Was ist Active Directory Sicherheit?

Mehr als 20 Jahre nach seiner Einführung ist die Sicherheit von Microsoft Active Directory nach wie vor unverzichtbar, um die Verfügbarkeit von Unternehmen zu gewährleisten und sich auf das Endergebnis zu konzentrieren. In diesem Beitrag erfahren Sie, was für die Sicherheit von Active Directory erforderlich ist und welche Best Practices Ihnen helfen können, Angreifern einen Schritt voraus zu sein.

Was ist Active Directory Sicherheit?

Im Kern geht es bei der Sicherheit von Active Directory darum, legitime Benutzer in die Lage zu versetzen, sich im Netzwerk zu authentifizieren und auf die von ihnen benötigten Anwendungen und Daten zuzugreifen, während sie gleichzeitig vor Personen geschützt werden, die versuchen, auf Ressourcen zuzugreifen oder Privilegien zu erhalten, für die sie nicht autorisiert sind.

Active Directory ist der "Schlüssel zum Königreich", denn es steuert die Authentifizierung und Autorisierung für die meisten Anwendungen und Daten eines Unternehmens vor Ort. Daher ist die Sicherheit von Active Directory eine entscheidende Priorität für Ihr Unternehmen.

Was sind die größten Risiken, Schwachstellen, Gefährdungen und Bedrohungen für die Sicherheit von Active Directory?

Die Verwaltung von Active Directory kann sehr komplex sein. Doch angesichts des Zwecks von Active Directory ist die Sicherheit von größter Bedeutung. Konfigurationsfehler, Benutzer mit zu vielen Berechtigungen und ungepatchte Sicherheitslücken können dazu beitragen, dass Cyberangreifer Active Directory ausnutzen können.

Active Directory ist häufig ein Ziel für Cyberkriminelle, die versuchen, ihre Privilegien zu erhöhen, um in ein kompromittiertes Netzwerk einzudringen. Ein Beispiel für diese Art von Aktivitäten ist die CL0P Ransomware-Bande, die Cobalt Strike verwendet, um den Netzwerkzugang zu erweitern, nachdem sie Zugang zu einem Active Directory-Server erhalten hat.

So wie die Kompromittierung von Active Directory für Angreifer oberste Priorität hat, sobald sie in Ihr Netzwerk eingedrungen sind, muss auch die Sicherung von Active Directory für Unternehmen eine Priorität sein. Die Absicherung von Active Directory beginnt mit dem Verständnis Ihrer Umgebung und der Art und Weise, wie Bedrohungsakteure sie angreifen. Im Folgenden finden Sie einige wichtige Konfigurations- und Sicherheitsprobleme, die sich negativ auf Active Directory auswirken und das Risiko eines Cyberangriffs erhöhen.

Uneingeschränkte Kerberos-Delegation

Bedrohungsakteure nutzen die uneingeschränkte Delegation aus, um ihre Position in der Zielumgebung zu stärken. Der Missbrauch dieser Einstellung ist ein weiteres Beispiel dafür, dass Angreifer legitime Funktionen für bösartige Zwecke nutzen. In Active Directory ermöglicht die Delegation einem Computer, die Kerberos-Authentifizierungstickets eines Benutzers zu speichern und diese Tickets dann zu nutzen, um sich als dieser Benutzer auszugeben und in seinem Namen zu handeln. Wenn die uneingeschränkte Delegation aktiviert ist, kann sich ein Angreifer als legitimer Benutzer ausgeben und unerkannt auf Ressourcen zugreifen.

Eine hohe Anzahl von Benutzern in privilegierten Gruppen

Es ist nicht ungewöhnlich, dass Konten über mehr Berechtigungen verfügen, als notwendig sind. Ein Benutzer könnte zum Beispiel die Rolle wechseln und eine neue Reihe von Berechtigungen erhalten, ohne dass die alten, nicht mehr benötigten Berechtigungen entzogen werden. Oder die Gewährung übermäßiger Privilegien für einen Benutzer könnte als schnelle Möglichkeit angesehen werden, eine Anwendung zum Laufen zu bringen. Wenn diese Benutzer zu privilegierten Gruppen hinzugefügt werden, erhöht sich das Risiko für das Unternehmen, wenn sie kompromittiert werden, da jedes Konto für Angreifer, die sich seitlich in der Umgebung bewegen wollen, einen potenziellen Weg zur Privilegienerweiterung darstellt. Es besteht auch die Möglichkeit, dass ein legitimer Benutzer versehentlich unbefugte Änderungen an Active Directory vornimmt, die sich auf die Sicherheit und die Einhaltung von Vorschriften auswirken.

Dienstkonten mit erhöhten Rechten

Bei Dienstkonten handelt es sich im Wesentlichen um Benutzerkonten, die in Anwendungen mit bestimmten Berechtigungen ausgestattet sind, die es ihnen ermöglichen, diese Dienste oder Anwendungen auszuführen. Manchmal werden diesen Konten jedoch Administratorrechte zugewiesen, die für potenzielle betriebliche Probleme nicht erforderlich sind, weil dies ein schneller Weg ist, um ansonsten zeitraubende Konfigurationsprobleme zu lösen. Die Tatsache, dass Dienstkonten oft schwache Passwörter haben, die nie ablaufen, erhöht das Risiko noch zusätzlich. Mit der Kerberoasting-Technik kann ein Bedrohungsakteur das schwache Kennwort für ein Dienstkonto innerhalb von Minuten in Erfahrung bringen - und wenn dieses Konto über erhöhte Rechte verfügt, die Kontrolle über Active Directory erlangen.

Schlechte Passwort- und Authentifizierungspraktiken

Das Versäumnis, sichere Passwortrichtlinien und -praktiken einzuführen, kann die beste Technologie zunichte machen. Schwache Passwörter können mit Brute-Force- und Wörterbuchangriffen geknackt werden. Gewöhnliche Passwörter können mit Passwort-Spray-Angriffen erraten werden. Auf der Grundlage von Erkenntnissen großer Cloud-Identitätsanbieter haben das NIST und andere Organisationen empfohlen, altbewährte Passwortrichtlinien zu ändern, z. B. Passwörter nicht ablaufen zu lassen, die Komplexität zu verringern und gleichzeitig die Länge zu erhöhen sowie häufige Passwörter zu verbieten.

Auch Konfigurationsfehler können Probleme verschlimmern. Die Einstellung Kennwort mit umkehrbarer Verschlüsselung speichern ist zum Beispiel notwendig, um ältere Anwendungen zu unterstützen, die Kennwörter im Klartext benötigen, um normal zu funktionieren. Da diese Kennwörter jedoch nicht gehasht, sondern umkehrbar sind, kann ein Angreifer, der die Verschlüsselung knackt, das Konto kapern. Jede Anwendung, die diese Einstellung noch benötigt, sollte längst ausgemustert werden - vor allem, wenn man das erhöhte Risiko für Active Directory bedenkt, das damit verbunden ist.

Benutzer mit Rechten zum Hinzufügen von Computern zu einer Domäne

Wenn ein Benutzer die Sicherheitseinstellung "Workstations zur Domäne hinzufügen" aktiviert hat, kann er standardmäßig bis zu 10 Computer zur Domäne hinzufügen. Das Problem dabei ist, dass ein Angreifer diese Möglichkeit nutzen kann, um Ihre Endpunkt-Sicherheitskontrollen zu umgehen. Jeder, der ein Computerkonto hinzufügt, wird automatisch zum Eigentümer dieses Computerobjekts.

Eine häufige Schwachstelle wird dadurch verursacht, dass Betreiber zukünftige Domänencontroller vor der Heraufstufung ihrer Active Directory-Domäne hinzufügen. Wenn der Besitz des Computerobjekts nicht übertragen wird, hat dieser Operator administrative Kontrolle über den Domänencontroller, sobald er befördert wurde. Diese Fähigkeit sollte auf bestimmte Konten beschränkt werden, die sie benötigen.

Beispiele für jüngste Verletzungen von Active Directory

Sie brauchen nicht lange zu suchen, um Beispiele für Active Directory-Verletzungen zu finden, die erheblichen Schaden angerichtet haben - mit schwerwiegenden Folgen für die betroffenen Unternehmen.

• Die Städte Dallas, Texas, und Oakland, Kalifornien, arbeiten beide seit Monaten an der Wiederherstellung von Cyberangriffen, die städtische Dienste beeinträchtigt haben.
• Der Londoner Barts Health NHS Trust, der mehr als 2 Millionen Patienten betreut, wurde Opfer eines BlackCat/ALPHV-Angriffs.
• Angriffe auf Schulbezirke im ganzen Land, einschließlich Minnesota, Colorado und Kalifornien, haben private Schülerdaten in die Hände von Bedrohungsakteuren gelegt.
• SolarWinds, das Opfer einer der bekanntesten Cyberattacken der jüngeren Geschichte, hat vor kurzem bekannt gegeben, dass seine Führungskräfte im Zusammenhang mit ihrem Umgang mit dem Vorfall voraussichtlich von der US-Börsenaufsicht SEC angeklagt werden.
• Dish Network meldete im März einen Ransomware-Angriff, der zunächst Active Directory und dann die VMware-Infrastruktur kompromittierte und über einen Monat lang Millionen von Abonnenten beeinträchtigte.

Angreifer wissen, dass die Kompromittierung von Active Directory allen möglichen bösartigen Aktivitäten Tür und Tor öffnet, von Datendiebstahl bis hin zu Ransomware. Bei dem Angriff auf den Barts Health NHS Trust wurden Berichten zufolge Terabytes an Daten gestohlen. Ein erfolgreicher Angriff kann Ausfallzeiten, unvorteilhafte Medienberichterstattung und negative Auswirkungen auf die Kunden, deren Daten kompromittiert wurden, bedeuten. Wenn Angreifer erst einmal in Ihrem Netzwerk sind, hängt die Begrenzung des Schadens, den sie anrichten können, zum Teil von Ihrer Fähigkeit ab, ihnen den Zugriff auf wichtige Ressourcen zu verwehren. Im Mittelpunkt dieser Bemühungen steht die Sicherheit von Active Directory.

Active Directory-Sicherheit und Governance, Risiko und Compliance

Die Überwachung und Sicherung von Active Directory ist nicht nur für die Cyberabwehr wichtig. Active Directory ist eine wichtige Informationsquelle für die Einhaltung von Vorschriften, die Prüfpfade und Nachweise für Zugriffskontrollen und Richtlinien für sensible Daten erfordern. Regelmäßige Audits und umfassende Transparenz sind notwendig, um die Anforderungen von Vorschriften und Standards wie HIPAA und PCI DSS zu erfüllen. Eine robuste Strategie zur Überwachung der Active Directory-Sicherheit liefert wichtige Erkenntnisse für die Einhaltung von Vorschriften.

Was sind die besten Methoden zum Schutz Ihres Active Directory?

Der Schlüssel zur Vermeidung vieler dieser Probleme liegt in Ihrer Fähigkeit, riskante Konfigurationen zu erkennen und auf versehentliche oder böswillige Änderungen zu überwachen. Grundsätzlich geht es bei der Risikominderung darum, die Eintrittsbarriere für Angreifer zu erhöhen - Sicherheitslücken zu schließen, bevor Angreifer sie überwinden können.

Durch regelmäßige Sicherheitsüberprüfungen können Sie potenzielle Bedrohungen erkennen, bevor sie ausgenutzt werden. Eine Änderung der Berechtigung für das AdminSDHolder-Objekt oder eine kürzliche Änderung des Standard-Sicherheitsdeskriptor-Schemas können Anzeichen für einen laufenden Angriff sein. Wenn diese Änderungen nicht genehmigt wurden, sollte sofort ein Alarm ausgelöst werden.

Die gute Nachricht ist, dass Unternehmen einige Tipps befolgen können, um die Angriffsfläche von Active Directory zu begrenzen.

Implementieren Sie effektive Passwortrichtlinien

Der Schutz von Passwörtern und die Durchsetzung der Komplexität von Passwörtern ist für Ihre erste Verteidigungslinie entscheidend. Komplexe Kennwörter sollten mindestens sieben Zeichen lang sein und Ziffern, Groß- und Kleinbuchstaben sowie nicht-alphanumerische Zeichen wie Ausrufezeichen und Dollarzeichen enthalten. Unternehmen sollten in Erwägung ziehen, die Funktion der fein abgestuften Kennwortrichtlinien anstelle von Gruppenrichtlinienobjekten (GPOs) zu verwenden, um strengere Regeln zu implementieren. So können beispielsweise Richtlinien erstellt werden, um unterschiedliche Regeln für die Kontosperrung auf bestimmte Benutzergruppen in einer einzigen Domäne anzuwenden.

Befolgen Sie die NIST-Richtlinien für Passwortrichtlinien, die weiter oben zusammengefasst wurden. Passwörter sollten in einem luftdicht verschlossenen Tresor gespeichert werden. Außerdem sollten Unternehmen sicherstellen, dass Passwörter für Gruppenrichtlinien nirgendwo in SYSVOL gespeichert werden. SYSVOL ist ein Verzeichnis, das sich auf jedem Domänencontroller (DC) innerhalb einer Domäne befindet. SYSVOL enthält die GPOs und Anmeldeskripte, die Clients für den Zugriff und die Synchronisierung zwischen DCs benötigen. Wenn Administratoren Anmeldedaten in SYSVOL-Ordnern speichern, können diese Anmeldedaten von einem Angreifer gestohlen werden, der die Kontrolle über ein kompromittiertes Konto hat.

Wenden Sie das Prinzip des geringsten Privilegs an

Die Befolgung des Prinzips der geringsten Rechte ist entscheidend für die Reduzierung der Angriffsfläche von Active Directory, d.h. der verschiedenen Angriffsvektoren, vor denen sich Ihr Unternehmen schützen muss. Dieser Ansatz sieht vor, dass alle Benutzer, Geräte und Anwendungen nur mit der Mindestanzahl und dem Mindestmaß an Berechtigungen ausgestattet werden, die sie zum Funktionieren benötigen.

Egal, ob sie fälschlicherweise vererbt, versehentlich oder böswillig erteilt wurden oder ob sie einfach aus Zweckmäßigkeitsgründen erteilt wurden - übermäßige Benutzerberechtigungen stellen eine direkte Sicherheitsbedrohung für Ihre Umgebung dar. In bestimmten Branchen kann dies auch Auswirkungen auf die Einhaltung gesetzlicher Vorschriften haben. Ihre Umgebung sollte von Anfang an so konzipiert sein, dass Konten nur die erforderlichen Mindestrechte erhalten. Privilegierte Gruppen sollten nur eine begrenzte Anzahl von Mitgliedern haben, und einige, wie z.B. Druckerbediener, sollten am besten gar keine oder nur eine zeitlich begrenzte Mitgliedschaft haben.

Um dies richtig zu handhaben, müssen Sie sich über die Benutzerrollen im Klaren sein und wissen, wer im Unternehmen befugt ist, Benutzer zu Gruppen hinzuzufügen, und wann er dies tun kann. Überprüfen Sie Ihre Umgebung regelmäßig, um Risiken zu verringern und übermäßig privilegierte Konten zu beseitigen.

Erschweren Sie die Erkundung von Active Directory

Angreifer führen häufig eine Active Directory Lightweight Directory Access Protocol (LDAP)-Auskundschaftung durch, um Einblicke in die Umgebung zu erhalten und ihren Angriff fortzusetzen. Active Directory wurde so konzipiert, dass es ein offenes Buch ist, was es schwierig macht, diese Erkundung zu verhindern. Indem Unternehmen jedoch die lokalen Administratorrechte aufheben und verdächtige LDAP-Anfragen überwachen, können sie es Angreifern erschweren. Außerdem können Sie die Sichtbarkeit eines Angreifers, der mit einem legitimen Konto ausgestattet ist, einschränken, indem Sie die Just-in-Time-Bereitstellung nutzen und Organisationseinheiten (OUs) umbenennen.

Ältere Protokolle abschaffen

Bewährte Praktiken erfordern die Abschaffung von Legacy-Protokollen wie TLS 1.0 & 1.1, Server Message Block v1 (SMBv1), Digest Authentication und Lan Manager (LM) / NTLMv1 und NTLMv2. Diese Protokolle wurden nicht mit Blick auf die heutigen Bedrohungen und Sicherheitsanforderungen entwickelt und können eine Schwachstelle in der Verteidigung Ihres Unternehmens darstellen. NTLMv1 und NTLMv2 beispielsweise sind anfällig für Bedrohungen wie Brute-Force- und Man-in-the-Middle-Angriffe, und Unternehmen wird empfohlen, auf Kerberos umzusteigen. Bevor diese Protokolle jedoch außer Dienst gestellt werden, sollte das Active Directory-Team sicherstellen, dass es vollständig versteht, wie diese Protokolle in der Umgebung verwendet werden, damit die Funktionalität der verwendeten Anwendungen nicht beeinträchtigt wird.

Patches für Active Directory-Schwachstellen und unsichere Konfigurationen

Schwachstellen wie Zerologon (CVE-2020-1472) stellen ein erhebliches Risiko für Active Directory dar, wenn Unternehmen mit dem Patchen in Verzug sind. Da Active Directory in Ihrer IT-Umgebung von entscheidender Bedeutung ist, sollten Patches nach Priorität geordnet, getestet und so schnell wie möglich bereitgestellt werden. Angreifer werden versuchen, bekannte Schwachstellen zuerst anzugreifen. Um das Risiko zu verringern, sollten Unternehmen ihre Systeme regelmäßig scannen und das Patchen von Schwachstellen nach ihrem Schweregrad und den möglichen Auswirkungen auf den Geschäftsbetrieb priorisieren, wenn sie ausgenutzt werden. Außerdem sollte veraltete Software erkannt und so schnell wie möglich aktualisiert werden.

Die Suche nach niedrig hängenden Früchten beschränkt sich nicht auf das Patchen von Sicherheitslücken. Es geht auch darum, unsichere Einstellungen zu identifizieren, die Benutzern nicht benötigte Berechtigungen gewähren oder die Ausweitung von Rechten erleichtern. Unabhängig davon, ob diese Konfigurationsfehler auf Nachlässigkeit, versehentliche Änderungen oder böswillige Handlungen zurückzuführen sind, ist die Durchführung regelmäßiger Sicherheitsbewertungen eine Notwendigkeit.

Mit diesen Schritten kann Ihr Unternehmen Mauern um Ihre Benutzer, sensiblen Daten und Systeme errichten, die das Risiko verringern und die Active Directory-Umgebung im Falle eines Angriffs widerstandsfähiger machen.

Wie kann Semperis Ihnen helfen, die Sicherheit von Active Directory zu gewährleisten?

Semperis unterstützt Unternehmen bei der Sicherstellung der Integrität und Verfügbarkeit von Active Directory und Entra ID vor Ort mit Lösungen, die ihnen helfen, Angriffe zu erkennen, wiederherzustellen und darauf zu reagieren.

• Bewerten Sie die Angriffsfläche Ihres hybriden Active Directory mit kostenlosen Tools wie Purple Knight und Forest Druid.
• Implementieren Sie ein automatisches Rollback von verdächtigen Änderungen an Active Directory mit Directory Services Protector ( DSP).
• Beschleunigen und vereinfachen Sie den Wiederherstellungsprozess von Active Directory mit Active Directory Forest Recovery ( ADFR).
• Sichere Active Directory-Modernisierung und -Migration mit der Expertenhilfe von Semperis.
• Optimieren Sie Ihre Sicherheitsarchitektur und -konfigurationen, Betriebsabläufe sowie Abhilfe- und Wiederherstellungspläne mit Hilfe der Breach Preparedness & Response Services von Semperis.

Entdecken Sie die Expertenlösungen zur Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) und zur Sicherheit und Wiederherstellung von Active Directory.

Erfahren Sie mehr über Active Directory Sicherheitsrisiken und Best Practices

• Identifizieren und Schließen von Pfaden zu Tier 0 Active Directory Assets
• Active Directory-Änderungsüberprüfung & Rollback
• Beschleunigen Sie AD Forest Recovery nach einem Cyberangriff