Was ist ein Domain Controller – und wofür wird er gebraucht?

Der Domain Controller kann als Schatztruhe eines fast jeden Unternehmens angesehen werden. Der Server, der die Authentifizerungsanfragen der Benutzer beantwortet, ist unerlässlich und wird auch gerade wegen der Funktionalität oft angegriffen.

Die Anforderungen an die Schutzmaßnahmen sind entsprechend hoch, denn wenn Kriminelle die Schatztruhe knacken besteht die Möglichkeit sich als authentifizierter Nutzer im System zu bewegen. Doch der Weg dahin ist weit.




Der Domain Controller im Detail

Wie der Name bereits vermuten lässt, ist der Domain Controller (DC) dafür da, etwas im Bereich Ihrer „Domäne“ zu kontrollieren. Es geht dabei um die Authentifizierung und Validierung von Benutzern im eigenen Netzwerk. Je mehr Teilnehmer und größer das Netzwerk, desto umfangreicher die Anforderungen an einen Domain Controller.

Typische Aufgaben sind die Überprüfung von Benutzernamen, Passwörter und Anmeldeinformationen. So kann der Controller entscheiden ob der Zugriff ge- oder verwehrt wird. Die häufigste Domainenart ist das Active Directory von Microsoft. Alternativen dazu ist das Linux-basierte Samba. Dabei besitzt jede Domäne einen DC – aber nicht jede Domäne ein Active Directory.

Ein besonderes Ereignis hat sich beim Ransomwarebefall von Maersk gezeigt. In der Titelgeschichte „The Untold Story of NotPetya, the Most Devastating Cyberattack in History“ wird beschrieben, dass das Unternehmen einen einzigen, nicht durch die Ransomware verschlüsselten Domain Controller gefunden hat. In Ghana. Warum dieser nicht betroffen war? Ein Stromausfall hat die Daten geschützt.




Benötige ich einen Domain Controller?

Wer Kundendaten in seinem Netzwerk speichert und verarbeitet, der sollte einen DC verwenden. Dies sorgt nämlich für die Erhöhung des IT-Sicherheitsniveaus, da Zutrittsberechtigungen zentral gesteuert, verwaltet und protokolliert werden.

Wer jedoch auf zahlreiche Cloudservices setzt und keine Kundendaten in der eigenen Infrastruktur betreibt, der kann unter Umständen auf den Einsatz von einem Domain Controller verzichten.

Vor- und Nachteile im Detail

Auch wenn die Nachteile in den meisten Unternehmen nicht überwiegen – da es keine Alternative gibt – so sollten diese trotzdem betrachtet werden. Im Rahmen einer Risikoanalyse gehört die Betrachtung der Möglichkeit eines erfolgreichen Hacks zum täglichen Brot.

VorteileNachteile
Eine zentrale Benutzerverwaltung wird ermöglichtLukratives Ziel für Cyberangriffe
Lässt sich mit der Größe von Netzwerken skalieren und replizieren"Single Point of Failure". Ausfall macht Anmeldung von Benutzern unmöglich.
Verschlüsselung von BenutzerdatenEs herrschen Anforderungen an Soft- und Hardware
Kann zur Verbesserung des IT-Sicherheitsniveaus gesichert und gesperrt werdenBenutzersysteme müssen kontinuierlich gepflegt werden um IT-Sicherheit zu gewährleisten

Mit der Durchführung von regelmäßigen Pentests auf den Domain Controller kann das IT-Sicherheitsniveau nicht nur festgestellt werden – bestehende Sicherheitslücken können auch geschlossen werden und Maßnahmen nach dem Stand der Technik umgesetzt werden.

Auf der einen Seite kann das Unternehmen von den Vorteilen eines Domain Controllers profitieren – auf der anderen Seite aber das Sicherheitsniveau feststellen und erhöhen. Dem sicheren Einsatz spricht dann nichts mehr entgegen. Die Pflege des DC ist jedoch unerlässlich!