Tammy Mindel

Oktober ist der Monat des Bewusstseins für Cybersicherheit und ein hervorragender Zeitpunkt, um die Geister der vergangenen Konfigurationen zu vertreiben. Eine der Maßnahmen, die die Cybersecurity & Infrastructure Security Agency (CISA) und die National Cybersecurity Alliance (NCA) empfehlen, ist "Aktualisieren Sie Ihre Software". Ein perfekter Anfang: Entfernen Sie das veraltete SYSVOL-Replikationsprotokoll File Replication Service (FRS) aus Ihren Domänen.

Verwandte Lektüre

Es war einmal eine Zeit...

SYSVOL ist ein spezielles Verzeichnis, das sich auf jedem Domänencontroller (DC) innerhalb einer Domäne befindet. Das Verzeichnis umfasst Ordner, in denen Gruppenrichtlinienobjekte (GPOs) und Anmeldeskripte gespeichert sind, auf die Clients zugreifen und die zwischen DCs synchronisiert werden müssen.

Damit diese Anmeldeskripte und GPOs ordnungsgemäß funktionieren, sollte SYSVOL in der gesamten Domäne genau und schnell kopiert werden. Dieser als SYSVOL-Replikation bezeichnete Prozess gewährleistet die identische Duplizierung der relevanten Richtlinien einer Domäne auf einen anderen DC in dieser Domäne.

Wie erfolgt also die SYSVOL-Replikation?

Anfangs, mit Windows 2000 Server, wurde die Replikation durch das FRS-Protokoll abgewickelt. FRS ersetzte den LAN Manager Replikationsdienst von Windows NT Server. Microsoft hat FRS jedoch in Windows Server 2008 abgeschafft. An seiner Stelle verwaltet nun das DFS-Protokoll (Distributed File System) die SYSVOL-Replikationen. DFS Replication (DFSR) verbessert die Replikationsleistung, Zuverlässigkeit und Cybersicherheit.

Das Problem? Obwohl er durch den neueren, besser funktionierenden DFSR ersetzt wurde, wird FRS immer noch häufig verwendet, insbesondere in Domänen, die irgendwann einmal einen Windows Server 2003 DC hatten. Aber da FRS veraltet ist, werden keine Fehler- oder Sicherheitsbehebungen mehr vorgenommen.

Das könnte für Umgebungen, in denen FRS noch im Einsatz ist, ein großes Problem darstellen. Die fortgesetzte Verwendung eines alten Protokolls für die Verbindung mit DCs ist riskant. Möglicherweise können Angreifer FRS-Schwachstellen ausnutzen, um SYSVOL zu kompromittieren und GPOs oder Anmeldeskripte zu ändern, um Malware zu verbreiten und sich seitlich in der Umgebung zu bewegen. In der Tat eine gruselige Sache.

FRS-Replikation abschaffen

Stellen Sie zunächst fest, ob FRS auf einem DC noch in Gebrauch ist.

  1. Suchen Sie den Registrierungsunterschlüssel HKEY_LOCAL_MACHINESystemCurrentControlSetServicesDFSRParametersSysVolsMigrating SysvolsLocalState.
  2. Prüfen Sie den Wert des Unterschlüssels.
    • Ein Wert von "3" zeigt an, dass DFSR verwendet wird.
    • Ein anderer Wert oder ein fehlender Unterschlüssel weist darauf hin, dass FRS noch in Gebrauch ist.
  3. Weitere Informationen finden Sie in dem Microsoft-Artikel "Sichern und Wiederherstellen eines FRS-replizierten SYSVOL-Ordners".

Wenn Sie feststellen, dass FRS auf einem DC verwendet wird, migrieren Sie zu DFSR und deaktivieren Sie FRS so schnell wie möglich. Der Migrationsprozess wird den Replikationsprozess aktualisieren und damit verbundene Probleme in Ihrer Umgebung beheben.

Eine ausführliche Anleitung für die Migration von FRS zu DFSR finden Sie in dem Microsoft-Artikel "Migrate SYSVOL Replication to DFS Replication" oder im SYSVOL Replication Migration Guide, den Sie bei Microsoft herunterladen können.

Mehr erfahren