Definition

Windows Verzeichnisdienst-Wiederherstellungsmodus

Was ist der Verzeichnisdienst-Wiederherstellungsmodus?

Der Verzeichnisdienst-Wiederherstellungsmodus (Directory Service Restore Mode, DSRM) ist eine sichere Boot-Option für Windows-Server-Domänencontroller. DSRM ermöglicht es einem Administrator, eine Active-Directory-Datenbank zu reparieren oder wiederherzustellen. Wenn ein Domänencontroller im DSRM neu gestartet wird, wird er offline geschaltet, so dass er nur noch wie ein normaler Server funktioniert.

DSRM ist vergleichbar mit dem abgesicherten Modus des Windows-Betriebssystems. Er ist jedoch nur bei Windows Server-Domänencontrollern verfügbar. Der DSRM-Modus ist in diesen Versionen von Windows Server verfügbar:

Der Hauptzweck von DSRM besteht darin, Systemadministratoren dabei zu helfen, sich beim System anzumelden, um eine Active-Directory-Datenbank zu reparieren. Administratoren müssen ein lokales DSRM-Administratorkonto mit einem Kennwort erstellen, um DSRM zu verwenden. Sie verwenden dieses Konto, wenn sie sich bei einem Domänencontroller mit DSRM anmelden – beim Hochfahren des Servers – und um Active-Directory-Backups nach einem Systemfehler oder -ausfall wiederherzustellen. Während der Bereitstellung eines Domänencontrollers ändert sich das Kennwort des Administratorkontos nur selten. Es kann jedoch für jeden Server in der Domäne zurückgesetzt werden, ohne den Server mit dem Tool NTDSUtil neu zu starten.

DSRM versus abgesicherter Modus

Für einen Windows-Server-Domänencontroller ist DSRM nicht dasselbe wie der abgesicherte Modus. Wenn der Controller versucht, im abgesicherten Modus zu starten und dies nicht möglich ist, wird DSRM verwendet. Im Allgemeinen ist DSRM nur dann erforderlich, wenn das Active Directory (AD) beschädigt ist und es einem Administrator nicht mehr möglich istt, sich mit seinen regulären AD-Anmeldedaten anzumelden. In solchen Situationen kann das AD nicht normal gebootet werden, so dass DSRM erforderlich ist, insbesondere wenn eine Wiederherstellung AD-Domänen- oder forest-übergreifend durchgeführt wird.

Anmeldungsverfahren für ein DSRM-Administratorkonto

Administratoren müssen sich beim DSRM-Administratorkonto anmelden, um einen Domänencontroller in DSRM neu zu starten. Der Prozess besteht aus diesen Schritten:

1. Booten Sie DSRM und klicken Sie auf Benutzer wechseln / Anderer Benutzer.

2. Geben Sie als Anmeldekontonamen .\Administrator ein.

3. Setzen Sie das DSRM-Kennwort für das .\Administrator-Konto mit dem Kommandozeilen-Tool NTDSUtil zurück.

4. Wenn der AD-Server nicht funktioniert, setzen Sie das DSRM-Passwort mit dem Tool zur Wiederherstellung verlorener Passwörter zurück.

Möglicherweise zeigt die erste Anmeldeaufforderung den Kontonamen MyDomain\Administrator an, wenn Sie sich bei dem DSRM-Konto anmelden. Das funktioniert jedoch nicht: Zunächst muss der Admin-Benutzer auf Benutzer wechseln klicken und den Namen .\Administrator manuell eingeben.

Auch durch wiederholtes Drücken der Taste F8 nach dem BIOS-Selbsttestbildschirm und vor dem Erscheinen des Windows-Logos ist manuelles Booten in DSRM möglich. Dadurch wird ein Textmenü mit erweiterten Bootoptionen geöffnet, wie Directory Services Restore Mode oder DS Restore Mode. Admins wählen die Option aus und drücken die Eingabetaste, um DSRM zu starten.

Nutzen und Beschränkungen von Domänencontrollern
Abbildung 1: Domänencontroller helfen Organisationen, die Authentifizierung und Autorisierung des Netzwerkzugriffs zu schützen. Sie sind ein beliebtes Ziel von Angriffen.

Zurücksetzungsverfahren des DSRM-Administratorkennworts in Windows Server

Bei der Installation von AD auf Windows Server und während des Heraufstufungsprozesses für den Domänencontroller fordert der Installationsassistent den Administrator auf, ein DSRM-Kennwort zu wählen. Falls später etwas schief geht, bietet dieses Kennwort dem Administrator eine Hintertür zur Datenbank. Auch für die Durchführung von Wartungs- und Wiederherstellungsaufgaben in DSRM ist das Kennwort wichtig. Es bietet jedoch keinen Zugriff auf die Domäne oder auf die Dienste.

Administratoren können das DSRM-Passwort mit dem Kommandozeilen-Tool NTDSUtil ändern, wenn sie es vergessen oder verlieren. Das Tool ist in das Dienstprogramm Setpwd integriert, das seit Windows 2000 Bestandteil von Microsoft Windows ist. Das Zurücksetzungsverfahren des DSRM-Administratorkennworts in Windows Server funktioniert wie folgt:

  • Klicken Sie auf Start / Ausführen, geben Sie NTDSUtil ein und klicken Sie dann auf OK.
  • In der NTDSUtil-Eingabeaufforderung geben Sie set dsrm password ein.
  • Entweder geben Sie in der DSRM-Eingabeaufforderung reset password on server null ein, um das Kennwort auf dem aktuellen Server zurückzusetzen, oder reset password on server servername, um das Kennwort auf einem anderen Server zurückzusetzen.
  • Geben Sie das neue Passwort ein.
  • In der DSRM-Eingabeaufforderung geben Sie q ein.
  • In der Ntdsutil-Eingabeaufforderung geben Sie erneut q ein, um das Programm zu beenden.

Das DSRM-Kennwort kann für den Server, an dem der Administrator gerade arbeitet, oder für einen anderen Domänencontroller in der Domäne zurückgesetzt werden. Jedes Mal, wenn das Kennwort geändert wird, wird eine Windows-Ereignis-ID (4794) generiert. Andere autorisierte Administratoren sehen diese Versuche und können feststellen, ob ein Versuch von einem Nicht-Administrator oder einem böswilligen Benutzer unternommen wurde.

Sicherheitsrisiken von DSRM

Das Kennwort für das DSRM-Administratorkonto kann von böswilligen Eindringlingen ausgenutzt werden, was ein großes Sicherheitsrisiko für Unternehmen darstellt. Beispielsweise um eine permanente Hintertür in den Domänencontroller zu erstellen, können Bedrohungsakteure das Kennwort verwenden. Diese Hintertür ermöglicht es ihnen, im Unternehmensnetzwerk zu verbleiben und jederzeit auf AD zuzugreifen, um Zugang zu sensiblen Ressourcen und Daten zu erhalten. Indem sie die Funktion Local Loop Multicast Resolution in Windows nutzen, können sie auch Anmeldeinformationen aus dem AD stehlen, privilegierte Dienstkonten manipulieren und Datenverkehrspakete abfangen.

In einigen Fällen sind Hacker auch in der Lage, Hashwerte von privilegierten Konten zu stehlen oder ihre Berechtigungen erhöhen, indem sie offene Schwachstellen ausnutzen oder durch Social Engineering. Vergessene, verlorene oder voreingestellte Kennwörter für DSRM-Administratorkonten erhöhen auch das Risiko von Malware-Angriffen, Lightweight-Directory-Access-Protocol-Aufklärung und sogar Domänendominanz. Ein ungehinderter Zugriff auf das Active Directory kann es Angreifern auch ermöglichen, den Backup-Prozess der Organisation zu kompromittieren und alle AD-Daten aus der ntds.dit-Datei zu extrahieren.

Admin-Benutzer müssen ihre DSRM-Kontopasswörtern regelmäßig aktualisieren, um diese Risiken zu vermeiden. Sie dürfen darüber hinaus keine Standardpasswörter verwenden. Es ist auch wichtig, eindeutige Kontopasswörter für jeden Domänencontroller festzulegen.

Die folgenden Sicherheitspraktiken sind bewährt zum Schutz von DSRM-Administratorkontopasswörtern:

  • Setzen Sie in der Registrierung den Wert des Registrierungsschlüssels auf HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior auf 1.
  • Stellen Sie in der Registrierung sicher, dass der Wert des Registrierungsschlüssel HKLM\System\CurrentControlSet\Control\Lsa\DsrmADminLogonBehavior nicht auf 2 gesetzt ist.
  • Überwachen Sie die Windows-Ereignis-ID 4794 und legen Sie Warnungen fest, um Administratoren zu benachrichtigen, wenn sie auftreten.
Diese Definition wurde zuletzt im Dezember 2023 aktualisiert

Erfahren Sie mehr über Serverbetriebssysteme