{"id":27746,"date":"2022-03-02T17:40:59","date_gmt":"2022-03-02T16:40:59","guid":{"rendered":"https:\/\/www.skaylink.com\/?p=27746"},"modified":"2025-03-10T13:48:20","modified_gmt":"2025-03-10T12:48:20","slug":"active-directory-trust-considerations","status":"publish","type":"post","link":"https:\/\/www.skaylink.com\/de\/insights\/blog\/active-directory-trust-considerations\/","title":{"rendered":"Active Directory Trust Considerations"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Home<\/a><\/span><\/span><\/p>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"Active\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Blog<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Active Directory Trust Considerations<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDieser Blogbeitrag beleuchtet Sicherheitsaspekte beim Erstellen von Active Directory Trusts Relationships zwischen den Active Directory Forest.\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t2. M\u00e4rz 2022\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\n\t\t\t\t\t\t\tChristoph Kuderna\t\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t
\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Einleitung<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Will „harmj0y“ Schroeder ver\u00f6ffentlichte einen hervorragenden technischen Beitrag mit dem Titel „Not A Security Boundary: Breaking Forest Trusts“<\/a>, in dem er darlegt, wie sich ein AD Forest von au\u00dferhalb kompromittieren l\u00e4sst, was Microsofts bisherige Aussage \u201eder Forest ist eine Sicherheitsgrenze\u201c sprengt. Dazu werden Standardeinstellungen mit einer neuartigen Angriffsmethode kombiniert.<\/p>

Dabei ist in seinem Schreiben die Grundlage f\u00fcr den Angriffspfad eine bestehende gegenseitige Vertrauensstellung (two-way trust) zwischen zwei Forests (Gesamtstrukturen). Trusts und ihre Auswirkungen auf die Sicherheit wurden in den letzten Jahren in vielen Diskussionen thematisiert. Sie sind aber gleichzeitig f\u00fcr viele Unternehmensorganisationen aus historischen Gr\u00fcnden und aufgrund von Fusionen und \u00dcbernahmen ein aktuelles Thema.<\/p>

Christoph Kuderna von Skaylink und Enno Rey und weitere Mitarbeiter vom Active-Directory-Sicherheitsteam von ERNW arbeiteten f\u00fcr eine Organisation, in der genau diese Diskussion statt fand. Ein Ergebnis ist ein Dokument, in dem die Risiken von AD-Trusts zusammen mit einigen L\u00f6sungsvorschl\u00e4gen f\u00fcr die Entsch\u00e4rfung diskutiert werden.<\/p>

Wir haben uns entschieden, einige Teile dieses Dokuments zu extrahieren, um zu einer fundierten Entscheidungsfindung im Zusammenhang mit AD-Trusts beizutragen.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

1. Konfigurationen im Active Directory mit Trusts<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Dieser Blogbeitrag beleuchtet Sicherheitsaspekte beim Erstellen von Active Directory Trusts Relationships (Vertrauensbeziehungen) zwischen dem Active Directory Forest (Gesamtstruktur) eines Beispiel-Unternehmens und anderen Dom\u00e4nen\/Forests.<\/p>

Der prim\u00e4re Anwendungsfall besteht darin, dass Benutzer einer externen AD-Dom\u00e4ne auf ihre Exchange-Postf\u00e4cher zugreifen, die auf Servern in der Unternehmens-Dom\u00e4ne (\u201edir.company.com\u201c) mit Kerberos als Authentifizierungsprotokoll gehostet werden. In der Active Directory-Terminologie ist die Vertrauensrichtung (trust direction) der Zugriffsrichtung (direction of access) entgegengesetzt. (siehe Bild unten)<\/p>

Dieser Beitrag konzentriert sich auf das Szenario eines \u201eone-way trust\u201c, einer einseitigen Vertrauensstellung, bei der der AD-Forest des Beispiel-Unternehmens dir.company.com (= \u201ecompany\u201c) den AD-Forests der Partner vertraut, jedoch nicht umgekehrt.<\/p>

Anmerkung: Windows implementiert einen \u201etwo-way trust\u201d als zwei entgegengesetzte \u201eone-way trusts\u201c. Insofern sind die folgenden Betrachtungen auch f\u00fcr \u201etwo-way trusts\u201c relevant.<\/p>

Das folgende Bild zeigt das typische Szenario, in dem die vertrauende Dom\u00e4ne auf der linken Seite die Unternehmens-AD und auf der rechten Seite die vertrauensw\u00fcrdige Dom\u00e4ne das Partner-AD sein w\u00fcrde:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\"direction\t\t\t\t\t\t\t\t\t\t\t
<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Selbst wenn dir.company.com auf diese Weise mehreren anderen AD-Dom\u00e4nen vertraut, erstrecken sich die Vertrauensbeziehungen nicht auf die externen Dom\u00e4nen selbst. Wenn also dir.company.com zwei Dom\u00e4nen A und B vertraut, besteht zwischen der Dom\u00e4ne A und der Dom\u00e4ne B immer noch kein Vertrauensverh\u00e4ltnis.<\/p>

Anders ausgedr\u00fcckt: Externe Active-Directory-Trusts und AD-Trusts zwischen Gesamtstrukturen (inter-forest AD)\u00a0sind standardm\u00e4\u00dfig nicht transitiv. Dies bedeutet, dass eine Vertrauensstellung zwischen einer Active-Directory-Umgebung eines Partners und der Unternehmens-AD niemals auf eine andere Dom\u00e4ne ausgeweitet wird, selbst wenn sie von dir.company.com oder der Partner AD als vertrauensw\u00fcrdig eingestuft wird. Die einzige m\u00f6gliche Ausnahme w\u00e4ren andere Dom\u00e4nen in derselben AD-Gesamtstruktur, wenn die Partner-Gesamtstruktur aus mehreren Dom\u00e4nen besteht und man einen Forest-Trust implementiert \u2013 der dann immer zur Root-Dom\u00e4ne gehen muss.<\/p>

Von Microsoft gibt es hier ein Blog mit allgemeinen \u00dcberlegungen zu Vertrauensstellungen: https:\/\/techcommunity.microsoft.com\/t5\/core-infrastructure-and-security\/top-ten-issues-with-active-directory-trusts-and-corporate\/ba-p\/258968<\/a><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

2. Allgemeine Richtlinien zu Active Directory Trusts<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Um allgemeine Risiken zu vermeiden, die durch Trusts (Vertrauensbeziehungen) entstehen, empfiehlt es sich die folgenden allgemeinen Richtlinien f\u00fcr AD-Trusts in dir.company.com zu definieren:<\/p>