Active Directory ist eine der wichtigsten Komponenten Ihres Netzwerks. Dennoch kann der Schutz von Active Directory eine der schwierigsten Aufgaben auf Ihrer To-Do-Liste sein.
Das Problem ist, dass sich AD so oft und in so großem Umfang ändert, dass es gegen ein gewöhnliches Änderungsmanagement praktisch immun ist. Es ist auch so etwas wie eine Studie der Gegensätze: Sie brauchen die Flexibilität, AD schnell zu ändern, aber selbst eine kleine Änderung kann unternehmensweite Auswirkungen haben. Da sich AD ständig weiterentwickelt, entdecken bösartige Akteure ständig neue Angriffsmöglichkeiten.
Wenn Angreifer wissen, wonach sie suchen, ist AD ein offenes Buch. Wenn die Angreifer erst einmal den Überblick haben, ist es nur noch eine Frage der Zeit, bis sie diese Informationen nutzen, um sich im Netzwerk zu bewegen. Was können Sie tun, um solche Angriffe zu verhindern?
1. Verstehen Sie den Angriffszyklus von Active Directory
Wenn Sie angegriffen werden, ist Active Directory ein Teil dieser Kill Chain. In einigen Fällen ist es aufgrund seiner Bedeutung für die meisten Unternehmen sogar das erste Ziel für Angreifer. Da die Mehrheit der mittelständischen und großen Unternehmen derzeit mit AD arbeitet, wird sich das in absehbarer Zeit kaum ändern.
Obwohl bösartige Akteure viele Arten von Angriffen starten können, nutzen sie AD in der Regel zur Erkundung. Sobald Angreifer in das System eingedrungen sind, suchen sie nach allem, was sie für ihre Ziele nutzen können. Interessante Personen, interessante Systeme, Fehlkonfigurationen - alles ist sichtbar, was es Angreifern leicht macht, ihre Transitzeit durch das Netzwerk zu verkürzen.
2. Schauen Sie über die Admin-Privilegien hinaus Eskalation
Viele Leute machen den Fehler, Domain-Administrator-Konten als Ziel zu betrachten. Kluge Angreifer wissen jedoch, dass es viele wertvolle nicht-administrative Konten gibt. Ein Service-Level-Benutzer, der Zugriff auf eine Datenbank hat, die personenbezogene Daten enthält, kann für einen Angreifer genauso interessant sein wie ein Domain-Administrator-Konto.
In dieser Hinsicht ist ein Domain-Administratorkonto wirklich nur ein Messingring, um sich Zugang zu wertvollen Vermögenswerten zu verschaffen. Es ist der einfachste Weg, Anmeldeinformationen zu stehlen und Daten zu exfiltrieren, aber bei weitem nicht der einzige.
3. Denken Sie beim Schutz von Active Directory wie ein Angreifer
Es besteht der Irrglaube, dass Angriffe wie Ransomware automatisiert sind und nach einem vordefinierten Schema ablaufen, ohne dass viel menschliche Intelligenz dahinter steckt. Diese Ansicht ist unzutreffend. Angreifer verbringen tatsächlich viel Zeit damit, die Umgebung zu studieren und nach bestimmten Mustern und Konfigurationsmerkmalen zu suchen, z. B. nach privilegierten Gruppen oder wichtigen Ressourcen, die bekannten Organisationseinheiten (OUs) zugeordnet sind.
Sie versuchen nicht nur, automatisierte Bots um der Zerstörung willen zu erstellen. Sie führen aktiv Skripte aus, um nach Schwachstellen zu suchen und intelligente Annahmen darüber zu treffen, wie Unternehmen ihre Active Directory-Umgebung betreiben. Das Ergebnis all dieser Bemühungen ist die Verbreitung von Tools, die die Ausführung von Angriffen einfacher denn je machen.
4. Machen Sie den Bedrohungsakteuren das Leben schwer
Es gibt viele Berichte über hochentwickelte Angriffe wie SolarWinds. Sicherlich gibt es nationalstaatliche Bedrohungsakteure mit einem solchen Grad an Raffinesse, aber die meisten Ransomware-Banden sind nicht so fortschrittlich. Die Wahrscheinlichkeit, dass Sie von einem hochentwickelten Angriff betroffen sind und nicht von einem Gelegenheitsangriff, ist ziemlich gering.
Die meisten Ransomware-Banden, insbesondere diejenigen, die Ransomware als Service (RaaS) kaufen, sind auf schnelles Geld aus. Sie verwenden einfache Befehle, nutzen bekannte Schwachstellen und "Laien"-Tools aus und nutzen einfache Angriffspfade, um Informationen zu sammeln. Daraus folgt, dass sie sich nicht anstrengen wollen.
Deshalb müssen Sie sie hart arbeiten lassen. Locken Sie sie in Honigtöpfe, die sie dazu zwingen, erkennbare Fehler zu machen. Geben Sie ihnen falsche Ziele vor und setzen Sie Verteidigungsmaßnahmen ein, die es ihnen schwer machen, sich seitlich zu bewegen.
Irgendwann werden viele entscheiden, dass Sie die Mühe nicht wert sind und weiterziehen.
5. Umgehen Sie die offenen Bücher von AD
Ein gängiger Sicherheitsratschlag für Active Directory lautet, bestimmten privilegierten Gruppen den Lesezugriff zu verweigern. Leider funktioniert das in den meisten Unternehmen nicht wirklich. AD wurde vor vielen Jahren so konzipiert, dass es für legitime Benutzer ein offenes Buch ist, und jede installierte Einheit hat von Haus aus Lesezugriff auf so ziemlich alles.
Es ist extrem schwierig, diese Funktion abzuschalten, ohne etwas kaputt zu machen. Sie müssen sich der Tatsache stellen, dass ein Angreifer, der in Ihr Netzwerk eindringt und einen legitimen Benutzer imitiert, in der Lage sein wird, zu sehen, was vor sich geht. Anstatt zu versuchen, die Sichtbarkeit einzuschränken und die Aufklärung zu verhindern, sollten Sie daher das Netzwerk durch Just-in-Time-Bereitstellung und umbenannte OUs verschleiern.
6. Ziehen Sie Policy gelegentlich) in Betracht, eine andere Methode als Policy zu verwenden
In Active Directory werden Policy (GPOs) in der Regel zur Sicherheitshärtung eingesetzt. Realistisch betrachtet sind Domänencomputer die einzigen, die GPOs lesen müssen. Authentifizierte Benutzer benötigen in der Regel keinen Zugriff. Durch die Einschränkung des Benutzerzugriffs können Sie die Sichtbarkeit Ihrer Sicherheitsmaßnahmen für Angreifer verringern.
Eine weitere Möglichkeit besteht darin, anstelle von GPOs nicht standardmäßige Technologien zu verwenden. Jeder Angreifer prüft die policy festzustellen, wie Sie Ihre policy festgelegt haben. Wenn Sie policy eine detaillierte policy verwenden, weiß der Angreifer nicht, wo er suchen soll.
7. Reinigen Sie Ihre Zugangshygiene
Alle Standardempfehlungen für Passwörter gelten auch für Active Directory. Erstellen Sie komplexe Kennwörter, speichern Sie sie in einem luftdicht verschlossenen Tresor und wechseln Sie diese Kennwörter regelmäßig. Wenn Ihr Ziel die Sicherheit ist, sollten Sie noch ein paar weitere bewährte Praktiken einbeziehen:
- Passwörter Policy sollten an keiner Stelle in Ihrem SYSVOL vorhanden sein. Sie dienen lediglich dazu, Angreifern in die Hände zu spielen.
- Behandeln Sie jedes Konto, für das Dienstprinzipalnamen definiert sind, als hoch privilegiert und sichern Sie es entsprechend.
- Gehen Sie zur Gruppe der dienstverwalteten Konten über. Wenn das nicht möglich ist, stellen Sie sicher, dass die Dienstkonten nicht privilegiert sind.
8. Verwenden Sie Tiering und Least Privilege
Least Privilege ist einer der wichtigsten Grundsätze, wenn es um Active Directory geht. Kein Konto sollte Zugriff auf etwas haben, das nicht unbedingt für seine Funktionalität erforderlich ist. Seien Sie sich daher bewusst, dass die Anbieter nicht immer wissen, was ihre Konten benötigen.
Darüber hinaus empfehle ich dringend die Einführung eines strengen „Tier-Zero“-Modells, bei dem sich jeder, der als domain controller fungiert, an domain controller anmelden kann. Es versteht sich von selbst, dass Sie hierfür die uneingeschränkte Delegierung deaktivieren und die Kontoerstellung einschränken müssen. Idealerweise sollten Sie in diesem Modell für die Delegierung ausschließlich Kerberos verwenden.
9. NTLM deaktivieren
Im Großen und Ganzen ist der New Technology Lan Manager (NTLM) die Wurzel allen Übels in Windows und Active Directory. Der kürzlich entdeckte DFSCoerce ist zum Beispiel ein Windows NTLM-Angriff.
Das Deaktivieren von NTLM wird Sie nicht von alle Ihre Probleme, aber es wird viele davon lösen. Allerdingsdie meisten Unternehmen zögern, NTLM zu deaktivieren; sie haben Angst davor, was dadurch möglicherweise beeinträchtigt werden könnte. Sie können damit beginnen, die Überwachung in Policy Ihren Domänencontrollern zu aktivieren, um einen Einblick zu erhalten, in welchem Umfang NTLM-Aktivitäten in der Domänenumgebung stattfinden.
Je mehr davon Sie deaktivieren können, desto eher sind Sie dem Schutz von Active Directory näher.
Praktisch beim Schutz von Active Directory
Wenn Sie diese Tipps genauer kennenlernen möchten, schauen Sie sich meine Präsentation auf der HIP-Konferenz an, Praktische Tipps zum Schutz von Active Directorydie auf Anfrage verfügbar ist. Setzen Sie diese Strategien dann in die Tat um - je früher, desto besser.
