Schutz des Administratorkontos in der Offline-Sicherheitskontenverwaltung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 223301 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D223301
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
223301 Protection of the Administrator Account in the Offline SAM
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel befasst sich mit der Sicherheit der Offline-Sicherheitskontenverwaltung (Security Accounts Manager - SAM) und den darin befindlichen Konten.

Windows 2000-Domänencontroller speichern Domänenbenutzerkonten, Gruppenmitgliedschaften und weitere Objekte im Active Directory. Das Windows 2000-Programm Sicherung und weitere Sicherungsprogramme von Drittanbietern sind in der Lage, das jetbasierte Active Directory eines aktiven Windows 2000-Domänencontrollers zu sichern.

Die Systemwartung und Wiederherstellung des Active Directory kann nur durch das Speichern des Active Directory im Modus "offline" oder "Verzeichnisdienstwiederherstellung" ausgeführt werden. Der Modus "Verzeichnisdienstwiederherstellung" verwendet eine registrierungsbasierte Datenbank zum Speichern des Administratorkontos und weiterer integrierter Benutzer und Gruppen in der Sicherheitskontenverwaltung und stellt damit einen anderen Sicherheitskontext als das Active Directory dar.

Weitere Informationen

Erstellen einer registrierungsbasierten Sicherheitskontenverwaltung

Microsoft Windows NT Version 4.0 und frühere Versionen speichern Benutzerkonten, Computerkonten und Gruppeninformationen in einer registrierungsbasierten Sicherheitskontenverwaltung. Wenn Sie einen primären Domänencontroller (PDC) von Windows NT 4.0 auf Windows 2000 aktualisieren, wird DCPROMO am Ende der Installation von Windows 2000 ausgeführt. Konten in der Sicherheitskontenverwaltung werden auf das jetbasierte Active Directory migriert. Es wird eine neue registrierungsbasierte Sicherheitskontenverwaltung, die das "Offline"-Administratorkonto (und weitere integrierte Konten zum Wiederherstellen des Windows 2000 Domänencontroller) beinhaltet, erstellt. Konten der registrierungsbasierten Sicherheitskontenverwaltung sind nur im Modus "Verzeichnisdienstwiederherstellung" durch Drücken von F8 im ersten Abschnitt des Bootvorgangs verfügbar. Die registrierungsbasierte Sicherheitskontenverwaltung wird im Ordner %SYSTEMROOT%\SYSTEM32\CONFIG gespeichert.

Für neue Windows 2000-Domänen werden in der Active Directory-Datenbank automatisch Standardbenutzer und -gruppen erstellt. Der gleiche Typ der registrierungsbasierten Windows NT 4.0-Sicherheitskontenverwaltung aus dem Windows NT-Upgradeszenario wird im Ordner %SYSTEMROOT%\SYSTEM32\CONFIG erstellt.

Sicherung der Offline-Sicherheitskontenverwaltung

Unter Windows 2000 sind die Vorgehensweisen zum Schutz der Offline-Sicherheitskontenverwaltung mit den Vorgehensweisen unter Windows NT 4.0 identisch. Bei der Sicherung der Offline-Sicherheitskontenverwaltung sollten Administratoren möglicherweise Folgendes bedenken:

  1. Stellen Sie sicher, dass die Kennwörter für den Administrator im Domänenserver bzw. für das Administratorkonto in der Offline-Sicherheitskontenverwaltung nicht identisch sind. Grundsätzlich sollten für das Administratorkonto im Active Directory und das Offline-Administratorkonto unterschiedliche Kennwörter verwendet werden.

    Die Online- und Offline-Kennwörter ändern sich bei der ersten Änderung des Active Directory-Administratorkennworts.
  2. Führen Sie eine Risikoanalyse durch und entwickeln Sie dann strenge Kennwortrichtlininen für kritische Konten wie z.B. das Offline- und Active Directory-basierte Administratorkonto.
  3. Die Offline-Sicherheitskontenverwaltung ist programmtechnisch nicht verfügbar, wenn ein Windows 2000-basierter Domänencontroller im Modus "Active Directory" ausgeführt wird. Gehen Sie folgendermaßen vor, um eine strenge Kennwortrichtlinie für das Offline-Administratorkonto zu implementieren:

    1. Starten Sie den Domänencontroller von Windows 2000 im Modus "Verzeichnisdienstwiederherstellung".
    2. Ändern Sie das Kennwort für das Konto bzw. die Konten.
    3. Starten Sie im Modus "Active Directory".
    Die effektive Verfügbarkeitszeit (system-up time) für den Server wird zum Kennwortänderungsintervall für das Administratorkonto.
  4. Aktivieren Sie die Überwachung der Datei der Sicherheitskontenverwaltung im Ordner %WINDIR%\SYSTEM32\CONFIG. Jede Verwendung, die nicht auf eine Systemsicherung oder Virusprüfung zurückzuführen ist, sollte untersucht werden.

    HINWEIS: Befolgen Sie nicht die in folgenden Artikeln der Microsoft Knowledge Base beschriebenen Schritte:

    184017 Administrators Can Display Contents of Service Account Passwords
    143475 Windows NT System Key Permits Strong Encryption of the SAM
  5. Der physische Schutz von Computer, Notfalldisketten und Bandsicherungsmedien sollten bei der Erstellung einer sicheren Umgebung unbedingt beachtet werden.

Wenn Administratoren nicht in der Lage sind, das Kennwort für das Offline-Administratorkonto anzugeben, kommt es eher zu Ausfällen bei der Wartung als zu Angriffen auf die Offline-Sicherheitskontenverwaltung. Definieren Sie einen internen Prozess, der die sichere Verwahrung von Offline-Administratorkennwörtern regelt. Dieser Prozess darf auf der einen Seite die Sicherheit nicht beeinträchtigen, auf der anderen Seite muss er jedoch sicherstellen, dass die Kennwörter für Systemwartungs- und -wiederherstellungszwecke verfügbar sind. Beachten Sie hierbei, dass Server typischerweise Stunde, Monate oder sogar Jahre nach der Originalinstallation des Betriebssystems während ruhigerer Zeitphasen wieder hergestellt werden.

Sie können das Kennwort für die Offline-Sicherheitskontenverwaltung mithilfe von Windows NT Terminal Server im Modus "Remoteadministration" ändern, indem Sie den Schalter Boot.ini zwischen dem Starten des Computers im Modus "Offline-Wiederherstellen" und "Active Directory" ein-/ausschalten.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 223301 - Geändert am: Montag, 12. Januar 2004 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbinfo kbtool KB223301
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com