Sean Deuby

Laut dem jüngsten Digital Defense Report von Microsoft stieß fast die Hälfte aller Microsoft Incident Response-Einsätze auf unsichere Active Directory-Konfigurationen. Dies bestätigt einen ähnlichen Bericht von Mandiant, wonach 9 von 10 Cyberangriffen einen Active Directory-Server ausnutzen. Diese ernüchternden Statistiken erinnern daran, dass Unternehmen, die eine widerstandsfähigere IT-Umgebung aufbauen wollen, der Active Directory-Härtung einfach Priorität einräumen müssen.

Wir bei Semperis sind stolz auf unser Wissen über AD-Sicherheit, einschließlich Best Practices für die Härtung Ihrer Active Directory-Server. Lesen Sie weiter, um mehr über die AD-Härtung zu erfahren, oder fordern Sie noch heute eine Demo an, um zu sehen, wie unsere Active Directory-Unterstützung die allgemeine Cybersicherheit Ihres Unternehmens verbessert.

Nur wenige Situationen sind so störend wie ein Angriff auf Active Directory. Jeder Benutzer und jedes Gerät ist auf den Identitätsdienst angewiesen. Angreifer, die Active Directory kompromittieren, können potenziell:

  • Erhöhen Sie ihre Berechtigungen
  • Konten erstellen und löschen
  • Zugriff auf wichtige Daten
  • unentdeckt in der Umgebung des Opfers verbleiben

Ein Ziel der Cybersicherheit ist die Aufrechterhaltung der Kontinuität des Geschäftsbetriebs. Der Aufbau einer starken Verteidigung, die Cyber-Resilienz ermöglicht, bedeutet, dass Active Directory gegen Bedrohungen, Schwachstellen und gängige Angriffswege, die von Bedrohungsakteuren genutzt werden, geschützt werden muss und dass eine schnelle, sichere Wiederherstellung von Active Directory geplant werden muss.

Weiterführende Lektüre: Was ist Active Directory Sicherheit?

Denken Sie wie ein Cyberangreifer

Angriffe auf Active Directory beginnen in der Regel mit einer Erkundung, gefolgt von einem Plan zur Eskalation der Privilegien und einer seitlichen Ausbreitung. Cyberkriminelle machen sich die Offenheit von Active Directory zunutze und nutzen die Erkundung, um alles aufzudecken, von Dienstkonten bis hin zur Zusammensetzung der verschiedenen Gruppen.

Standardmäßig kann jeder authentifizierte Benutzer das Lightweight Directory Access Protocol (LDAP) problemlos verwenden, um Active Directory nach Ressourcen wie Anwendungen, anderen Benutzern und Gruppen abzufragen. Mit Tools wie PowerView und BloodHound ermöglichen LDAP-Abfragen Angreifern einen Überblick über Ihre Umgebung aus der Vogelperspektive.

Daher gehört zur Absicherung von Active Directory gegen Angriffe auch die Fähigkeit, verdächtige Abfragen zu erkennen. Diese Aufgabe kann eine Herausforderung sein, da LDAP-Abfragen alltäglich und in der Regel legitim sind. Dennoch sollten Unternehmen versuchen, LDAP-Abfragen aus ungewöhnlichen Quellen innerhalb der Umgebung zu identifizieren und diese Informationen mit anderen Aktivitäten zu korrelieren, die auf einen Angriff hindeuten könnten.

Auch Bedrohungsakteure bevorzugen bestimmte Techniken. Sehen wir uns einige ihrer bevorzugten Tricks an und wie Sie diese Bedrohungen für eine effektivere Active Directory-Absicherung entschärfen können.

Kerberoasting-Angriffe

Viele Anwendungen, die in Active Directory integriert sind - z.B. SQL Server - erfordern die Verwendung von Dienstkonten. Diese Konten sind wie normale Benutzerkonten, aber sie sind für eine Anwendung bestimmt und erfordern keine interaktiven Benutzeranmeldungen.

Dienstkonten können sehr privilegiert sein, obwohl sie das oft gar nicht sein müssen. Die Konten haben auch oft Passwörter - manchmal sehr, sehr alte Passwörter - die nicht komplex oder anderweitig schwer zu knacken sind.

Wie funktioniert das Kerberoasting?

Dienste werben für Benutzer in Active Directory über Dienstprinzipalnamen (SPNs). Bedrohungsakteure finden Dienstkonten, indem sie SPNs abfragen, und verwenden dann Kerberoasting, um das Passwort des anvisierten Dienstkontos zu knacken. Wie viele heimliche Angriffe funktioniert auch Kerberoasting durch den Missbrauch legitimer Funktionen.

  • Nach der Verwendung eines Domänenbenutzerkontos zur Authentifizierung bei Active Directory erhält der Bedrohungsakteur ein Kerberos Ticket Granting Ticket (TGT) vom Key Distribution Center (KDC).
  • Der Angreifer fordert ein Service-Ticket für den angegriffenen Dienst an.
  • Der Domänencontroller generiert ein Ticket Granting Service (TGS)-Ticket für diesen Dienst, verschlüsselt das Ticket mit dem Kennwort des Dienstes und sendet das Ticket dann an den "Benutzer" - in diesem Fall den Bedrohungsakteur.
  • Der Angreifer knackt den Passwort-Hash, der das TGS-Ticket verschlüsselt hat.
  • Mit dem geknackten Hash kann sich der Angreifer bei dem anvisierten Dienst anmelden und alle Privilegien nutzen, die dieser Dienst hat.

Wie können Sie Active Directory gegen Kerberoasting schützen?

Unternehmen können das Risiko von Kerberoasting begrenzen, indem sie lange, komplexe Passwörter für Dienstkonten erzwingen und AES-Verschlüsselung für Kerberos-Diensttickets verwenden.

Erfahren Sie mehr über die Absicherung von Active Directory gegen Kerberoasting.

Angriffe auf das Goldene Ticket

Eines der wichtigsten zu schützenden Konten in Active Directory ist das KRBTGT-Konto, das als Dienstkonto für den KDC-Dienst existiert. Wenn ein Angreifer die Kontrolle über das KRBTGT-Konto erlangt, kann er gefälschte TGTs erstellen und diese Tickets nutzen, um dem Unternehmen großen Schaden zuzufügen. Dieser Ansatz wird als Golden Ticket-Angriff bezeichnet.

Wie funktioniert ein Angriff mit dem Goldenen Ticket?

Golden Ticket-Angriffe sind sehr schwer zu erkennen.

  • Der Angriff beginnt, wenn ein Angreifer die Kontrolle über ein Konto erlangt, das über erhöhte Rechte verfügt und auf einen Domänencontroller zugreifen kann; jeder Domänencontroller führt eine Instanz des KDC aus.
  • Der Bedrohungsakteur verwendet ein Tool wie Mimikatz, um den NTLM-Hash des KRBTGT-Kontos zu stehlen.
  • Sobald der Angreifer den KRBTGT-Passwort-Hash hat, benötigt er nur noch den vollständig qualifizierten Domänennamen (FQDN) der Domäne, die Sicherheitskennung der Domäne und den Benutzernamen des Kontos, auf das er abzielen möchte, um ein TGT zu erstellen.
  • Der Angreifer verwendet das TGT, um sich als legitimer Benutzer auszugeben und potenziell unbegrenzten Zugriff zu erhalten.

Wie können Sie Active Directory gegen einen Golden-Ticket-Angriff absichern?

Um einen Golden-Ticket-Angriff zu verhindern, sollten Unternehmen das KRBTGT-Passwort zweimal hintereinander ändern. Aktualisieren Sie das Passwort immer dann, wenn ein Mitarbeiter, der die Befugnis hatte, ein Goldenes Ticket zu erstellen, das Unternehmen verlässt. (Ein Semperis-Experte, Jorge de Almeida Pinto, hat ein PowerShell-Skript entwickelt, um diesen Prozess zu rationalisieren.)

Achten Sie außerdem auf rote Flaggen, wie z.B. gefälschte Tickets, die manchmal Fehler enthalten, wie z.B. eine nicht übereinstimmende relative ID (RID) oder Änderungen an der Lebensdauer des Tickets. Und befolgen Sie die bewährten Praktiken für die Active Directory-Sicherheit, einschließlich der Begrenzung der Anzahl der Benutzer mit Zugriff auf Domänencontroller.

Erfahren Sie mehr über die Absicherung von Active Directory gegen Golden Ticket-Angriffe.

Pass the Hash und Pass the Ticket Angriffe

Pass the Hash- und Pass the Ticket-Angriffe sind beliebte Methoden, um eine Seitwärtsbewegung zu erreichen.

Wie funktionieren die Angriffe Pass the Hash und Pass the Ticket?

Bei einem Pass the Hash-Angriff stiehlt ein Angreifer zunächst den NTLM-Passwort-Hash eines Benutzers. Der Angreifer verwendet dann diesen Hash, um die Authentifizierungskontrollen zu umgehen - ohne das eigentliche Passwort knacken zu müssen.

Der Pass the Ticket-Angriff ähnelt dem Pass the Hash-Angriff, missbraucht aber Kerberos und nicht NTLM. Bei diesem Angriff verwendet der Angreifer ein gestohlenes Kerberos-Ticket, um sich als Benutzer zu authentifizieren, ohne das eigentliche Passwort des Opfers zu kennen.

Wie können Sie Active Directory gegen Pass the Hash- und Pass the Ticket-Angriffe absichern?

Um einen Pass the Hash-Angriff zu entschärfen, können Sie die Verwendung des NTLM-Authentifizierungsprotokolls deaktivieren, das bei diesem Angriff ausgenutzt wird. Darüber hinaus:

  • Achten Sie auf ungewöhnliches Benutzerverhalten, z.B. eine hohe Anzahl von Zugriffsversuchen auf Netzwerkressourcen. Ein solches Verhalten kann ein Zeichen für einen der beiden Angriffe sein.
  • Minimieren Sie den Wert kompromittierter Konten, indem Sie das Prinzip der geringsten Privilegien durchsetzen. Stellen Sie sicher, dass nur diejenigen, die privilegierte Zugriffsrechte benötigen, diese auch erhalten.

Erfahren Sie mehr über die Absicherung von Active Directory gegen Pass the Hash- und Pass the Ticket-Angriffe.

Konzentrieren Sie sich auf die Kontosicherheit, um Active Directory zu härten

Der Schutz von Passwörtern ist für die Absicherung von Active Directory von entscheidender Bedeutung. Aktualisieren Sie die altbewährten, traditionellen Kennwortrichtlinien, um die aktuellen Empfehlungen von Microsoft und NIST zu berücksichtigen.

  • Überprüfen, entfernen oder überwachen Sie alle Konten, die sich ohne Kennwort authentifizieren dürfen.
  • Aktualisieren Sie Dienstkonten mit starken, komplexen Passwörtern mit mindestens 25 Zeichen.

Genauso wie Angreifer legitime Funktionen ausnutzen, um eine Überwachung durchzuführen, machen sie sich auch privilegierte Konten zunutze. Konten mit übermäßigen Berechtigungen können aus vielen Gründen existieren.

Oft ist das Problem das Ergebnis von geschäftlichen Zwängen. Ein Benutzer muss vielleicht dringend bestimmte Aufgaben ausführen. Es ist zu zeitaufwändig, herauszufinden, wie der Zugriff gewährt werden kann, ohne das Prinzip der geringsten Rechte zu verletzen. Verschachtelte Gruppen können auch zu unübersichtlichen Vererbungsszenarien führen.

Mit der Zeit können diese Situationen außer Kontrolle geraten. Das Ergebnis ist eine Active Directory-Umgebung voller überprivilegierter Konten.

Mit der wachsenden Anzahl von Benutzer- und Dienstkonten mit übermäßigen Berechtigungen wächst auch die Angriffsfläche für Active Directory. Um diese zu verringern, müssen Unternehmen sicherstellen, dass die Berechtigungen richtig delegiert werden.

Auf strategischer Ebene bedeutet dies, dass das Active Directory-Team die geschäftlichen Anforderungen der Benutzer und Gruppen in der Umgebung wirklich verstehen muss.

  • Wenn Sie Ihre Umgebung aufbauen, sollten Sie ähnliche Ressourcen in derselben Organisationseinheit (OU) und Unter-OUs unterbringen.
  • Delegieren Sie Berechtigungen an Gruppen und nicht an bestimmte Benutzer.
  • Legen Sie den Umfang jeder Gruppe fest, die Sie erstellen möchten, und weisen Sie die Berechtigungen auf der Grundlage von Rollen zu.
  • Überprüfen Sie regelmäßig die Benutzer- und Gruppenberechtigungen.
  • Überwachen Sie kontinuierlich auf nicht autorisierte Änderungen, die zu einer Privilegienerweiterung oder zum Diebstahl von Zugangsdaten führen könnten, und nehmen Sie diese zurück.

Diese Schritte machen den Prozess der Überprüfung von Berechtigungen effektiver und weniger mühsam.

Active Directory-Härtung umfasst die Sicherheit von Domänencontrollern

Domänencontroller sind wohl der kritischste Teil Ihrer Active Directory-Infrastruktur. Ein kompromittierter Domänencontroller kann das Haus zum Einsturz bringen und Bedrohungsakteuren die Möglichkeit geben,:

  • Ändern Sie alle Konten in Ihrer Umgebung
  • Neue Konten erstellen
  • Malware verbreiten
  • Ergreifen Sie andere Maßnahmen, um Ihre Umgebung zu stören

Aufgrund ihrer Empfindlichkeit sollten Domänencontroller beim Patchen Priorität haben. Aber dieser Schritt ist nur der Anfang.

  • Kontrollieren Sie den Zugriff auf Domänencontroller streng. Nur die Administratoren, die diesen Zugriff unbedingt benötigen, sollten ihn haben. Überprüfen Sie, welche Gruppenrichtlinienobjekte (GPOs) mit der OU des Domänencontrollers in Active Directory verknüpft sind, und stellen Sie sicher, dass nur die Gruppe der Domänenadministratoren die Berechtigungen Anmeldung über Remotedesktopdienste zulassen und Lokale Anmeldung zulassen hat.
  • Deaktivieren Sie das Webbrowsing auf Domänencontrollern. Jeder Zugriff auf einen Domänencontroller stellt ein erhebliches Risiko dar. Die Auswirkungen einer möglichen Kompromittierung durch einen Drive-by-Download oder einen anderen Angriff sind einfach zu groß, um das Risiko zu rechtfertigen. Ihre Firewalls sollten ebenfalls eine Rolle spielen und ausgehende Verbindungen von Domänencontrollern zum Internet blockieren, sofern dies nicht erforderlich ist.
  • Befolgen Sie bewährte Praktiken für die physische Sicherheit. Microsoft empfiehlt, physische Domänencontroller in speziellen sicheren Racks oder Käfigen zu installieren, die von der allgemeinen Serverpopulation getrennt sind. Microsoft empfiehlt außerdem die Konfiguration von Domänencontrollern mit Trusted Platform Module (TPM)-Chips.
  • Verwenden Sie Verschlüsselung. Schützen Sie alle Volumes auf Domänencontroller-Servern mit BitLocker Drive Encryption.
  • Härten Sie virtuelle Domänencontroller. Führen Sie virtuelle Domänencontroller auf separaten physischen Hosts von anderen virtuellen Maschinen aus. Die Administratoren dieser Hosts können die virtuellen Domänencontroller steuern, halten Sie also diese Administratorkonten von anderen Virtualisierungsadministratoren getrennt.

Active Directory Härtung ist ein Muss

Die Absicherung von Active Directory erfordert eine Kombination aus Wachsamkeit und Proaktivität. Wir von Semperis bieten Tools, die Unternehmen dabei helfen, Sicherheitslücken in ihren Active Directory-Umgebungen zu erkennen und zu schließen.

Diese Lösungen können Ihnen dabei helfen, Cyberangriffe zu erkennen, sich davon zu erholen und darauf zu reagieren, indem sie die Integrität und Verfügbarkeit von Active Directory vor Ort sowie von Entra ID und Okta sicherstellen. Die ersten Schritte müssen nicht teuer oder zeitaufwändig sein. Es gibt kostenlose Tools, mit denen Sie kritische Sicherheitslücken identifizieren können. Welchen Ansatz Sie auch immer wählen, beginnen Sie damit, die Härtung von Active Directory zu einem dokumentierten Teil Ihres Cybersicherheitsplans zu machen.