Active Directory Service Recovery Mode (DSRM)

be429b25048c45f8aa46ae01cfd332c4

Eine wichtige Funktion des Active Directory ist der Active Directory Service Recovery Mode (DSRM). Leider kennen sich nur wenige Administratoren mit dieser kritischen Funktion aus. In diesem Hintergrundartikel versuche ich, etwas Licht ins Dunkel zu bringen.

Was ist der Directory Service Recovery Mode (DSRM)?

Der Directory Service Recovery Mode (DSRM) ist eine spezielle Startoption für Active Directory Domain Services (AD DS) oder Active Directory Lightweight Directory Services (AD LDS). DSRM wird verwendet, um Systemprobleme zu beheben, die verhindern, dass die normalen Betriebsmodi funktionieren. Mit DSRM können Administratoren auf die AD DS- oder AD LDS-Datenbank zugreifen, um Wartungsaufgaben durchzuführen oder zu versuchen, Fehler zu beheben, die den normalen Betrieb beeinträchtigen.

Vereinfacht ausgedrückt handelt es sich bei DSRM um eine Sicherheitsnetzfunktion, die es Administratoren ermöglicht, auf die Active Directory-Datenbank zuzugreifen und sie zu reparieren, wenn sie beschädigt ist oder aus einem anderen Grund nicht ordnungsgemäß funktioniert.

So funktioniert der Directory Service Recovery Mode:

  1. Um auf DSRM zugreifen zu können, muss der Server beim Start in diesen Modus versetzt werden. Dies geschieht normalerweise über die Startoptionen.
  2. Wenn Active Directory zum ersten Mal auf einem Server installiert wird, wird der Administrator aufgefordert, ein DSRM-Passwort zu erstellen. Dieses Passwort wird dann für die Anmeldung am DSRM verwendet.
  3.  Im DSRM kann auf die Active Directory-Datenbank zugegriffen werden, während diese offline ist. Dies ermöglicht es dem Administrator, Wartungsaufgaben durchzuführen oder Probleme zu beheben, die verhindern, dass die Datenbank normal funktioniert.
  4. Administratoren können die Datenbank wiederherstellen, indem sie einen früheren Zustand der Datenbank wiederherstellen oder die Datenbank mit einer Sicherungskopie überschreiben. Sie können auch die Konsistenz der Datenbank überprüfen und reparieren, indem sie Werkzeuge wie „ntdsutil.exe“ verwenden.

Es ist wichtig zu beachten, dass der Server im DSRM nicht die volle Funktionalität des Active Directory bietet. Beispielsweise kann der Server im DSRM keine Anmeldedienste für andere Computer im Netzwerk bereitstellen. Aus diesem Grund sollte der DSRM nur zur Durchführung von Wartungsaufgaben oder zur Fehlerbehebung verwendet werden, und der Server sollte danach so schnell wie möglich wieder in den normalen Betriebsmodus zurückgesetzt werden.

Welche Risiken gehen vom Directory Service Recovery Mode (DSRM) aus?

Unberechtigter Zugriff auf den Directory Service Recovery Mode (DSRM) kann ein ernsthaftes Sicherheitsrisiko darstellen. DSRM ermöglicht den Zugriff auf den Kern der Active Directory-Datenbank, weshalb ein unberechtigter Zugriff auf diese Funktion Angreifern weitreichende Kontrolle ermöglicht. Einige spezifische Risiken sind:

  • Datenmanipulation: Ein Angreifer mit Zugriff auf DSRM kann möglicherweise Daten in der Active Directory-Datenbank manipulieren. Er könnte Kontoinformationen ändern, Berechtigungen manipulieren und sogar neue Konten erstellen, was ihn effektiv zu einem Super-Administrator in Ihrem Netzwerk machen würde.
  • Datendiebstahl: Da DSRM vollen Zugriff auf die Active Directory-Datenbank bietet, könnten Eindringlinge sensible Informationen extrahieren. Dazu gehören beispielsweise Benutzernamen, E-Mail-Adressen, Verschlüsselungsschlüssel und möglicherweise sogar Passwort-Hashes.
  • Denial of Service (DoS): Ein Angreifer könnte DSRM verwenden, um die Active Directory-Datenbank absichtlich zu beschädigen und dadurch den normalen Betrieb zu stören. Dies könnte zu erheblichen Ausfallzeiten führen und eine zeitaufwändige Wiederherstellung oder Reparatur erforderlich machen.
  • Persistenzmechanismen: Ein Angreifer könnte DSRM auch verwenden, um Persistenzmechanismen in Ihrem Netzwerk zu etablieren. Das bedeutet, dass er Änderungen vornehmen könnte, die ihm den Zugriff auf Ihr Netzwerk ermöglichen, selbst nachdem der ursprüngliche Einbruch entdeckt und versucht wurde, ihn zu beheben.

Wie sieht die Realität des Directory Service Recovery Mode (DSRM) aus?

In der Praxis sieht es fast immer wie folgt aus:

  • Wenn das DSRM-Passwort benötigt wird, kennt es keiner oder alle (einschließlich der MA, die das Unternehmen vor Jahren verlassen haben).
  • Wenn es eine Dokumentation zur Installation der Domänencontroller gibt, steht es dort und ist auf allen Domänencontrollern identisch.
  • Das Risiko dieser Funktion ist niemandem bekannt und wird auch nicht geändert, wenn IT-Mitarbeiter mit Kenntnis des Passwortes das Unternehmen verlassen.

Aus Sicht der IT-Sicherheit / IT-Grundschutz

Aus Sicht des IT-Grundschutzes (Stand Februar 2023) betrifft das DSRM beispielsweise folgende Bausteine / Maßnahmen direkt oder indirekt:

  • ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitenden (B) – „Außerdem MÜSSEN von ausscheidenden Mitarbeitenden alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen eingezogen werden.“ Quelle: ORP.2 Personal (bund.de), Seite 3 – Das DSRM Passwort ist wie ein Schlüssel zu Ihrem AD. Es muss daher geändert werden.
  • ORP.4.A2 Einrichtung, Änderung und Entzug von Berechtigungen (B) – „Bei personellen Veränderungen MÜSSEN die nicht mehr benötigten Benutzendenkennungen und Berechtigungen entfernt werden.“ Quelle: ORP.4 Identitäts- und Berechtigungsmanagement (bund.de), Seite 3 – Das DSRM ist keine Berechtigung, sondern eher ein Generalschlüssel für den Notfall.
  • ORP.4.A8 Regelung des Passwortgebrauchs (B)
  • Da es sich um eine Datensicherungsfunktion handelt, ist auch CON.3 Datensicherungskonzept (bund.de) zu beachten.
  • OPS.1.1.1 Allgemeiner IT-Betrieb –  „Wenn internes oder externes Betriebspersonal ausscheidet und die entsprechenden Prozesse unzureichend ausgeführt werden, können solche Personen weiterhin die privilegierten Rechte nutzen. Ebenso können Sammel-Accounts bewirken, dass z. B. beim Wechsel des Arbeitsfeldes weiterhin Zugang zu betriebsrelevanten Informationen und Betriebsmitteln gewährt wird.“ Quelle: OPS.1.1.1 Allgemeiner IT-Betrieb (bund.de), Seite 4 – Das DSRM-Kennwort ist technisch bedingt leider ein sogenannter Sammelaccount.
  • OPS.1.1.2 Ordnungsgemäße IT-Administration – „Privilegierte Zutritte, Zugänge und Zugriffe können auch missbraucht werden, wenn die Prozesse beim Ausscheiden von internen oder externen Administrierenden unzureichend sind und dadurch ausgeschiedene Personen weiterhin auf IT-Komponenten zugreifen können“ Quelle: OPS.1.1.2 Ordnungsgemäße IT-Administration (bund.de), Seite 3
  • Entsprechend Bedeutung des DSRM ist er auch in dem Baustein OPS.1.1.7 Systemmanagement (bund.de) zu berücksichtigen.

Diese Aufzählung ist nicht abschließend, sondern soll einen Eindruck von der Bedeutung des DSRM-Modus vermitteln. Diese habe ich nur in den ersten 5 Bausteingruppen (ca. 1/3 des Ordners) gefunden. Aber auch die folgenden Bausteine sollten besonders intensiv betrachtet werden:

Best Practise

Wie sollte man jetzt mit den DSRM-Passwörtern umgehen?

  • Regelmäßig ändern – spätestens wenn ein Mitarbeiter das Unternehmen verlässt.
  • Für jede DC ein zufallsgeneriertes Passwort (lang, aber nicht zu lang, im Notfall kein Copy & Paste).
  • Sicher aufbewahrt mit Protokollierung der Zugriffe

Wie kann man das DSRM-Passwort ändern?

Entweder mit dem Befehl „ntdsutil“ oder mit diesem PowerShell-Skript das auch direkt ein Passwort vorschlägt: Scipts/ActiveDirectory/Reset-DSRM.ps1 at master · InfrastructureHeroes/Scipts (github.com).

Werbung

Alternativ gibt es mit dem der neuen Windows LAPS (Local Administrative Password Solution) auch eine Möglichkeit es automatisiert zu ändern und das Password geschützt im AD abzulegen. Mehr dazu folgt in dem Artikel „Domänen Controller und der Directory Service Recovery Mode mit Windows LAPS“.

Kommentare

Eine Antwort zu „Active Directory Service Recovery Mode (DSRM)“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.