über eure Ideen.

 

Gruß

 

Day

 

 

[cj_berlin 1.137]

Das Recht "Herunterfahren des Systems" verbindlich regeln.

[NilsK 2.785]

Moin,

 

vor allem aber: den physischen Zugang zum DC sowie bei VMs den Zugang zur VM-Verwaltungskonsole einschränken. Bei einem unautorisierten Neustart geht es primär darum, dass man den DC nicht mit einem anderen OS oder mit dem Recovery-OS starten kann. Darüber wären nämlich sehr einfache und sehr weitreichende Angriffe möglich.

 

Übrigens darf (und sollte) man die BSI-Empfehlungen durchaus kritisch sehen. Die sind zwar heute viel besser als vor einigen Jahren, aber es stehen immer noch bisweilen unsinnige Dinge darin. In der Nähe des zitierten Absatzes etwa die Empfehlung, Images von DCs vorzuhalten - sowas tut man nicht.

 

Gruß, Nils

 

[Dayworker 10]

ok soweit vielen Dank.

 

@NilsK haben Sie mir evtl. eine andere Quelle, die etwas genauer ist, als BSI? An was orientieren Sie sich?

@cj_berlin vielen Dank, die Einträge habe ich geprüft, die sehen soweit ganz gut aus.

 

Danke für den Input.

[MurdocX 904]

Und da wir uns im Sicherheitsbereich des Forum befinden, hier noch ein kleiner Hinweis auf das SCT. 

 

Microsoft Security Compliance Toolkit 1.0 –Leitfaden - Windows security | Microsoft Docs

Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center

 

Dort findest du Sicherheits-Gruppenrichtlinien die du auf deine Server, Clients und Domaincontroller anwenden kannst. Als Guddi sehe ich die weiteren Sicherheitsrichtlinien für den Defender, Windows Update, Office und den Edge. Wendest du alle an, dann wird ein Mindestmaß an Sicherheit auf deinen System erfüllt. 

[NilsK 2.785]

Moin,

 

wie gesagt, die BSI-Bausteine sind aktuell gut und insgesamt viel besser als die ersten Würfe vor einigen Jahren. Man sollte sie aber a) nicht absolut setzen und b) nicht für vollständig halten. Früher hat das BSI mal von "Grundschutz" gesprochen und damit ausgedrückt, dass man damit eine Basis legt, aber eben nicht fertig ist.

 

"Weitere Quellen" sind alles Mögliche. Vor allem lasse ich z.B. das Argument nicht gelten, dass man etwas genau so-und-so tun müsse, weil das ja schließlich "das BSI" so vorgebe.

 

Gruß, Nils

 

bearbeitet 21. Juli 2022 von NilsK

[Pitti259 15]

Am 21.7.2022 um 16:47 schrieb NilsK:

dass man etwas genau so-und-so tun müsse, weil das ja schließlich "das BSI" so vorgebe

Das kommt jetzt ein bisschen drauf an, was das Ziel der Kompendium-Umsetzung ist. Die Anforderung APP.2.2.A5 ist eine Basis-Anforderung, d.h. die in der Anforderung mit MÜSSEN angeführten Punkte, müssen für eine Zertifizierung umgesetzt werden. Sonst darf ich als Auditor die Zertifizierung nicht empfehlen. Bei der Erfüllung der Anforderung sind wir frei, die Umsetzungsempfehlungen des BSI sind nur Empfehlungen.

 

Worauf will ich hinaus? Für eine Steigerung der Sicherheit meiner Systeme kann ich das Grundschutzkompendium als Katalog hernehmen und mir raussuchen was mir sinnvoll erscheint. Ist das Ziel aber eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz, dann fehlt mir diese Freiheit. Die Anforderungen, vor allem die Basis-Anforderungen müssen bedient werden.

 

Ach ja, handelt es sich um eine Bundes- oder Landesbehörde, so ist die Umsetzung des GS-Kompendiums für die eingesetzte IT gesetzlich vorgeschrieben. Da befinden wir uns dann in einer Zwittersituation, weil zwar die Anforderungen stringent beachtet werden müssen, aber die Umsetzung der Anforderung auch für, na sagen wir mal übernächstes Jahr  eingeplant werden kann.

 

Ciao

  Pitti

[Dayworker 10]

OK...hier erstmal vielen Dank an Eure Antworten. Hier haben das aufgenommen und besprechen uns, wie wir weiter machen.

 

@MurdocX eben, diese Sammlung haben wir schon teilweise im Einsatz.

@Pitti259 um eine Zertifizierung handelt es sich nicht. Des Weiteren sind nun auch schon Vorbereitungen wegen Tier Modell getroffen worden.

@NilsK find ich gut Deine Meinung.

 

Danke an alle

[cj_berlin 1.137]

vor 19 Minuten schrieb Pitti259:

Ach ja, handelt es sich um eine Bundes- oder Landesbehörde, so ist die Umsetzung des GS-Kompendiums für die eingesetzte IT gesetzlich vorgeschrieben.

Von welchem Gesetz?

[Pitti259 15]

vor 3 Minuten schrieb cj_berlin:

Von welchem Gesetz?

Unterschiedlich, je nach Bundesland oder Bund. Beim Bund ist es der UP-Bund. Bei den Ländern z.B. Bayerisches-eGovernment-Gesetz, Baden-Württemberg, E-Government-Gesetz NRW ...

[NilsK 2.785]

Moin,

 

also ... ich lese das anders.

 

Aber wir sollten uns hier nicht mit Haarspaltereien befassen. Von einer Zertifizierung hat der TO nichts geschrieben. Er wollte Hinweise zur Umsetzung haben, und seinen Antworten nach zu urteilen, ist er an Praxishinweisen auch interessiert. Was er davon dann umsetzt, ist allein seine Sache.

 

Gruß, Nils