Darren Mar-Elia

Active Directory ist eine der wichtigsten Komponenten Ihres Netzwerks. Dennoch kann der Schutz von Active Directory eine der schwierigsten Aufgaben auf Ihrer To-Do-Liste sein.

Das Problem ist, dass sich AD so oft und in so großem Umfang ändert, dass es gegen ein gewöhnliches Änderungsmanagement praktisch immun ist. Es ist auch so etwas wie eine Studie der Gegensätze: Sie brauchen die Flexibilität, AD schnell zu ändern, aber selbst eine kleine Änderung kann unternehmensweite Auswirkungen haben. Da sich AD ständig weiterentwickelt, entdecken bösartige Akteure ständig neue Angriffsmöglichkeiten.

Wenn Angreifer wissen, wonach sie suchen, ist AD ein offenes Buch. Wenn die Angreifer erst einmal den Überblick haben, ist es nur noch eine Frage der Zeit, bis sie diese Informationen nutzen, um sich im Netzwerk zu bewegen. Was können Sie tun, um solche Angriffe zu verhindern?

1. Verstehen Sie den Angriffszyklus von Active Directory

Wenn Sie angegriffen werden, ist Active Directory ein Teil dieser Kill Chain. In einigen Fällen ist es aufgrund seiner Bedeutung für die meisten Unternehmen sogar das erste Ziel für Angreifer. Da die Mehrheit der mittelständischen und großen Unternehmen derzeit mit AD arbeitet, wird sich das in absehbarer Zeit kaum ändern.

Obwohl bösartige Akteure viele Arten von Angriffen starten können, nutzen sie AD in der Regel zur Erkundung. Sobald Angreifer in das System eingedrungen sind, suchen sie nach allem, was sie für ihre Ziele nutzen können. Interessante Personen, interessante Systeme, Fehlkonfigurationen - alles ist sichtbar, was es Angreifern leicht macht, ihre Transitzeit durch das Netzwerk zu verkürzen.

2. Schauen Sie über die Admin-Privilegien hinaus Eskalation

Viele Leute machen den Fehler, Domain-Administrator-Konten als Ziel zu betrachten. Kluge Angreifer wissen jedoch, dass es viele wertvolle nicht-administrative Konten gibt. Ein Service-Level-Benutzer, der Zugriff auf eine Datenbank hat, die personenbezogene Daten enthält, kann für einen Angreifer genauso interessant sein wie ein Domain-Administrator-Konto.

In dieser Hinsicht ist ein Domain-Administratorkonto wirklich nur ein Messingring, um sich Zugang zu wertvollen Vermögenswerten zu verschaffen. Es ist der einfachste Weg, Anmeldeinformationen zu stehlen und Daten zu exfiltrieren, aber bei weitem nicht der einzige.

3. Denken Sie beim Schutz von Active Directory wie ein Angreifer

Es besteht der Irrglaube, dass Angriffe wie Ransomware automatisiert sind und nach einem vordefinierten Schema ablaufen, ohne dass viel menschliche Intelligenz dahinter steckt. Diese Ansicht ist unzutreffend. Angreifer verbringen tatsächlich viel Zeit damit, die Umgebung zu studieren und nach bestimmten Mustern und Konfigurationsmerkmalen zu suchen, z. B. nach privilegierten Gruppen oder wichtigen Ressourcen, die bekannten Organisationseinheiten (OUs) zugeordnet sind.

Sie versuchen nicht nur, automatisierte Bots um der Zerstörung willen zu erstellen. Sie führen aktiv Skripte aus, um nach Schwachstellen zu suchen und intelligente Annahmen darüber zu treffen, wie Unternehmen ihre Active Directory-Umgebung betreiben. Das Ergebnis all dieser Bemühungen ist die Verbreitung von Tools, die die Ausführung von Angriffen einfacher denn je machen.

4. Machen Sie den Bedrohungsakteuren das Leben schwer

Es gibt viele Berichte über hochentwickelte Angriffe wie SolarWinds. Sicherlich gibt es nationalstaatliche Bedrohungsakteure mit einem solchen Grad an Raffinesse, aber die meisten Ransomware-Banden sind nicht so fortschrittlich. Die Wahrscheinlichkeit, dass Sie von einem hochentwickelten Angriff betroffen sind und nicht von einem Gelegenheitsangriff, ist ziemlich gering.

Die meisten Ransomware-Banden, insbesondere diejenigen, die Ransomware als Service (RaaS) kaufen, sind auf schnelles Geld aus. Sie verwenden einfache Befehle, nutzen bekannte Schwachstellen und "Laien"-Tools aus und nutzen einfache Angriffspfade, um Informationen zu sammeln. Daraus folgt, dass sie sich nicht anstrengen wollen.

Deshalb müssen Sie sie hart arbeiten lassen. Locken Sie sie in Honigtöpfe, die sie dazu zwingen, erkennbare Fehler zu machen. Geben Sie ihnen falsche Ziele vor und setzen Sie Verteidigungsmaßnahmen ein, die es ihnen schwer machen, sich seitlich zu bewegen.

Irgendwann werden viele entscheiden, dass Sie die Mühe nicht wert sind und weiterziehen.

5. Umgehen Sie die offenen Bücher von AD

Ein gängiger Sicherheitsratschlag für Active Directory lautet, bestimmten privilegierten Gruppen den Lesezugriff zu verweigern. Leider funktioniert das in den meisten Unternehmen nicht wirklich. AD wurde vor vielen Jahren so konzipiert, dass es für legitime Benutzer ein offenes Buch ist, und jede installierte Einheit hat von Haus aus Lesezugriff auf so ziemlich alles.

Es ist extrem schwierig, diese Funktion abzuschalten, ohne etwas kaputt zu machen. Sie müssen sich der Tatsache stellen, dass ein Angreifer, der in Ihr Netzwerk eindringt und einen legitimen Benutzer imitiert, in der Lage sein wird, zu sehen, was vor sich geht. Anstatt zu versuchen, die Sichtbarkeit einzuschränken und die Aufklärung zu verhindern, sollten Sie daher das Netzwerk durch Just-in-Time-Bereitstellung und umbenannte OUs verschleiern.

6. Erwägen Sie die Verwendung einer anderen Methode als der Gruppenrichtlinie (manchmal)

Innerhalb von Active Directory werden Gruppenrichtlinienobjekte (GPOs) im Allgemeinen für die Sicherheitsabsicherung verwendet. Realistisch betrachtet sind die einzigen, die GPOs lesen müssen, Domänencomputer. Authentifizierte Benutzer benötigen in der Regel keinen Zugriff. Und indem Sie den Zugriff der Benutzer einschränken, können Sie die Sichtbarkeit Ihrer Sicherheitsmaßnahmen für Angreifer verringern.

Eine andere Möglichkeit ist die Verwendung nicht standardisierter Technologien anstelle von GPOs. Jeder Angreifer schaut sich die Standard-Domänenrichtlinie an, um herauszufinden, wie Sie Ihre Kennwortrichtlinie festlegen. Wenn Sie stattdessen eine fein abgestufte Kennwortrichtlinie verwenden, weiß der Angreifer nicht, wo er suchen muss.

7. Reinigen Sie Ihre Zugangshygiene

Alle Standardempfehlungen für Passwörter gelten auch für Active Directory. Erstellen Sie komplexe Kennwörter, speichern Sie sie in einem luftdicht verschlossenen Tresor und wechseln Sie diese Kennwörter regelmäßig. Wenn Ihr Ziel die Sicherheit ist, sollten Sie noch ein paar weitere bewährte Praktiken einbeziehen:

  • Kennwörter für Gruppenrichtlinieneinstellungen sollten nirgendwo in Ihrer SYSVOL existieren. Sie sind nur dazu gut, Angreifern zu helfen.
  • Behandeln Sie jedes Konto, für das Dienstprinzipalnamen definiert sind, als hoch privilegiert und sichern Sie es entsprechend.
  • Gehen Sie zur Gruppe der dienstverwalteten Konten über. Wenn das nicht möglich ist, stellen Sie sicher, dass die Dienstkonten nicht privilegiert sind.

8. Verwenden Sie Tiering und Least Privilege

Least Privilege ist einer der wichtigsten Grundsätze, wenn es um Active Directory geht. Kein Konto sollte Zugriff auf etwas haben, das nicht unbedingt für seine Funktionalität erforderlich ist. Seien Sie sich daher bewusst, dass die Anbieter nicht immer wissen, was ihre Konten benötigen.

Darüber hinaus empfehle ich Ihnen dringend, ein starres "Tier Zero"-Modell zu implementieren, bei dem sich jeder, der ein Domänencontroller-Administrator ist, bei Domänencontroller-Rechnern anmelden kann. Es versteht sich von selbst, dass Sie dazu die uneingeschränkte Delegation deaktivieren und die Erstellung von Konten einschränken müssen. Idealerweise verwenden Sie in diesem Modell nur Kerberos für die Delegation.

9. NTLM deaktivieren

Im Großen und Ganzen ist der New Technology Lan Manager (NTLM) die Wurzel allen Übels in Windows und Active Directory. Der kürzlich entdeckte DFSCoerce ist zum Beispiel ein Windows NTLM-Angriff.

Die Deaktivierung von NTLM befreit Sie nicht von alle Probleme, aber es wird viele davon lösen. Aber mie meisten Unternehmen zögern jedoch, NTLM zu deaktivieren, weil sie Angst davor haben, was sie kaputt machen könnten. Sie können damit beginnen, die Überwachung innerhalb der Gruppenrichtlinie auf Ihren Domänencontrollern zu aktivieren, um einen Einblick in die NTLM-Aktivitäten in der Domänenumgebung zu erhalten.

Je mehr davon Sie deaktivieren können, desto eher sind Sie dem Schutz von Active Directory näher.

Praktisch beim Schutz von Active Directory

Wenn Sie diese Tipps genauer kennenlernen möchten, schauen Sie sich meine Präsentation auf der HIP-Konferenz an, Praktische Tipps zum Schutz von Active Directorydie auf Anfrage verfügbar ist. Setzen Sie diese Strategien dann in die Tat um - je früher, desto besser.