Sean Deuby

Innerhalb Ihrer IT-Infrastruktur ist Active Directory (AD) der zentrale Knotenpunkt für die Kontrolle des Zugriffs auf Ressourcen und die Aufrechterhaltung des Betriebs Ihres Unternehmens. Die Bedeutung von Active Directory für Ihr Unternehmen bringt es jedoch in das Fadenkreuz von Bedrohungsakteuren. Wenn Active Directory erfolgreich angegriffen wird, können Angreifer in die Hände von privilegierten Zugangsdaten gelangen und möglicherweise die Sicherheit von Unternehmensdaten gefährden oder Anwendungen beeinträchtigen. Die Implementierung von Best Practices für die Sicherheit von Active Directory ist daher ein wichtiger Bestandteil der Planung einer digitalen Sicherheitsstrategie.

Was sind die besten Praktiken für die Sicherheit von Active Directory?

Active Directory zu schützen bedeutet, Cyber-Angreifern das Leben so schwer wie möglich zu machen. Diese 12 Best Practices für die Sicherheit von Active Directory können dazu beitragen, das Risiko von Sicherheitsverletzungen zu verringern und Ihre Cyber-Resilienz zu erhöhen. Das Ziel: Reduzieren Sie die Angriffsfläche, um Ihre Active Directory-Umgebung zu schützen und zu härten.

  1. Behalten Sie eine minimale Anzahl von privilegierten Benutzern bei.
  2. Verwenden Sie Gruppen, um Privilegien zu vergeben.
  3. Sichere Konten mit Administratorrechten.
  4. Setzen Sie moderne Passwortrichtlinien durch.
  5. Erzwingen Sie sichere Passwörter für Dienstkonten.
  6. Führen Sie regelmäßige Überprüfungen durch, um Verstöße gegen die Passwortrichtlinien aufzudecken.
  7. Deaktivieren Sie den Druckspooler-Dienst.
  8. Deaktivieren Sie Server Message Block v1 (SMBv1) und beschränken Sie New Technology LAN Manager (NTLM).
  9. Beschränken Sie den Zugriff auf Domänencontroller (DCs).
  10. Planen Sie die Wiederherstellung von Active Directory.
  11. Verwenden Sie die SID-Filterung für alle Forest Trusts.
  12. Überwachen Sie Active Directory auf verdächtige Aktivitäten und unsichere Konfigurationen.

Sind Sie bereit anzufangen?

1. Behalten Sie eine minimale Anzahl von privilegierten Benutzern bei

Benutzer mit übermäßigen Privilegien stellen eine direkte Herausforderung für die Sicherheit und die Einhaltung gesetzlicher Vorschriften dar. Wenn sie kompromittiert werden, können diese Konten Angreifern die Möglichkeit geben, in Ihrer Umgebung Fuß zu fassen. Die Verwaltung privilegierter Benutzer ist ein wichtiger Teil der gesamten Active Directory-Verwaltung, kann aber auch zeitaufwändig sein. In großen Unternehmen gibt es möglicherweise Hunderte von Konten in privilegierten Gruppen.

Einige Konten könnten übermäßig viele Berechtigungen erhalten haben, um neue Anwendungen schnell zum Laufen zu bringen. Andere haben vielleicht Rechte geerbt, die sie nicht mehr benötigen. Wenn Sie für die Vergabe von Zugriffsrechten verantwortlich sind, müssen Sie das Prinzip der geringsten Rechte verstehen und es anwenden, um zu bestimmen, welche Rechte jeder Benutzer oder jede Gruppe benötigt, um seine/ihre Arbeit effektiv zu erledigen.

Beginnen Sie damit, die folgenden Gruppen zu überprüfen, um sicherzustellen, dass jedes Mitglied einen legitimen Grund hat, dabei zu sein:

  • Unternehmens-Admins
  • Schema-Administratoren
  • Domain-Administratoren
  • Kontobetreiber (falls zutreffend)
  • Server-Betreiber (falls zutreffend)
  • Print Operators (falls zutreffend)
  • DHCP-Administratoren
  • DNSAdmins

2. Verwenden Sie Gruppen, um Privilegien zu vergeben

Die Nutzung von Gruppen vereinfacht die Vergabe von Berechtigungen an Benutzer. Anstatt die Berechtigungen einzeln zu verwalten (was zu Fehlern führen kann), organisieren Sie die Benutzer in Gruppen und weisen diesen Gruppen dann die entsprechenden Berechtigungen zu.

Eine Sammlung von Benutzern kann eine Geschäftseinheit oder ein internes Team repräsentieren, in dem die Benutzer identische Anforderungen an die Zugriffsrechte haben. Die Festlegung, wer zu den einzelnen Gruppen gehören soll (z.B. wer als Domain Admin oder Schema Admin fungiert) und welche Rechte diese Gruppen haben sollen, erfordert die Kommunikation zwischen dem Active Directory-Verwaltungsteam und den Unternehmensbeteiligten.

3. Sichere Konten mit Administrator-Rechten

Wenn eine Domäne in Active Directory erstellt wird, wird das lokale Administratorkonto zum Administrator-Domänenkonto und zu einem Standardmitglied der Gruppen Domain Admins und Administrators der Domäne. Wenn die Domäne die Stammdomäne der Gesamtstruktur ist, wird das Konto auch Mitglied der Gruppe Enterprise Admins.

Um dieses Konto zu schützen, empfiehlt Microsoft, das Kennzeichen "Konto ist sensibel und kann nicht delegiert werden" zu setzen. Stellen Sie außerdem sicher, dass die Gruppenrichtlinienobjekte (GPOs) so konfiguriert sind, dass die Verwendung der Konten Domänenadministrator und integrierter Administrator auf domänenverbundenen Systemen eingeschränkt wird. Sperren Sie diese Konten insbesondere für:

  • Zugriff auf Server und Workstations von Mitgliedern
  • Anmeldung als Batch-Job
  • Anmeldung als Dienst
  • Zugriff auf Mitgliedsserver und Workstations mit Remote Desktop Services

4. Moderne Passwortrichtlinien durchsetzen

Im Mittelpunkt eines jeden Angriffs auf ein Unternehmen oder eines Sicherheitsverstoßes steht oft ein gestohlenes Passwort. Diese Zugangsdaten werden nicht nur für den Erstzugriff verwendet, sondern können von den Angreifern auch dazu genutzt werden, sich in der kompromittierten Umgebung weiterzuentwickeln.

Aus diesem Grund ist die Passwortsicherheit von größter Bedeutung. Die Erfahrung bei großen Cloud-Service-Anbietern hat jedoch gezeigt, dass herkömmliche Passwortrichtlinien gegen moderne Angriffe unzureichend sind. Das NIST und andere große Organisationen haben ihre Passwortrichtlinien aktualisiert, um dieser Tatsache Rechnung zu tragen.

Brute-Force-Angriffe auf Internet-Dienste haben an Bedeutung verloren. An ihre Stelle sind Passwort-Spray-Angriffe getreten, bei denen bekannte, gängige Passwörter gegen viele Benutzer in einem Unternehmen ausprobiert werden. Solche Angriffe sind inzwischen weit verbreitet und oft erfolgreich. Passwort-Spray-Angriffe nutzen die Tendenz der Benutzer aus, Passwörter zu erstellen, die leicht zu merken und leicht zu erraten sind.

Eine bessere Strategie ist es, sich zunächst darauf zu konzentrieren, gängige Passwörter aus Active Directory zu entfernen. Dies kann mit Passwortfiltern von Drittanbietern oder mit Microsoft Azure AD Password Protection erreicht werden.

Der zweite Schritt zu einer sicheren Kennwortrichtlinie ist die Erkenntnis, dass die Erzwingung von Komplexität zu Kennwörtern führen kann, die sich Benutzer nicht merken können, und zu leicht erkennbaren Mustern, die Angreifer schnell knacken können. Fördern Sie stattdessen die Länge von Passwörtern oder Passphrasen und fügen Sie Zahlen und Sonderzeichen hinzu, so dass Passwörter entstehen, die für Benutzer leicht zu merken, für Angreifer aber schwer zu erraten sind.

Das Passwort Implicate-Research1-Uncooked zum Beispiel kann man sich leicht merken, aber (laut dem Bitwarden Passwortstärke-Tool) würde es Jahrhunderte dauern, es zu knacken. Sowohl Online-Quellen als auch die wichtigsten Passwort-Manager enthalten Dienstprogramme zur Generierung von Passphrasen. Ein Benutzer kann einfach so lange Passwörter generieren, bis er ein Passwort findet, das er sich merken kann.

Schließlich wird davon abgeraten, den Ablauf von Passwörtern zu verlangen. Die Erfahrung hat gezeigt, dass die Rotation Benutzer in leicht zu knackende Passwortmuster zwingt. Wenn in ein Unternehmen eingebrochen wurde oder die Anmeldedaten eines Benutzers kompromittiert wurden, sollten die Passwörter aktualisiert werden. Andernfalls sollten Sie sie in Ruhe lassen.

Führen Sie alle diese Kontrollen gleichzeitig ein: Verbot häufiger Passwörter, Verringerung der Komplexität, Erhöhung der Länge und Deaktivierung des Ablaufs von Passwörtern. Andernfalls riskieren Sie die Erstellung von leicht zu knackenden Passwörtern.

Eine weitere gute Praxis: Nutzen Sie die Funktion der fein abgestuften Kennwortrichtlinien. Obwohl Administratoren die Standard-Domänenrichtlinie verwenden können, um eine einzige Kennwortrichtlinie für alle Domänenmitglieder festzulegen, können Administratoren mit fein abgestuften Kennwortrichtlinien strengere Kennwörter für einzelne Benutzer und globale Gruppen festlegen.

5. Erzwingen Sie sichere Passwörter für Dienstkonten

Kerberoasting ist die häufigste Methode, ein privilegiertes Konto zu kompromittieren und die Kontrolle über einen Active Directory-Server zu erlangen. Kerberoasting-Angriffe sind auf dem Vormarsch und haben Schätzungen zufolge seit Anfang 2022 um mehr als 500% zugenommen.

Bei dieser Technik verschafft sich ein Angreifer zunächst durch Phishing oder eine andere Methode Zugang zu einem normalen Benutzer. Mit diesem Zugang kann der Angreifer leicht eine Liste von Dienstkonten erhalten, indem er die Dienstprinzipalnamen (SPNs) in Active Directory aufzählt.

Als nächstes vergleicht der Angreifer diese Konten mit Mitgliedschaften in privilegierten Gruppen, um eine Liste privilegierter Dienstkonten zu erhalten. Der Angreifer fordert dann ein Kerberos-Service-Ticket von einem dieser privilegierten Konten an. Dieses Ticket ist mit dem Passwort-Hash des Dienstkontos verschlüsselt, den der Angreifer normalerweise offline knacken kann.

Mit dem geknackten Passwort-Hash für das Dienstkonto kann der Angreifer schnell die Kontrolle über Active Directory erlangen. Ein erfolgreicher Kerberoasting-Angriff kann eine Active Directory-Umgebung innerhalb von Minuten kompromittieren.

Die einzige Möglichkeit, einen Kerberoasting-Angriff zu bekämpfen, besteht darin, die Passwörter für Dienstkonten extrem schwer zu knacken:

  • Verwenden Sie ein Minimum von 25 Zeichen.
  • Verwenden Sie einen Passwort-Generator, um ein langes, komplexes, hoch entropisches Passwort zu erstellen und es in einem Passwort-Tresor zu speichern.
  • Erwägen Sie die Verwendung eines gMSA-Kontos (group managed service account), das automatisch komplexe Passwörter rotiert. (Vergewissern Sie sich jedoch zunächst, dass Sie mit den potenziellen Schwachstellen im Zusammenhang mit gMSAs vertraut sind).

6. Führen Sie regelmäßige Überprüfungen durch, um Verstöße gegen die Passwortrichtlinien aufzudecken.

Eine regelmäßige Überprüfung der Kennwortrichtlinien und -einstellungen kann dazu beitragen, Probleme zu erkennen, die Active Directory für Angriffe anfällig machen können. Untersuchen Sie beispielsweise alle Konten, bei denen das Flag PASSWD_NOTREQD gesetzt ist. Untersuchen Sie außerdem Konten, die so eingestellt sind, dass sie anonymen Zugriff auf Active Directory ermöglichen, so dass nicht authentifizierte Benutzer Active Directory abfragen können.

7. Deaktivieren Sie den Druckspooler-Dienst

Der Print Spooler-Dienst verwaltet Druckvorgänge und wird standardmäßig auf Windows-Clients und -Servern ausgeführt. Obwohl das oberflächlich betrachtet in Ordnung zu sein scheint, kann sich jeder authentifizierte Benutzer per Fernzugriff mit dem Dienst verbinden, eine Aktualisierung neuer Aufträge anfordern und den DC anweisen, die Benachrichtigung an das System mit uneingeschränkter Delegation zu senden. Dadurch werden die Anmeldedaten des Computerkontos des DC offengelegt. Aufgrund dieses Risikos ist es am besten, den Dienst auf allen DCs zu deaktivieren.

8. Deaktivieren Sie SMBv1 und beschränken Sie NTLM

DCs, die das SMBv1-Protokoll aktivieren, sind ebenfalls gefährdet. Microsoft hat SMBv1, das für zahlreiche Angriffe anfällig ist, im Jahr 2014 abgelehnt und empfiehlt, es zu deaktivieren.

Schränken Sie auch die Verwendung von NTLM ein. Viele Unternehmen zögern mit der Deaktivierung von NTLM aufgrund der Auswirkungen, die diese Maßnahme haben kann. IT-Verantwortliche sollten jedoch in Erwägung ziehen, die Verwendung von NTLM so weit wie möglich einzuschränken.

9. Beschränken Sie den Zugriff auf Domänencontroller

Unternehmen sollten den Zugang zu Domänencontrollern einschränken, um die Gefahr zu verringern, dass der DC durch Malware kompromittiert wird:

  • Das Surfen im Internet sollte auf dem DC nicht erlaubt sein.
  • GPOs, die mit allen DC-Organisationseinheiten in einem Forest verknüpft sind, sollten so eingestellt werden, dass nur RDP-Verbindungen (Remote Desktop Protocol) von autorisierten Benutzern und Systemen zugelassen werden.

10. Planen Sie die Wiederherstellung von Active Directory

Die Erstellung eines umfassenden, detaillierten Active Directory-Wiederherstellungsplans ist ein entscheidender Bestandteil der Entwicklung von Cyber-Resilienz. Unternehmen sollten mindestens zwei DCs pro Domäne, einschließlich der Stammdomäne, sichern. Diese Backups sollten offline gehalten werden, um zu verhindern, dass sie von Malware infiziert werden.

11. SID-Filterung für alle Forest Trusts verwenden

Um die Bedeutung der SID-Filterung für die Sicherheit zu verstehen, sollten Sie bedenken, wie die Active Directory-Zugriffskontrolle zwischen Forests verwaltet wird.

Ein Forest Trust verbindet zwei Active Directory Forests, damit Benutzer in einem Forest auf Ressourcen im anderen zugreifen können. Forest Trusts sind für die Aufrechterhaltung des Zugriffs in einer Organisation mit mehreren Forests unerlässlich. In einem häufigen Szenario greifen Benutzer in einer zentralisierten Kontoverwaltung auf Anwendungen (wie Dateiserver oder SharePoint-Server) in einer oder mehreren Ressourcenverwaltungen zu.

Jeder Benutzer, jede Gruppe und jeder Computer (bekannt als Sicherheitsprinzipale) in einer Active Directory-Domäne und -Gruppe hat eine eindeutige Sicherheitskennung (SID). Diese Kennung wird im Zugriffstoken des Benutzers verwendet, um mithilfe von Zugriffskontrolllisten (ACLs) Zugriff auf Ressourcen in der gesamten Gesamtstruktur zu gewähren.

Als ich bei Intel die Beta-Versionen von Active Directory testete, stieß ich auf ein SID-bezogenes Problem: Wenn wir einen Benutzer in eine neue Active Directory-Gesamtstruktur migrierten, verlor der Benutzer den Zugriff auf die Ressourcen seiner ursprünglichen Gesamtstruktur. Dies geschah, weil die SID, die einem Benutzer in der neuen Gesamtstruktur zugewiesen wurde, sich von der ursprünglichen SID des Benutzers unterschied. Dadurch verlor der Benutzer die Berechtigung zum Zugriff auf die Ressource.

Steve Grobman (jetzt CTO von McAfee) schlug Microsoft die Idee eines Attributs vor, das die ursprüngliche SID aus dem Quellforest enthält und so den Zugriff auf die ursprünglichen Ressourcen bewahrt. Microsoft akzeptierte diese Änderungsanforderung und das sIDHistory-Attribut war geboren. Während eines Active Directory-Migrations- oder Konsolidierungsprojekts ist sIDHistory unerlässlich, um den Zugriff der Benutzer auf Ressourcen in der Quell-Organisation aufrechtzuerhalten, wenn der Benutzer in die Ziel-Organisation migriert wurde, die Ressourcen jedoch nicht.

Sobald das Migrations- oder Konsolidierungsprojekt jedoch abgeschlossen ist, sollte sIDHistory entfernt werden. Ein Bedrohungsakteur mit erhöhten Rechten könnte sIDHistory nutzen, um eine SID aus einer vertrauenswürdigen Domäne zu kopieren (z.B. die SID eines Mitglieds der Gruppe Domain Admins) und sie zum sIDHistory-Attribut eines Sicherheitsprinzipals in der vertrauenswürdigen Domäne hinzuzufügen.

An dieser Stelle kommt die SID-Filterung ins Spiel. Er entfernt alle fremden (d.h. nicht die lokale Domäne) SIDs aus dem Zugriffstoken des Benutzers und verhindert so diesen Eskalationsangriff. Die SID-Filterung sollte für alle Forest Trusts aktiviert werden, es sei denn, es findet gerade eine Migration oder Konsolidierung statt.

Meiner Erfahrung nach enden die meisten Migrations- und Konsolidierungsprojekte leider nie wirklich. Sie laufen einfach in der schwierigeren Phase der Anwendungsmigration aus, und der SID-Verlauf bleibt aktiviert, damit die Benutzer weiterhin auf ihre ursprünglichen Ressourcen zugreifen können.

Beachten Sie, dass bestimmte Konfigurationsfehler die Wirksamkeit der SID-Filterung beeinträchtigen können. Zum Beispiel:

  • Ausgehende Forest-Trusts, bei denen das Flag TRUST_ATTRIBUTE_TREAT_AS_EXTERNAL auf true gesetzt ist, behandeln einen forstübergreifenden Trust zu einer Domäne als externen Trust und lockern die strengere Filterung, die bei forstübergreifenden Trusts durchgeführt wird.
  • Trusts, bei denen entweder das Attribut TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION oder TRUST_ATTRIBUTE_ PIM_TRUST gesetzt ist, erlauben die Delegierung eines Kerberos-Tickets, wodurch der Schutz, den die SID-Filterung bietet, verringert wird.

12. Überwachen Sie Active Directory auf verdächtige Aktivitäten und unsichere Konfigurationen

Angreifer nutzen häufig Konfigurationen aus, die es ihnen ermöglichen, ihre Privilegien schnell zu erweitern und unentdeckt in Ihrer Umgebung zu bleiben. Prüfen und überwachen Sie daher regelmäßig die Zugriffsrechte auf Anzeichen dafür, dass ein Angriff im Gange ist oder dass Ihr Unternehmen anfällig für Angriffe ist.

Einige Objekte, wie z.B. das AdminSDHolder-Objekt , werden selten rechtmäßig geändert. Das AdminSDHolder-Objekt dient als Vorlage für Berechtigungen für geschützte Gruppen und Konten in einer Domäne. Wenn die Vererbung aktiviert ist, könnte ein Angreifer versuchen, die Berechtigungen für privilegierte Objekte zu ändern, die von AdminSDHolder kontrolliert werden.

Die Administratoren sollten wissen, dass eine Änderung vorgenommen wurde und den Grund für die Änderung angeben können. Wenn die Änderung unbeabsichtigt war, ist die Wahrscheinlichkeit einer Kompromittierung hoch. Die Überwachung dieser Art von Aktivitäten ist entscheidend, um Angriffe schnell zu erkennen und zu verhindern, dass Einstellungen ausgenutzt werden.

Wie Semperis Ihnen helfen kann, Active Directory zu sichern

Semperis bietet Lösungen zur Bewertung der Sicherheit von Active Directory und zur Wiederherstellung an, um Ihre Bemühungen zu unterstützen.

Der Schutz von Active Directory kann wie eine monumentale Aufgabe erscheinen. Indem Sie bewährte Verfahren für die Sicherheit von Active Directory anwenden, können Sie den Schwierigkeitsgrad für Angreifer erhöhen und die allgemeine Sicherheitslage Ihrer Umgebung verbessern.