AD-Sicherheitsglossar

Als Teil einer Zugriffskontrollliste (ACL) definiert ein Zugriffskontrolleintrag (ACE), wer Zugriff auf eine Ressource hat und welche Operationen er durchführen kann. Unangemessen konfigurierte ACEs können zu unberechtigtem Zugriff auf Ressourcen oder zur Ausweitung von Privilegien führen.

Siehe auch: Zugriffskontrollliste (ACL)

Eine Zugriffskontrollliste (ACL) ist eine Liste von Zugriffskontrolleinträgen (ACE), die für ein AD-Objekt (d.h. einen Benutzer, eine Gruppe oder ein Computerobjekt) gelten. Jeder ACE in einer ACL identifiziert einen Treuhänder und gibt die Zugriffsrechte an, die für diesen Treuhänder erlaubt, verweigert oder geprüft werden. Falsch konfigurierte ACLs können zu unberechtigtem Zugriff oder zur Offenlegung von Daten führen.

Siehe auch: Zugangskontrolleintrag (ACE)

Ein Zugriffstoken ist ein Sicherheitstoken, der Benutzer- und Gruppensicherheitskennungen (SIDs) enthält. Die Benutzerrechte und einige Gruppen-SIDs aus dem Token können für die Autorisierung verwendet werden. Wenn Zugriffstoken gekapert oder manipuliert werden, kann sich ein Angreifer als Benutzer ausgeben oder seine Privilegien erweitern.

Bei einem ACL-Persistenzangriff manipuliert ein Angreifer die DACL (Discretionary Access Control List) eines Active Directory-Objekts, um bestimmte Privilegien oder Berechtigungen beizubehalten. Dieser Angriff ermöglicht es dem Angreifer, im Netzwerk zu bleiben, auch nachdem der ursprüngliche Eindringlingsvektor beseitigt wurde.

Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst für Windows-Domänennetzwerke. AD verwendet eine hierarchische, strukturierte Datenspeicherung für Dienste und Komponenten. AD wird in erster Linie zur Speicherung von Objekten wie Benutzern, Gruppen und Computern verwendet und ermöglicht die Verwaltung dieser Ressourcen, einschließlich ihrer Berechtigungen. AD führt die Benutzerauthentifizierung durch und kontrolliert den Zugriff auf die Ressourcen und Daten eines Unternehmens. Mehr als 90 Prozent der Unternehmen verwenden AD, Azure AD oder eine Kombination aus beiden (hybrides AD) als ihre zentrale Identitätslösung. AD ist aufgrund seiner zentralen Rolle bei der Netzwerkverwaltung häufig ein Ziel für Cyberangreifer. Falsch konfigurierte AD-Einstellungen wurden bereits bei mehreren viel beachteten Angriffen ausgenutzt.

Active Directory Administrative Center (ADAC) ist eine Verwaltungskonsole in Windows Server, die ein aufgabenbasiertes Verwaltungsmodell für die Verwaltung von Benutzern, Gruppen, Computern und anderen Objekten in einer Domäne verwendet.

Angriffe auf AD-Umgebungen folgen in der Regel einem bestimmten Pfad: seitliche Bewegung zwischen Systemen, Privilegienerweiterung, Einschleusen von Malware oder Ransomware auf Domänencontrollern, Etablierung von Persistenz, Datenexfiltration und (im Falle von Ransomware) Detonation/Verschlüsselung. Daher hängt die AD-Sicherheit von der Verteidigung in jeder Phase dieses Lebenszyklus ab: vor, während und nach einem versuchten Cyberangriff.

Siehe auch: Cyber-Kill-Chain, Domain-Dominanz

Ein Active Directory-spezifisches Backup trennt AD-Komponenten (z.B. Datenbank, Protokolle, Registry Hives) von Backups der Systemlaufwerke einer physischen oder virtuellen Maschine, einschließlich Anwendungen, Betriebssystemen usw. AD-spezifische Backups ermöglichen es Ihrem Unternehmen, AD schnell, sicher und frei von allgegenwärtiger Malware oder Ransomware wiederherzustellen. Im Gegensatz dazu kann bei der Wiederherstellung des Systemzustands oder der Bare Metal Recovery in den Backups versteckte Malware wieder eingeschleust werden.

Siehe auch: Wiederherstellung des Systemzustands

Active Directory Certificate Services (AD CS) bietet Identitäts- und Zugriffskontrolllösungen für ein Unternehmen. Wenn ein Angreifer AD CS kompromittiert, kann er gefälschte Zertifikate ausstellen, was zu Man-in-the-Middle-Angriffen oder anderen nicht autorisierten Aktivitäten führt.

In 90% der Unternehmen steuert Active Directory den Zugriff auf alle Benutzer, Systeme und Ressourcen. Wenn AD nicht funktioniert, funktioniert gar nichts. Die Wiederherstellung von AD nach einem Cyberangriff oder einer anderen Katastrophe ist der wichtigste Schritt zur Wiederherstellung des Betriebs und zum Nachweis der Cyber-Resilienz.

Active Directory Domain Services (AD DS) ist die Kernfunktion von AD. AD DS stellt die Methoden zum Speichern von Verzeichnisdaten und zur Bereitstellung dieser Daten für Netzwerkbenutzer und Administratoren bereit. Eine Kompromittierung von AD DS kann zu unbefugtem Zugriff auf Netzwerkressourcen führen.

Das Active Directory Domain Services (ADDS) PowerShell-Modul bietet eine Sammlung von Cmdlets, mit denen Sie PowerShell verwenden können, um verschiedene Aspekte von AD wie Benutzer, Gruppen, Computer und Organisationseinheiten zu verwalten und zu pflegen.

Active Directory Federation Services (ADFS) ist eine von Microsoft entwickelte Softwarekomponente. ADFS kann auf Windows Server-Betriebssystemen ausgeführt werden, um Benutzern einen Single Sign-On-Zugang zu Systemen und Anwendungen zu ermöglichen, die sich über Unternehmensgrenzen hinweg befinden. Wenn ADFS nicht ordnungsgemäß gesichert ist, kann es ein Ziel für Angriffe sein, die darauf abzielen, sich unbefugten Zugang zu verschaffen.

Semperis ADFR ist eine Backup- und Recovery-Lösung, die speziell für die Wiederherstellung von Active Directory nach Cyber-Katastrophen entwickelt wurde. Semperis ADFR automatisiert den AD-Wiederherstellungsprozess vollständig, reduziert die Ausfallzeit, eliminiert das Risiko einer erneuten Malware-Infektion und ermöglicht forensische Untersuchungen nach einem Einbruch.

Active Directory Härtung umfasst praktische Techniken zum Schutz Ihrer AD-Umgebung. AD spielt eine entscheidende Rolle in der IT-Infrastruktur und gewährleistet die Harmonie und Sicherheit der verschiedenen Netzwerkressourcen in einer globalen, vernetzten Umgebung.

Kein Unternehmen mit einer IT-Infrastruktur ist vor Angriffen gefeit, aber geeignete Richtlinien, Prozesse und Kontrollen können dazu beitragen, wichtige Teile der Computerinfrastruktur Ihres Unternehmens, einschließlich AD, zu schützen. Die Härtung von AD kann verhindern, dass sich eine Sicherheitsverletzung oder eine andere Bedrohung zu einer umfassenden Kompromittierung der Computerumgebung ausweitet.

Die regelmäßige Bewertung des Risikos und des Zustands des Active Directory Ihres Unternehmens ist ein wichtiger Schritt zur Reduzierung der AD-Angriffsfläche. Eine robuste Lösung zur Bewertung der AD-Sicherheit wie Purple Knight kann eine nach Prioritäten geordnete Liste von Empfehlungen zur Verbesserung des Zustands Ihres AD bereitstellen, die speziell auf Ihre Infrastruktur zugeschnitten sind.

Active Directory Lightweight Directory Services (AD LDS), früher bekannt als Active Directory Application Mode (ADAM), ist ein Lightweight Directory Access Protocol (LDAP) Verzeichnisdienst, der flexible Unterstützung für verzeichnisfähige Anwendungen bietet. AD LDS kann verwendet werden, um ein separates Verzeichnis für Anwendungen zu erstellen, die Authentifizierung und Benutzerinformationen benötigen, ohne dass zusätzliche Benutzerkonten im primären AD DS erstellt werden müssen. Eine Webanwendung kann beispielsweise AD LDS verwenden, um Benutzerprofile und Zugriffskontrollinformationen getrennt vom Haupt-Active Directory zu speichern, wodurch die Angriffsfläche verringert und potenzielle Sicherheitsrisiken minimiert werden. AD LDS-Instanzen, die auf einem Server laufen, können zu zusätzlichen Sicherheitsrisiken führen, da sie ausgenutzt werden könnten, um unberechtigten Zugriff auf Informationen zu erhalten.

Das Active Directory Migration Tool (ADMT) ist ein Dienstprogramm von Microsoft, mit dem Administratoren Objekte (d.h. Benutzerkonten, Sicherheitsgruppen und Computer) von einer Active Directory Domain Services (AD DS)-Domäne in eine andere migrieren können, häufig im Rahmen einer Umstrukturierung oder eines Konsolidierungsprojekts.

Siehe auch: Active Directory-Domänendienste (AD DS)

Cyberangreifer, denen es gelingt, in die Umgebung eines Unternehmens einzudringen, versuchen in der Regel, Berechtigungen in Active Directory zu erlangen, um auf Daten und Ressourcen zuzugreifen. Sobald die Angreifer einen Fuß in der Tür haben, nutzen sie ihn, um ihre Reichweite zu vergrößern, idealerweise bis sie ein administratives Konto kompromittieren. Diese Ausweitung des Zugriffs wird als Privilegieneskalation bezeichnet.

Die AD-Wiederherstellung stellt jede Domäne in der Gesamtstruktur in dem Zustand wieder her, den sie zum Zeitpunkt des letzten vertrauenswürdigen Backups hatte. Die Wiederherstellung von Active Directory aus einem Backup oder die Neuinstallation der AD-Domänendienste auf jedem Domänencontroller in einer Gesamtstruktur kann eine zeitaufwändige und komplizierte Aufgabe sein. Allerdings macht Ransomware, die AD sperrt oder beschädigt, diesen Schritt notwendig. 

In Verbindung mit einem AD-spezifischen Backup kann eine AD-Wiederherstellungslösung, die Schritte im Wiederherstellungsprozess automatisiert, die AD-Ausfallzeiten erheblich reduzieren. Semperis Active Directory Forest Recovery beispielsweise beschleunigt die Wiederherstellung von AD-Forests um bis zu 90%.

Der Active Directory-Papierkorb (AD Recycle Bin) ist eine AD-Funktion, mit der gelöschte Objekte ohne Neustart, Dienstunterbrechung oder Wiederherstellung aus einem Backup wiederhergestellt werden können. Wenn er nicht ordnungsgemäß gesichert ist, kann der AD-Papierkorb ausgenutzt werden, um gelöschte bösartige Konten oder Gruppen wiederherzustellen.

Active Directory Replication Status Tool (ADREPLSTATUS) ist ein Diagnosetool, das detaillierte Informationen über den Replikationsstatus von Domänencontrollern innerhalb einer AD-Gesamtstruktur liefert. ADREPLSTATUS hilft bei der Identifizierung von Replikationsproblemen und bei der Behebung von Problemen im Zusammenhang mit der Replikation.

Active Directory Rights Management Services (AD RMS) ist eine Microsoft-Technologie, die Verschlüsselung und eine Form der selektiven Funktionsverweigerung verwendet, um den Zugriff auf Dokumente wie Firmen-E-Mails, Word-Dokumente und Webseiten zu beschränken.

Eine Active Directory-Risikobewertung sucht nach Indikatoren für eine Gefährdung (IOEs) oder Indikatoren für eine Kompromittierung (IOCs), um das Risiko Ihres Unternehmens bei einem Cyberangriff oder einem anderen katastrophalen Ereignis zu bestimmen. Eine solide Risikobewertung liefert spezifische, umsetzbare Anleitungen, die Ihnen helfen, die Sicherheitsrisiken für das AD und Ihr Unternehmen zu minimieren.

Siehe auch: Active Directory Gesundheitscheck, Indikatoren für eine Kompromittierung, Indikatoren für eine Gefährdung

Da Active Directory zur Konfiguration von Berechtigungen und Netzwerkzugriff verwendet wird, ist es ein bevorzugtes Ziel für Cyberangreifer. Jahrelanges Wachstum, Fusionen usw. führen oft zu ausufernden Konfigurationen und Fehlkonfigurationen, die AD für Angriffe anfällig machen. Das Schließen von Sicherheitslücken in AD ist daher ein wichtiger Teil der allgemeinen Cybersicherheitsstrategie eines Unternehmens. 

Eine Bewertung der AD-Umgebung eines Unternehmens, um Ihrem Unternehmen zu helfen, die Risiken zu identifizieren, zu quantifizieren und zu reduzieren, die Ihr AD betreffen. Diese Analyse erstellt eine Liste von Problemen, die behoben werden müssen, und bietet möglicherweise auch Anleitungen für Abhilfemaßnahmen und bewährte Verfahren zur Verbesserung der Leistung oder Sicherheit der AD-Infrastruktur.

Siehe auch: Active Directory Sicherheitsüberprüfung

Der Prozess des Sammelns von Daten über AD-Objekte und -Attribute sowie der Analyse und Berichterstattung über diese Daten, um den allgemeinen Zustand des Verzeichnisses, die Angemessenheit der Systemkontrollen, die Einhaltung der festgelegten Sicherheitsrichtlinien und -verfahren, etwaige Verstöße gegen die Sicherheitsdienste und Änderungen, die für Gegenmaßnahmen angezeigt sind, zu ermitteln.

Die AD-Sicherheitsprüfung hilft Ihnen, Insider-Bedrohungen, Missbrauch von Privilegien und andere Indikatoren für eine Gefährdung (IOEs) oder Kompromittierung (IOCs) zu erkennen und darauf zu reagieren und so Ihre Sicherheitslage zu verbessern.

Siehe auch: Active Directory Sicherheitsbewertung

AD-Sicherheitsindikatoren fallen in mehrere Kategorien:

• Indikatoren für Angriffe (IOAs)
• Indikatoren für Kompromisse (IOCs)
• Indikatoren für die Exposition (IOEs)

Lösungen wie Semperis Purple Knight und Directory Services Protector ( DSP) verwenden diese Indikatoren, um Unternehmen bei der Identifizierung von Angriffsvektoren zu helfen, die Bedrohungsakteure nutzen können, um Zugang zur AD-Umgebung zu erhalten. Diese Schwachstellen können zu einer Eskalation der Privilegien und schließlich zur Verbreitung von Malware führen.

Active Directory Service Interfaces (ADSI) ist eine Reihe von COM-Schnittstellen, die für den Zugriff auf die Funktionen von Verzeichnisdiensten verschiedener Netzwerkanbieter verwendet werden. ADSI ist eine programmatische Schnittstelle zu AD, die es Entwicklern ermöglicht, allgemeine Aufgaben wie das Hinzufügen neuer Benutzer durchzuführen. Cyberangreifer können ADSI nutzen, um Verzeichniseinträge zu manipulieren.

Das Microsoft Management Console (MMC) Snap-In Active Directory Service Interfaces Editor (ADSIEdit) fungiert als Low-Level-Editor für Active Directory. ADSIEdit ermöglicht den Zugriff auf Objekteigenschaften, die in anderen AD-Schnittstellen nicht sichtbar sind, und bietet eine detaillierte Ansicht aller Objekte und Attribute in einem AD Forest.

Active Directory Sites and Services (ADSS) ist ein Snap-In für die Microsoft Management Console (MMC), mit dem Sie die Replikation von Verzeichnisdaten zwischen allen Standorten in einem AD-Forest verwalten können. Fehlkonfigurationen können die AD-Leistung beeinträchtigen und auch zu einer fehlerhaften Replikation von Sicherheitsdaten führen.

Active Directory-Trusts (AD-Trusts) ermöglichen es Benutzern in einer AD-Domäne, auf Ressourcen in einer anderen AD-Domäne zuzugreifen. Verwalten Sie Vertrauensbeziehungen sorgfältig, um eine unbeabsichtigte Eskalation von Privilegien oder die Preisgabe von Ressourcen zu verhindern.

Active Directory Users and Computers (ADUC) ist ein Snap-In für die Microsoft Management Console (MMC), mit dem Administratoren Benutzerkonten und verschiedene andere Objekte in AD verwalten können. Eine unsachgemäße Verwendung kann zu unbeabsichtigten Berechtigungszuweisungen oder zur Offenlegung von Daten führen.

Eine Bewertung der Schwachstellen in der Active Directory-Umgebung Ihres Unternehmens kann helfen, Sicherheits- und Konfigurationsrisiken für AD zu identifizieren, zu quantifizieren und zu reduzieren. Solche Analysen erstellen eine Liste von Problemen, die behoben werden müssen, und bieten möglicherweise auch Anleitungen zur Behebung von Problemen und bewährte Verfahren zur Verbesserung der Leistung oder Sicherheit der AD-Infrastruktur.

Siehe auch: Active Directory Sicherheitsbewertung

Active Directory Web Services (ADWS) ist ein Webdienst, der auf Domänencontrollern unter Windows Server 2008 R2 und höher gehostet wird. ADWS bietet ein Protokoll für den Zugriff und die Verwaltung von Verzeichnisdiensten über die Standard-Webprotokolle HTTP und HTTPS.

Add-ADComputer ist ein PowerShell-Cmdlet, mit dem Sie ein neues Computerobjekt in Active Directory erstellen können. Wenn dieses Cmdlet missbraucht wird, kann es zur Erstellung nicht autorisierter Computerkonten führen, die möglicherweise für Persistenz oder laterale Bewegungen verwendet werden.

Add-ADComputerServiceAccount ist ein PowerShell-Cmdlet, mit dem Sie einem Computerobjekt im AD ein Dienstkonto hinzufügen können. Ein Angreifer, der dieses Cmdlet kompromittiert, kann Dienstkonten mit unbeabsichtigten Systemen verknüpfen und so möglicherweise unbefugte Berechtigungen erlangen.

Add-ADGroupMember ist ein PowerShell-Cmdlet, das verwendet werden kann, um einen oder mehrere Benutzer, Gruppen, Dienstkonten oder Computer zu einer AD-Gruppe hinzuzufügen. Der Missbrauch dieses Cmdlets kann zu einer unbefugten Ausweitung der Berechtigungen führen.

Add-ADPrincipalGroupMembership ist ein PowerShell-Cmdlet, das verwendet werden kann, um einen Benutzer, eine Gruppe, ein Dienstkonto oder einen Computer zu einer oder mehreren AD-Gruppen hinzuzufügen. Bei böswilliger Verwendung kann dieses Cmdlet einem Angreifer Zugriff auf Ressourcen gewähren.

Add-ADUser ist ein PowerShell-Cmdlet, mit dem Sie ein neues Benutzerobjekt in Active Directory erstellen können.

Das Address Resolution Protocol (ARP) wird verwendet, um eine IP-Adresse einer physischen (MAC-)Adresse in einem lokalen Netzwerk zuzuordnen. Obwohl es nicht spezifisch für AD ist, ist das Spoofing von ARP-Antworten ein häufiger Angriffsvektor in LAN-Umgebungen.

Als Teil der Sysinternals Suite von Microsoft ist ADExplorer ein legitimes Tool, mit dem Sie die Struktur und die Objekte von Active Directory anzeigen und bearbeiten können. Angreifer können mit diesem Tool AD-Strukturen untersuchen, Objekte und Berechtigungen analysieren und vieles mehr.

ADfind ist ein von Joe Richard (DS-MVP) entwickeltes Befehlszeilentool zur Abfrage von Active Directory.

Die administrative Abstufung hilft einem Unternehmen, seine digitale Umgebung besser zu schützen, indem es drei oder mehr Ebenen für den Zugriff auf Ressourcen und Systeme definiert. Durch diese Staffelung werden Pufferzonen geschaffen, die die Verwaltung von risikoreichen oder wertvollen Ressourcen wie Active Directory-Domänencontrollern trennen.

AdminSDHolder ist ein Active Directory-Objekt, das den Sicherheitsdeskriptor für Objekte enthält, die Mitglieder von privilegierten Gruppen sind. Der SDProp-Prozess stellt sicher, dass die Zugriffskontrolllisten (ACLs) geschützter Objekte immer mit dem AdminSDHolder-Objekt übereinstimmen. Ein kompromittiertes AdminSDHolder-Objekt kann zu einem SDProp-Angriff führen.

Adprep ist ein Befehlszeilentool, das zur Vorbereitung einer Gesamtstruktur oder Domäne auf ein Windows Server-Upgrade verwendet wird. Adprep führt die notwendigen Schema- und Infrastruktur-Updates durch, um die neuere Version von Windows Server zu unterstützen.

ADRecon ist ein Tool, das Informationen über AD sammelt und einen Bericht erstellt, der ein ganzheitliches Bild des aktuellen Zustands der Ziel-AD-Umgebung vermitteln kann. Cyberangreifer können ADRecon zur Erkundung nutzen, um potenzielle Schwachstellen zu identifizieren.

Advanced Group Policy Management (AGPM), eine Funktion des Microsoft Desktop Optimization Pack (MDOP), ermöglicht eine verbesserte Kontrolle und Verwaltung von Gruppenrichtlinienobjekten (GPOs). AGPM umfasst Funktionen zur Versionsverfolgung, rollenbasierten Delegation und Änderungsgenehmigung.

Das Sicherheitsprinzip Anonyme Anmeldung ermöglicht den anonymen Zugriff auf bestimmte Dienste auf einem Computer. Im Zusammenhang mit AD steht Anonymous Logon für Verbindungen von Benutzern, die keine gültigen Anmeldedaten vorweisen können. Dies kann ein Sicherheitsrisiko darstellen und wird oft eingeschränkt oder deaktiviert.

Active Directory verwendet eine Partition des Anwendungsverzeichnisses, um Daten zu speichern, die für eine bestimmte Anwendung oder einen bestimmten Dienst, z.B. DNS, spezifisch sind. Wenn diese Partition nicht ordnungsgemäß gesichert ist, kann sie von böswilligen Entitäten zur Persistenz oder Datenextraktion ausgenutzt werden.

Active Directory-Objekte haben Attribute, die die Eigenschaften des Objekts definieren (z.B. Telefonnummer des Benutzers, Gruppenname). Die Manipulation von Attributen kann manchmal zu unbefugten Aktivitäten oder zur Offenlegung von Informationen führen.

Audit-Richtlinien definieren die Arten von Sicherheitsereignissen, die im Sicherheitsprotokoll auf Domänencontrollern und Computern aufgezeichnet werden. Eine schlechte Audit-Richtlinie kann dazu führen, dass Einbruchsversuche oder andere bösartige Aktivitäten nicht erkannt werden.

Der Authentifizierungsprozess validiert die Anmeldeinformationen einer Person, eines Computerprozesses oder eines Geräts. Die Active Directory-Authentifizierung umfasst den Nachweis der Identität eines Benutzers, der sich bei einer AD-Umgebung anmeldet, und kann, wenn sie kompromittiert wird, zu unberechtigtem Zugriff führen.

Eine autoritative Wiederherstellung aktualisiert die vorhandenen Domänencontroller mit den wiederhergestellten Daten, die dann auf alle anderen DCs in einer Multi-DC-Umgebung repliziert werden.

Siehe auch: Nicht-autoritative Wiederherstellung

Der Autorisierungsprozess, der bestimmt, welche Berechtigungen und Rechte ein authentifizierter Benutzer hat, folgt auf den Authentifizierungsprozess. In AD wird die Autorisierung häufig über Gruppenmitgliedschaften verwaltet. Unsachgemäße Autorisierungskonfigurationen können zu unberechtigtem Zugriff oder zur Ausweitung von Privilegien führen.

Siehe auch: Authentifizierung

Die Hilfsklasse ist eine optionale Klasse im AD-Schema, die verwendet werden kann, um die Attribute anderer Klassen zu erweitern. Eine falsche Konfiguration von Hilfsklassen kann zu Sicherheitslücken führen.

Verfügbarkeit ist eine der drei Säulen der Informationssicherheit (zusammen mit Vertraulichkeit und Integrität). Verfügbarkeit bezieht sich auf die Fähigkeit, auf Ressourcen wie erwartet zuzugreifen. Im Zusammenhang mit Active Directory kann sich die Verfügbarkeit auf die Ausfallsicherheit von Domänencontrollern und der Netzwerkinfrastruktur zur Unterstützung von AD beziehen.

Microsoft Azure Active Directory (Azure AD oder AAD, jetzt umbenannt in Entra ID) ist der Cloud-basierte Identitäts- und Zugangsverwaltungsdienst (IAM) von Microsoft. Azure AD unterstützt Unternehmen bei der Verwaltung und Sicherung des Zugriffs auf Anwendungen, Daten und Netzwerke sowohl in der Cloud als auch vor Ort. Im Zusammenhang mit der Cybersicherheit zielen Cyberangreifer häufig auf Azure AD ab, um sich unbefugten Zugang zu verschaffen oder Privilegien zu erweitern, indem sie Taktiken wie Passwort-Spray-Angriffe, Zustimmungs-Phishing oder die Ausnutzung von Fehlkonfigurationen in Sicherheitsrichtlinien und Zugriffskontrollen anwenden. Daher ist die Sicherung von Azure AD von entscheidender Bedeutung.

Obwohl Azure AD einen Teil seines Namens mit dem lokalen AD teilt, hat es ein völlig anderes Sicherheitsmodell. Wenn Ihr Unternehmen Microsoft 365 nutzt, verwendet es auch Azure AD.

Azure Active Directory join (Azure AD join) ist ein Prozess, der ein Gerät bei einem bestimmten Azure AD-Tenant registriert, so dass das Gerät über cloudbasierte Richtlinien und Dienste verwaltet und gesichert werden kann.

Ein Backlink-Attribut ist eine Art von Attribut im Schema einer Active Directory-Gesamtstruktur. Dieses Attribut ist mit einem Forward-Link-Attribut verknüpft. Zusammen werden sie verwendet, um verknüpfte Attribute zu erstellen und zu verwalten.

Der BackSync-Prozess repliziert Objekte und Eigenschaften von einem Domänencontroller innerhalb derselben Domäne zurück auf einen globalen Katalogserver.

Das Attribut BadPasswordTime eines AD-Benutzerobjekts zeichnet den Zeitpunkt des letzten fehlerhaften Anmeldeversuchs auf.

Das BadPwdCount-Attribut eines AD-Benutzerobjekts verfolgt falsche Passwortversuche. Dieses Attribut kann überwacht werden, um mögliche Brute-Force-Angriffe zu erkennen.

Eine BMR stellt ein Systemstatus-Backup plus alle Nicht-Benutzerdaten auf kritischen Volumes des Servers wieder her. Da es sich um eine erweiterte Version eines Systemstatus-Backups handelt, unterliegt eine BMR den gleichen Einschränkungen (gleiche Hardware, Malware-Residenz) wie ein Systemstatus-Backup.

Siehe Active Directory-Backup (AD-Backup)

Eine LDAP-Suche beginnt mit dem Basis-DN. Dieser DN kann ein potenzieller Ausgangspunkt für einen Angreifer mit unbefugtem Zugriff sein, um die Active Directory-Struktur zu erkunden.

Base64 ist ein Binär-zu-Text-Kodierungsschema. Im Kontext von Active Directory sind bestimmte Attribute, wie userPhoto, Base64-kodiert.

Best Practice Analyzer (BPA) ist ein Serververwaltungstool, das in Windows Server verfügbar ist. BPA kann einem Administrator helfen, Verstöße gegen Best Practices zu reduzieren, indem es eine AD DS-Rolle überprüft und meldet, wenn eine Rolle nicht den Best Practices entspricht.

Ein BLOB ist eine Sammlung von Binärdaten, die als einzelne Einheit in einer Datenbank, einschließlich Active Directory, gespeichert werden. Bei BLOBs handelt es sich in der Regel um Bilder, Audiodaten oder andere Multimedia-Objekte, aber manchmal kann auch binärer ausführbarer Code als BLOB gespeichert werden.

Im Zusammenhang mit Active Directory bedeutet Bindung den Aufbau einer Verbindung zum Verzeichnisdienst, die dann für die Durchführung von Operationen verwendet werden kann. Wenn Angreifer eine Verbindung zu Ihrem Active Directory herstellen können, können sie Abfragen ausführen und möglicherweise Änderungen vornehmen, wenn die Berechtigungen dies zulassen.

BitLocker ist eine Funktion zur Verschlüsselung ganzer Datenträger, die in den Microsoft Windows-Versionen ab Windows Vista enthalten ist. BitLocker wurde entwickelt, um Daten zu schützen, indem es ganze Volumes verschlüsselt. Wenn ein Angreifer physischen Zugang zu einem Server erhält, kann BitLocker den unbefugten Zugriff auf die darin gespeicherten Daten verhindern.

Wenn dieser Wiederherstellungsschlüssel für die BitLocker-Laufwerksverschlüsselung kompromittiert wird, kann ein Angreifer ein BitLocker-verschlüsseltes Laufwerk entschlüsseln.

BitLocker To Go erweitert den BitLocker-Datenschutz auf Wechsellaufwerke, wie z.B. externe Festplatten und USB-Flash-Laufwerke. Diese Laufwerke können nur mit einem Passwort, einer Smartcard oder einem Wiederherstellungsschlüssel gesperrt und entsperrt werden.

BlackCat/ALPHV ist die erste hochkarätige Malware, die in Rust geschrieben wurde, einer modernen, plattformübergreifenden Programmiersprache. BlackCat ist in der Lage, Windows- und Linux-basierte Betriebssysteme zu kompromittieren und wird als Ransomware as a Service (RaaS) von ALPHV, einer russischsprachigen Gruppe von Cyberangreifern, betrieben. BlackCat verwendet kompromittierte Benutzeranmeldeinformationen, um sich zunächst Zugang zu den Zielsystemen zu verschaffen, und nutzt diesen Zugang dann, um weitere Benutzer- und Administratorkonten im Active Directory (AD) zu kompromittieren. BlackCat-Angriffe verwenden häufig eine dreifache Erpressungstaktik, bei der sie individuelles Lösegeld für die Entschlüsselung infizierter Dateien, die Nichtveröffentlichung gestohlener Daten und den Verzicht auf Denial-of-Service-Angriffe (DoS) fordern.

Eine Blacklist ist eine grundlegende Sicherheitskontrolle, bei der eine Liste von IP-Adressen, Benutzern, Computern usw. blockiert oder der Zugriff verweigert wird. Im Zusammenhang mit Active Directory kann eine Blacklist dazu beitragen, das Verzeichnis vor bekannten bösartigen Entitäten zu schützen.

BloodHound ist ein AD-Aufklärungstool. BloodHound visualisiert AD-Umgebungen und hebt Beziehungen hervor, die zur Privilegienerweiterung ausgenutzt werden können. Es wird häufig bei Angriffen von Advanced Persistent Threats (APT) eingesetzt.

Siehe auch: BloodHound-Angriffe

Ein Angreifer kann mit BloodHound, einem Tool, das AD-Beziehungen abbilden kann, die Struktur der AD-Umgebung eines Unternehmens verstehen und auf der Grundlage dieser Informationen Angriffe planen.

Siehe auch: BloodHound

Bei Cybersicherheitstests ist ein blaues Team die Gruppe von Personen, die für die Analyse und Sicherung eines Informationssystems, die Identifizierung seiner Sicherheitslücken und Schwachstellen und die Verteidigung der Umgebung gegen potenzielle Angreifer (d.h. das rote Team) verantwortlich ist.

Siehe auch: Red Team

BlueKeep ist eine Sicherheitslücke für Remotecodeausführung (RME), die sich als Wurm über Computernetzwerke verbreitet. BlueKeep tauchte 2019 als Bedrohung für ältere Versionen des Microsoft Windows-Betriebssystems auf. Microsoft reagierte mit der Veröffentlichung von Patches für seine nicht unterstützten Betriebssysteme, die von BlueKeep ausgenutzt werden können. Diese Art von Bedrohung macht jedoch deutlich, wie wichtig es ist, einen gehärteten Wiederherstellungsprozess einzurichten, um schnell reagieren zu können, falls Active Directory und andere wichtige Netzwerkdienste gefährdet sind.

Die Bootstrap-Replikation ist die erste Replikation von Daten, wenn ein neuer Domänencontroller zu einer Domäne hinzugefügt wird.

Ein Brückenkopf-Server ist der Kontaktpunkt für die Replikation zwischen Standorten in einer Active Directory-Gesamtstruktur. Wenn ein Angreifer einen Brückenkopf-Server kompromittiert, kann er möglicherweise die Replikationsdaten manipulieren.

BYOD bezieht sich auf Mitarbeiter, die ihre eigenen Computergeräte - wie Smartphones, Laptops und PDAs - mit an den Arbeitsplatz bringen, um sie zu nutzen und zu verbinden. BYOD kann ein Sicherheitsproblem für Active Directory darstellen, wenn es nicht richtig verwaltet und kontrolliert wird.

Der Prozess der Anzeige von Objekten in Active Directory. Ein Angreifer, der Ihr Verzeichnis durchsuchen kann, kann damit beginnen, die Struktur und die Details Ihrer AD-Umgebung zu erkennen.

Der Begriff " integriert" bezieht sich auf Standardgruppen und Benutzerkonten, die bei der Installation von Active Directory Domain Services (AD DS) automatisch erstellt werden. Diesen Gruppen und Konten werden Standardberechtigungen und -rechte zugewiesen. Es ist daher wichtig, diese Standardwerte zu überprüfen, um sicherzustellen, dass sie mit den Sicherheitsrichtlinien Ihres Unternehmens übereinstimmen.

Ein integrierter Container ist ein spezieller Active Directory-Container, der im Sicherheitskontext des lokalen Domänencontrollers existiert. Dieser Container enthält Gruppen, die auf dem Domänencontroller lokal sind, und wird bei der Installation von AD standardmäßig erstellt.

Ein Prozess, durch den große Datenmengen in das Active Directory importiert werden können, oft unter Verwendung von Tools wie CSVDE. Wenn ein Angreifer diesen Prozess manipulieren kann, kann er möglicherweise zahlreiche bösartige Einträge im AD erstellen.

Ein Business Continuity Plan (BCP) ist ein Dokument, in dem beschrieben wird, wie ein Unternehmen bei einer ungeplanten Unterbrechung des Dienstes weiterarbeiten wird. Im Zusammenhang mit Active Directory kann ein BCP Pläne für die Wiederherstellung des Dienstes nach einem größeren Ausfall oder Angriff enthalten.

Cain & Abel ist ein Tool zur Wiederherstellung von Kennwörtern für Microsoft Betriebssysteme. Dieses Tool ermöglicht die einfache Wiederherstellung verschiedener Arten von Kennwörtern, indem es das Netzwerk ausspäht und verschlüsselte Kennwörter mit Wörterbuch-, Brute-Force- und Kryptoanalyse-Angriffen knackt.

Ein kanonischer Name ist der DNS-Name für ein Objekt in Active Directory und wird verwendet, um in Skripts oder anderen programmatischen Verwaltungsaufgaben auf Objekte zu verweisen.

In Active Directory ist eine zentrale Zugriffsrichtlinie (CAP) ein Satz von Regeln, die Sie auf mehrere Server in einer Domäne anwenden können, um den Zugriff auf Dateien zu kontrollieren. Diese Regeln sind Teil der dynamischen Zugriffskontrolle (DAC) in Windows Server.

Eine Zertifikatswiderrufsliste (CRL) ist eine Liste von digitalen Zertifikaten, die von der ausstellenden Zertifizierungsstelle (CA) vor ihrem geplanten Ablaufdatum widerrufen wurden. Es ist wichtig, diese Liste in einer AD-Umgebung auf dem neuesten Stand zu halten, um die Integrität der sicheren Kommunikation zu gewährleisten.

Zertifikatsdienste ist eine Serverrolle, die es Ihrer Organisation ermöglicht, digitale Zertifikate auszustellen und zu verwalten, die für eine sichere Kommunikation und andere sicherheitsbezogene Funktionen innerhalb von Active Directory verwendet werden können.

Eine untergeordnete Domäne in einer Active Directory-Struktur mit mehreren Domänen fällt unter eine übergeordnete Domäne. Die untergeordnete Domäne teilt den Namensraum der übergeordneten Domäne, und es werden automatisch Vertrauensbeziehungen zwischen ihnen hergestellt.

Die Anspruchsart stellt einen Aspekt der Identität eines Benutzers dar, z.B. die Gruppenzugehörigkeit, und wird in der dynamischen Zugriffskontrolle (DAC) für Autorisierungsentscheidungen verwendet. Falsch konfigurierte Anspruchsarten können zu einer Privilegienerweiterung oder zu unberechtigtem Zugriff führen.

Die behauptungsbasierte Authentifizierung ist ein Prozess, bei dem ein Benutzer ein digital signiertes Token von einer vertrauenswürdigen Quelle erhält und dieses einem System vorlegt. Das System kann dann das Token validieren und die darin enthaltenen Angaben (z.B. Benutzername, Rolle) verwenden, um den Benutzer zu identifizieren.

Benutzer führen Anwendungen auf Computer-Workstations aus, die auch als Client-Rechner bezeichnet werden. Wenn ein Arbeitsplatzrechner an ein Netzwerk angeschlossen ist, können die Benutzer die von Servern bereitgestellten Dienste nutzen. Client-Computer speichern normalerweise keine Daten lokal, sondern empfangen die angeforderten Daten von Servern, indem sie Client-Server-Anwendungen ausführen.

Cloud-Dienste sind über das Internet bei einem Cloud Computing-Anbieter verfügbar. Obwohl sie nicht spezifisch für Active Directory sind, nutzen viele Unternehmen Cloud-Dienste wie Azure Active Directory in Verbindung mit oder als Alternative zu ihrem lokalen AD.

Der Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 ist einer der bekanntesten Angriffe auf kritische Infrastrukturen in der jüngeren Geschichte. Der Angriff auf Colonial Pipeline hat gezeigt, wie wichtig es ist, ein stabiles Active Directory zu unterhalten.

In einer CSV-Datei (Comma Separated Value) werden tabellarische Daten gespeichert. Unzureichend gesicherte CSV-Dateien können zu Datenlecks führen, insbesondere wenn sie zum Importieren oder Exportieren von Massendaten aus Active Directory verwendet werden.

CSVDE ist ein Tool zum Importieren und Exportieren von Active Directory-Daten. CSV-Dateien (Comma Separated Value) können manipuliert werden, was zu einem falschen Datenimport oder -export führen kann, wenn sie nicht ordnungsgemäß validiert werden, was ein Sicherheitsrisiko darstellt.

Ein Common Name (CN) ist der Name eines Objekts in Active Directory und muss innerhalb seines Containers eindeutig sein. Der CN ist Teil des Distinguished Name (DN) des Objekts, der ein Objekt im LDAP-Verzeichnis eindeutig identifiziert. Zum Beispiel: "cn=Daniel Petri,ou=Engineering,dc=semperis,dc=com".

Dieser Wartungsvorgang reduziert die Größe der Datenbankdatei (NTDS.DIT). Dieser Vorgang erfordert einen Zugriff mit hohen Privilegien und kann bei Missbrauch zu Denial of Service (DoS)-Angriffen führen.

In Active Directory ist ein Computerobjekt eine Darstellung eines Computers, der Teil der Domäne ist. Es enthält verschiedene Attribute über den Computer, wie z.B. seinen Namen, seine Sicherheitseinstellungen und die Zuordnung zu Benutzerkonten oder Gruppen.

Im Zusammenhang mit Active Directory kann sich ein bedingter Ausdruck auf bedingte Anweisungen in einem Gruppenrichtlinienobjekt (GPO) oder in einem Skript oder Tool für die AD-Verwaltung beziehen.

Der Konfigurationscontainer in Active Directory enthält Informationen über die logische Struktur der Gesamtstruktur, einschließlich Details über Sites, Dienste und Verzeichnispartitionen. Diese Daten werden auf alle Domänencontroller in einer Gesamtstruktur repliziert. Aus Sicht der Cybersicherheit könnten unbefugte Änderungen am Konfigurationscontainer zu Replikationsproblemen führen, die Netzwerkleistung beeinträchtigen oder das Verhalten von Diensten verändern, die auf diese Informationen angewiesen sind. Daher sollte der Zugriff auf den Konfigurationscontainer streng kontrolliert und überwacht werden.

In Active Directory ist ein Container ein Objekt, das andere AD-Objekte wie Benutzerkonten, Gruppen und sogar andere Organisationseinheiten (OUs) speichern kann. Auf Container können keine Gruppenrichtlinien angewendet werden. OEs sind ebenfalls Container und können dieselben Objekte sowie andere OEs enthalten und Gruppenrichtlinien anwenden.

Ein Kontextmenü in einer grafischen Benutzeroberfläche (GUI) erscheint bei einer Benutzerinteraktion, z. B. bei einem Rechtsklick mit der Maus. In Active Directory Users and Computers (ADUC) bieten Kontextmenüs verschiedene Optionen wie das Zurücksetzen von Passwörtern, das Verschieben von Objekten oder das Starten von Replikationen.

Die Operationen Erstellen, Lesen, Aktualisieren, Löschen (CRUD) sind die grundlegenden Funktionen, die in jedem Datenbanksystem ausgeführt werden, auch in Active Directory.

Credential Roaming ist eine Funktion von Active Directory, die es ermöglicht, die Anmeldeinformationen und Zertifikate von Benutzern zu kopieren und sicher über mehrere Geräte hinweg zu übertragen. Credential Roaming hilft bei der Verwaltung digitaler Identitäten über verschiedene Systeme hinweg.

Anmeldedaten sind der Benutzername und das Passwort, die ein Benutzer zur Authentifizierung angibt. Wenn Anmeldedaten nicht richtig gesichert sind, können sie Ziel von Credential Stuffing oder Brute-Force-Angriffen sein.

Eine forstübergreifende Vertrauensbeziehung kann zwischen zwei Active Directory-Forests erstellt werden. Diese Beziehung ermöglicht es Benutzern in einem Forest, auf Ressourcen im anderen Forest zuzugreifen und so die Zusammenarbeit zu erweitern und gleichzeitig die Sicherheitsgrenzen zu wahren.

Ein Querverweisobjekt ist ein Objekt in der Konfigurationspartition, das einen Namenskontext mit einem Verzeichnisserver verknüpft. Ein Angreifer, der dieses Objekt kompromittiert, kann Replikationsprobleme verursachen und zu veralteten Sicherheitsdaten führen.

Cross-Site-Scripting ist eine Art von Sicherheitslücke, die nicht spezifisch für Active Directory ist, sondern potenziell jede webbasierte Schnittstelle für die AD-Verwaltung betreffen kann, wenn die Schnittstelle Eingaben nicht ordnungsgemäß validiert.

Kryptographie ist die Praxis und das Studium von Techniken zur sicheren Kommunikation. In Active Directory wird die Kryptographie an mehreren Stellen eingesetzt, u.a. für sicheres LDAP, Kerberos-Authentifizierung und Encrypting File System (EFS).

Die Cyber-Kill-Chain ist ein Rahmenwerk, das die Schritte eines Cyberangriffs skizziert. Sie besteht im Allgemeinen aus sieben Schritten:

1. Erkundung
2. Bewaffnung
3. Lieferung
4. Ausbeutung
5. Installation
6. Befehl und Kontrolle
7. Maßnahmen zum Ziel

In hybriden und Multi-Cloud-Umgebungen unterstützt Semperis die Integrität und Verfügbarkeit wichtiger Unternehmensverzeichnisdienste auf jeder Stufe der Cyber-Kill-Chain.

Cyber-Kriegsführung ist eine Reihe von Cyber-Angriffen auf die kritischen Computersysteme eines Landes, Staates oder einer Organisation. Eines der berüchtigtsten Beispiele ist NotPetya, eine Malware, die 2017 von Russland ausging, die Ukraine angriff und sich schnell weltweit mit verheerenden Auswirkungen verbreitete.

"NotPetya hat eine völlig neue Ära der Cyber-Kriegsführung eingeläutet, und AD steht in deren Fadenkreuz", sagte Mickey Bresman, CEO von Semperis. "Cybersecurity-Programme, ob groß oder klein, stehen an der Front eines neuen Krieges, der praktisch keine Grenzen und keine Einsatzregeln kennt. Wenn Sie an Krankenhäuser denken, die nicht auf ihre Systeme zugreifen können, um ein Leben zu retten, oder an Städte, die als Geiseln genommen werden, haben wir die Verantwortung, Organisationen dabei zu helfen, die Kontrolle zurückzuerlangen."

Ein Cyberangriff ist ein böswilliger Versuch, sich unbefugten Zugang zu den Ressourcen von Computerinformationssystemen zu verschaffen, um Daten zu stehlen, zu verändern, offenzulegen und zu zerstören oder den Betrieb zu stören. Identitätssysteme wie Active Directory sind bevorzugte Ziele für Cyberangreifer. Aus diesem Grund haben Gartner und andere Analystenfirmen darauf hingewiesen, dass Unternehmen AD-spezifische Sicherheits- und Wiederherstellungslösungen benötigen, um ihre hybriden AD-Umgebungen angemessen zu schützen.

Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) ist eine Behörde des US-Ministeriums für Heimatschutz, die für die Stärkung der Cybersicherheit und der Infrastruktur gegen Bedrohungen zuständig ist.

Bei einem DACL-Backdoor-Angriff (Discretionary Access Control List) fügt ein Angreifer einen Eintrag zur DACL eines Objekts hinzu. Dadurch erhält der Angreifer bestimmte Berechtigungen oder Rechte für dieses Objekt, ohne dass er ein Konto mit diesen Rechten kompromittieren muss.

Ein Cyberangriff, der mit dem Ziel erfolgt, vertrauliche, sensible oder geschützte Informationen zu stehlen oder einer unbefugten Person zugänglich zu machen. 

Bei einem DCShadow-Angriff ändert ein Angreifer das Active Directory-Schema, indem er einen bösartigen Domänencontroller registriert. Der Angreifer kann dann bösartige Replikationsänderungen an die tatsächlichen Domänencontroller weitergeben. 

DCSync-Angriffe nutzen die Active Directory DCSync-Funktion, die sich als Domänencontroller (DC) ausgibt, indem sie die Directory Replication Services (DRS) nutzt, um Passwortdaten vom DC anzufordern. Der Angriff kann verwendet werden, um Passwort-Hashes vom Domänencontroller zu "ziehen", ohne dass Code auf dem Domänencontroller selbst ausgeführt werden muss. Diese Art des Angriffs umgeht geschickt die herkömmlichen Prüf- und Erkennungsmethoden. 

Defense in depth verwendet mehrere Sicherheitsmaßnahmen in einem mehrschichtigen Ansatz, um eine Organisation vor Cyberangriffen zu schützen.

Siehe auch: Mehrschichtige Verteidigung.

Die Kerberos-Delegation ist eine Funktion, die es einem Dienst ermöglicht, sich gegenüber anderen Diensten als ein Benutzer auszugeben. Wenn diese Funktion nicht richtig konfiguriert ist, kann sie von einem Angreifer ausgenutzt werden, um seine Privilegien zu erweitern oder sich seitlich im Netzwerk zu bewegen.

Siehe auch: Kerberos

Semperis Directory Services Protector ( DSP) ist die einzige Lösung zur Erkennung von Identitätsbedrohungen und zur Reaktion darauf (ITDR), die einen einzigen Überblick über Sicherheitsschwachstellen in hybriden Active Directory/Azure AD-Umgebungen bietet. Mit DSP können Sie Änderungen im lokalen AD und in Azure AD korrelieren, fortgeschrittene Angriffe erkennen, verdächtige Änderungen automatisch beheben und die AD-Angriffsfläche minimieren.

Active Directory-Wälder bergen oft mehrere Sicherheitsrisiken, die von Verwaltungsfehlern bis hin zu ungepatchten Schwachstellen reichen. Mit Zugriff auf AD oder Azure AD können Bedrohungsakteure die Herrschaft über Ihre gesamte Infrastruktur erlangen. Cyberangreifer zielen auf AD ab, um ihre Privilegien zu erhöhen und sich im Unternehmen festzusetzen. Um AD zu verteidigen, müssen Administratoren wissen, wie Angreifer die Umgebung ins Visier nehmen und welche Schwachstellen sie ausnutzen könnten.

Siehe auch: Active Directory Privilegienerweiterung, Indikatoren für eine Kompromittierung, Indikatoren für eine Gefährdung

Active Directory verlässt sich bei der Namensauflösung und dem Auffinden von Diensten stark auf DNS. DNS-Angriffe, wie z.B. DNS-Spoofing oder DNS-Poisoning, können DNS-Anfragen umleiten oder manipulieren, was zu unbefugtem Zugriff oder Unterbrechung von AD-Diensten führt.

Mitglieder der Gruppe DnsAdmins haben Zugriff auf Netzwerk-DNS-Informationen. Diese Gruppe existiert nur, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder war. Angreifer, die Zugriff auf diese Gruppe erhalten, können diesen Zugriff nutzen, um Active Directory zu kompromittieren.

Ein Angreifer, der Mitglied der Gruppe DNSAdmins ist, kann eine beliebige DLL in den DNS-Dienst laden, der mit Privilegien auf Systemebene läuft, und so eine Privilegienerweiterung erreichen.

Wenn ein Angreifer unbefugte Kontrolle über einen Domänencontroller (DC) erlangt, kann er Active Directory-Objekte manipulieren, Berechtigungen ändern, Hintertüren erstellen oder andere bösartige Aktionen durchführen, die die gesamte AD-Infrastruktur gefährden.

Während eines Cyberangriffs versuchen Angreifer oft, sich Zugang zu Active Directory zu verschaffen. Ein solcher Zugriff kann es Angreifern ermöglichen, administrative Privilegien zu erlangen und die ultimative Macht über Active Directory-Domänen und damit über alle Anwendungen und Daten zu erlangen, die auf Active Directory basieren.

Siehe auch: Lebenszyklus von Active Directory-Angriffen, Cyber-Kill-Chain

In einer Umgebung mit mehreren vertrauenswürdigen Domänen kann ein Angreifer mit Admin-Zugang zu einer Domäne mit niedrigerer Vertrauensstufe die Vertrauensbeziehung ausnutzen, um Zugang zu einer Domäne mit höherer Vertrauensstufe zu erhalten.

Der Local Security Authority Subsystem Service (LSASS) speichert Anmeldedaten im Speicher, die von einem Angreifer ausgelesen und extrahiert werden können. Tools wie Mimikatz werden häufig für diesen Zweck verwendet.

Effektive Berechtigungen sind eine Reihe von Berechtigungen, die einem Benutzer oder einer Gruppe auf der Grundlage einer Kombination aus expliziten und geerbten Berechtigungen gewährt werden. Das Verständnis der effektiven Berechtigungen ist für Sicherheitsprüfungen und Risikobewertungen entscheidend.

Erhöhte Privilegien sind höhere Berechtigungen, in der Regel administrative Privilegien, die einem Benutzerkonto gewährt werden. Ein Angreifer, der sich erhöhte Rechte verschafft, kann erheblichen Schaden anrichten oder Daten verletzen.

Empire ist ein PowerShell- und Python-Framework für die Post-Exploitation und bietet eine Reihe von Tools für die Ausnutzung von Windows-Systemen. Zu seinen Fähigkeiten gehören Funktionen zum Sammeln von Anmeldeinformationen, zum Erstellen von Hintertüren und zum Herstellen von Persistenz in einer AD-Umgebung.

Dieses PowerShell-Cmdlet wird verwendet, um ein deaktiviertes Benutzerkonto in Active Directory zu aktivieren. Durch Missbrauch können zuvor deaktivierte bösartige Konten wieder aktiviert werden.

Diese Windows-Funktion ermöglicht die transparente Ver- und Entschlüsselung von Dateien unter Verwendung fortschrittlicher, standardmäßiger kryptographischer Algorithmen. Obwohl EFS die Datensicherheit erhöhen kann, sollte es richtig verwaltet werden, um unbefugten Zugriff oder Datenverlust zu vermeiden.

Unter Verschlüsselung versteht man die Umwandlung von Daten in eine kodierte Form, um unbefugten Zugriff zu verhindern. AD verwendet Verschlüsselung in verschiedenen Formen für die sichere Kommunikation, wie Kerberos-Tickets oder LDAPS-Verbindungen.

Unter Endpunktschutz versteht man den Schutz von Endpunkten oder Eintrittspunkten von Endbenutzergeräten wie Desktops, Laptops und mobilen Geräten vor der Ausnutzung durch bösartige Akteure und Kampagnen. Bei unsachgemäßer Verwaltung können infizierte Endpunkte die AD-Sicherheit gefährden.

Diese hochrangige Gruppe in AD hat die volle Kontrolle über alle Assets innerhalb des gesamten Forest. Die Gruppe der Enterprise Admins ist ein wertvolles Ziel für Angreifer, da die Kompromittierung eines Enterprise Admins-Kontos zu einer vollständigen Übernahme der Domäne führen kann.

Ein gemeinsames Verzeichnis, wie z.B. Microsoft Active Directory, ermöglicht eine sicherere Umgebung für Verzeichnisbenutzer und gemeinsame Erwartungen an die Rolle, die das Verzeichnis sowohl für Benutzer als auch für Anwendungen bieten kann. Eine gemeinsame Unternehmensverzeichnisressource erleichtert den rollenbasierten Zugriff auf Computerressourcen.

EMM ist eine Reihe von Diensten und Technologien, die dazu dienen, Unternehmensdaten auf den mobilen Geräten der Mitarbeiter zu schützen. EMM wird in Verbindung mit AD für die Identitäts- und Zugriffsverwaltung verwendet.

Enumeration ist der Prozess der Extraktion detaillierter Informationen über Objekte im AD. Eine unkontrollierte Aufzählung kann zur Offenlegung von Informationen führen, die einem Angreifer helfen könnten.

Escalation of Privilege (oder Privilegieneskalation) ist eine Art des Eindringens in ein Netzwerk, bei der Programmier- oder Designfehler ausgenutzt werden, um dem Eindringling einen erweiterten Zugriff auf das Netzwerk und die damit verbundenen Daten und Anwendungen zu ermöglichen. In einem AD-Kontext kann ein Angreifer, der Fehlkonfigurationen oder Schwachstellen ausnutzen kann, um seine Privilegien zu erweitern, potenziell die vollständige Kontrolle über die Domäne erlangen.

Ethernet ist eine Familie von Computer-Netzwerktechnologien, die häufig in lokalen Netzwerken (LAN), Metropolitan Area Networks (MAN) und Wide Area Networks (WAN) eingesetzt werden. Ethernet wurde 1980 auf den Markt gebracht und seitdem weiterentwickelt, um höhere Bitraten und größere Verbindungsdistanzen zu unterstützen. Heute ist Ethernet die am häufigsten installierte Technologie für lokale Netzwerke. Ethernet-Kabel, wie Cat 5e und Cat 6, werden häufig in kabelgebundenen Netzwerken verwendet. Die neuesten Versionen von Ethernet können Datenübertragungsraten von bis zu 400 Gigabit pro Sekunde unterstützen.

Ereignisprotokolle sind Aufzeichnungen bedeutender Vorfälle in einem Betriebssystem oder einer anderen Software. Im Zusammenhang mit AD kann die Überwachung von Ereignisprotokollen helfen, Sicherheitsvorfälle oder problematische Konfigurationen zu erkennen. Einige Angriffe sind jedoch darauf ausgelegt, die Ereignisprotokollierung zu umgehen.

Dieses Snap-In für die Microsoft Management Console (MMC) bietet einen Überblick über die Ereignisprotokolle in Windows. Administratoren verwenden die Ereignisanzeige, um Probleme innerhalb von AD zu überwachen, zu verwalten und zu beheben, und das Tool ist wichtig, um Anzeichen für potenzielle Cyberangriffe zu erkennen.

Exchange Server ist die E-Mail-, Kalender-, Kontakt-, Terminplanungs- und Kollaborationsplattform von Microsoft, die auf dem Windows Server-Betriebssystem für den Einsatz in einer Geschäfts- oder größeren Unternehmensumgebung bereitgestellt wird. Exchange Server interagiert mit AD für Benutzerinformationen und Authentifizierung.

Eine explizite Gruppenmitgliedschaft liegt vor, wenn ein Benutzer oder eine Gruppe direkt zu einer AD-Gruppe hinzugefügt wird, anstatt die Mitgliedschaft über verschachtelte Gruppen zu erlangen. Das Verständnis von expliziten und impliziten (verschachtelten) Gruppenmitgliedschaften ist wichtig für die Verwaltung von Berechtigungen und Zugriffskontrollen.

Diese Gruppenrichtlinien-Einstellung ermöglicht den Export von Benutzer- und Computereinstellungen. Die Aktivierung dieser Funktion kann ein Sicherheitsproblem darstellen, wenn sie nicht ordnungsgemäß kontrolliert wird, da sie zur Offenlegung sensibler Konfigurationsdaten führen kann.

EPA ist eine Sicherheitsfunktion, die den Schutz und die Handhabung von Authentifizierungsdaten bei der Übertragung über das Netzwerk verbessert. Diese Technologie wurde entwickelt, um Man-in-the-Middle-Angriffe (MitM) abzuwehren, bei denen Anmeldeinformationen während der Übertragung gestohlen oder manipuliert werden. Die Aktivierung von EPA kann die Sicherheit von Protokollen für die Kommunikation und den Datenaustausch erhöhen. Bei der Verwendung mit LDAP kann EPA beispielsweise Angriffe wie NTLM-Relaying verhindern.

Erweiterte Rechte sind eine Reihe von Nicht-Standardberechtigungen, die einem Sicherheitsprinzipal gewährt werden können. Erweiterte Rechte bieten spezifische Kontrollzugriffsrechte für das Objekt, auf das sie angewendet werden. Eine falsche Konfiguration der erweiterten Rechte kann zu Sicherheitslücken führen.

Ein erweitertes Schema ist ein AD-Schema, das modifiziert oder um zusätzliche Attribute oder Klassen erweitert wurde, in der Regel zur Unterstützung von Anwendungen Dritter. Unsachgemäße Änderungen können jedoch zu Funktionsproblemen oder Sicherheitslücken führen.

XML ist eine Auszeichnungssprache, die eine Reihe von Regeln für die Kodierung von Dokumenten in einem Format definiert, das sowohl für Menschen als auch für Maschinen lesbar ist. Im Zusammenhang mit Active Directory kann XML auf vielfältige Weise verwendet werden, z.B. zur Erstellung von benutzerdefinierten Skripten für bestimmte Vorgänge, zur Definition von Gruppenrichtlinieneinstellungen oder zur Formatierung von Datenberichten.

Diese Jet-basierte ISAM-Datenspeichertechnologie (früher bekannt als Jet Blue) wird in Active Directory und Exchange Server verwendet. Die ESE-Datenbank-Engine ermöglicht eine schnelle und effiziente Datenspeicherung und -abfrage durch indizierten und sequentiellen Zugriff.

Eine externe Vertrauensstellung ist eine Art von Vertrauensstellung in Active Directory, die manuell definiert wird und sich nicht über zwei Domänen hinaus erstreckt. Unsachgemäß konfigurierte Vertrauensstellungen können Sicherheitsrisiken bergen, da sie einen nicht autorisierten Zugriff über Domänen hinweg ermöglichen können.

Ein Extranet ist ein kontrolliertes privates Netzwerk, das Partnern, Verkäufern und Lieferanten oder einer autorisierten Gruppe von Kunden den Zugang zu einer Teilmenge von Informationen ermöglicht, die über das Intranet eines Unternehmens zugänglich sind. Im Zusammenhang mit AD sind eine ordnungsgemäße Authentifizierung und Autorisierung für die Sicherheit von Extranet-Ressourcen unerlässlich.

Failback ist der Prozess der Wiederherstellung eines Systems oder einer anderen Komponente eines Systems in den ursprünglichen Zustand nach einem Failover.

In Active Directory bezieht sich Failover auf den Prozess, bei dem Netzwerkdienste im Falle eines Ausfalls des Primärservers auf einen Standby-Server verlagert werden. Dies ist ein wichtiger Teil der Sicherstellung hoher Verfügbarkeit.

Failover Clustering ist eine Technologie in Windows Server, mit der Sie Failover-Cluster erstellen und verwalten können, die eine hohe Verfügbarkeit für Netzwerkdienste und Anwendungen bieten.

Diese Netzwerkfunktion ermöglicht es einem Computer, Datendateien und angeschlossene Drucker mit anderen Computern und Geräten im Netzwerk zu teilen.

FRS ist ein Microsoft Windows Server-Dienst zur Verteilung von gemeinsamen Dateien und Gruppenrichtlinienobjekten (GPOs). FRS ist in neueren Versionen von Windows Server durch Distributed File System Replication (DFSR) ersetzt worden.

Die Sicherheit des Dateisystems bezieht sich auf die Zugriffskontrollen und Berechtigungen, die den Dateien und Verzeichnissen zugewiesen werden. In einem Active Directory-Kontext bezieht sich die Dateisystemsicherheit häufig auf Berechtigungen, die über Gruppenrichtlinienobjekte festgelegt werden.

FAS-Attribute werden nicht auf Read-Only Domain Controllers (RODCs) repliziert.

Im Zusammenhang mit Active Directory wird das Filtern verwendet, um die Objekte oder Attribute einzuschränken, auf die eine Replikations- oder Abfrageoperation wirkt. Eine unsachgemäße Filterung kann zu einer ineffizienten Replikation oder zu ungenauen Abfrageergebnissen führen, was die Leistung beeinträchtigt und möglicherweise zu falschen Daten führt.

In Windows Server 2008 und höher können Sie mit diesen Richtlinien mehrere Kennwortrichtlinien innerhalb einer einzigen Domäne festlegen. Auf diese Weise können Sie unterschiedliche Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Gruppen von Benutzern in Ihrer Domäne anwenden.

FOCA ist ein Tool, das dazu dient, Metadaten und versteckte Informationen in Dokumenten zu finden. FOCA kann verwendet werden, um Informationen aus öffentlichen Dateien zu extrahieren, die auf der Website eines Unternehmens gehostet werden. So erhalten Angreifer Einblicke in die interne Struktur einer AD-Umgebung.

Dieses Netzwerksicherheitsgerät überwacht den ein- und ausgehenden Netzwerkverkehr und entscheidet auf der Grundlage einer Reihe von Sicherheitsregeln, ob bestimmter Datenverkehr zugelassen oder blockiert werden soll.

Die Einstellungen und Regeln, die bestimmen, wie Ihre Firewall den ein- und ausgehenden Datenverkehr verwaltet. Fehlkonfigurationen können Ports für Angreifer offen lassen, so dass die Firewall ein wichtiger Aspekt der Netzwerksicherheit ist.

Firewall-Ausnahmen sind Konfigurationen, die es einem bestimmten Netzwerkverkehr erlauben, die Sicherheitskontrollen zu umgehen. Dies ist oft notwendig, damit bestimmte Anwendungen oder Dienste in einem Netzwerk ordnungsgemäß funktionieren.

Die Richtlinien, die festlegen, wie eine Firewall funktioniert. Diese Regeln können festlegen, welche Arten von Datenverkehr von der Firewall zugelassen oder blockiert werden und wohin dieser Verkehr gehen darf. Die ordnungsgemäße Konfiguration und Verwaltung von Firewall-Regeln ist entscheidend für die Aufrechterhaltung der Netzwerksicherheit.

Ein flacher Name ist der NetBIOS-Name der Domäne und kann sich vom DNS-Namen der Domäne unterscheiden.

Der Prozess der zwangsweisen Übertragung von FSMO-Rollen von einem nicht funktionierenden Domänencontroller auf einen funktionierenden Domänencontroller innerhalb einer Active Directory-Domäne. Die FSMO-Beschlagnahme ist ein Notfallwiederherstellungsprozess, bei dem ein Active Directory-Domänencontroller eine FSMO-Rolle von einem anderen Domänencontroller, der nicht funktioniert oder dauerhaft offline ist, zwangsweise übernimmt. Dies ist in der Regel eine Notmaßnahme, da die Beschlagnahme einer FSMO-Rolle zu Dateninkonsistenzen im Verzeichnisdienst führen kann, wenn der ursprüngliche Rolleninhaber wieder verfügbar wird.

Der Prozess der Übertragung von FSMO-Rollen von einem Domänencontroller auf einen anderen. Die Übertragung von FSMO-Rollen ist in der Regel ein geplanter Prozess, im Gegensatz zur Beschlagnahme von FSMO-Rollen, die in der Regel ein Notfallprozess ist. Die FSMO-Übertragung muss sicher verwaltet werden, um zu verhindern, dass ein Angreifer die Kontrolle über diese wichtigen Rollen übernimmt.

Siehe auch: Flexible Single Master Operations (FSMO) Rollenbeschlagnahme

FSMO-Rollen sind spezielle Rollen, die einem oder mehreren Domänencontrollern in einer Active Directory-Umgebung zugewiesen sind. Diese Rollen verwalten Vorgänge, die jeweils nur von einem DC ausgeführt werden können. Die Rollen tragen dazu bei, die Konsistenz zu gewährleisten und das Potenzial für widersprüchliche Aktualisierungen in einer Active Directory-Umgebung zu beseitigen. Eine unsachgemäße Verwaltung oder ein Ausfall eines Servers mit einer dieser Rollen kann jedoch zu Störungen in der AD-Umgebung führen.

Es gibt fünf FSMO-Rollen:

• Schema Master (einer pro Forest)
• Domain Naming Master (einer pro Forest)
• PDC-Emulator (einer pro Domäne)
• RID Master (einer pro Domäne)
• Infrastruktur-Master (einer pro Domäne)

Die Ordnerumleitung ist eine Gruppenrichtlinienfunktion, die den Speicherort bestimmter Ordner wie Desktop, Dokumente und Bilder an einen neuen Ort im Netzwerk verschiebt.

Bei dieser Art von Angriff zwingt ein Angreifer ein Benutzer- oder Dienstkonto dazu, sein Kennwort zu ändern. Der Angreifer fängt den Hash des neuen Kennworts ab, während es an den Domänencontroller übertragen wird, und verwendet ihn dann zur Authentifizierung als Benutzer- oder Dienstkonto.

Ein Objekt, das einen Sicherheitsprinzipal (z.B. einen Benutzer oder eine Sicherheitsgruppe) darstellt, der sich in einer vertrauenswürdigen Domäne außerhalb der Gesamtstruktur befindet. Diese Objekte ermöglichen es externen Sicherheitsprinzipalen, Mitglieder von Sicherheitsgruppen innerhalb der Domäne zu werden.

In Active Directory ist ein Forest eine Sammlung von einem oder mehreren Domänenbäumen, die jeweils einen anderen DNS-Namensraum haben. Alle Domänenbäume in einem Forest haben ein gemeinsames Schema und einen gemeinsamen Konfigurationscontainer. Wenn Sie Active Directory zum ersten Mal installieren, wird bei der Erstellung der ersten Domäne auch ein Forest erstellt. Forests dienen als oberster logischer Container in einer Active Directory-Konfiguration und kapseln Domänen ein.

Forest Druid ist ein kostenloses Sicherheitstool der Semperis-Community, das Angriffspfade identifiziert und priorisiert, die zu Tier 0-Ressourcen führen. Das Tool hilft Cybersecurity-Verteidigungsteams dabei, risikoreiche Fehlkonfigurationen, die Angreifern die Möglichkeit bieten könnten, sich Zugang zu privilegierten Domänen zu verschaffen, schnell zu priorisieren. Anstatt jeden Weg zu verfolgen, können Verteidiger mit Forest Druid unerwünschte oder unerwartete Angriffspfade schnell identifizieren und beheben, um den Prozess der Schließung von Hintertüren in Active Directory zu beschleunigen.

Forest Druid hilft Ihnen:

1. Identifizieren Sie die Gruppen und Konten mit Zugriff auf Tier 0 Assets
2. Definieren Sie Aktiva der Stufe 0, die sonst in den Standardkonfigurationen fehlen
3. Scannen Sie AD auf risikoreiche Verstöße
4. Schutz von Tier 0-Anlagen durch Anwendung der Analyseergebnisse zur Priorisierung von Abhilfemaßnahmen und zum Abbau übermäßiger Privilegien mit Schwerpunkt auf Tier 0-Anlagen

Die FFL-Einstellung bestimmt die verfügbaren Active Directory Domain Services (AD DS)-Funktionen, die in einem Forest verwendet werden können.

Siehe auch: Active Directory-Domänendienste (AD DS)

Die Forest Root-Domäne ist die erste Domäne, die im Forest erstellt wird. Diese Domäne enthält einige besondere Funktionen und ist für das Funktionieren des gesamten AD-Forests entscheidend. Die Stammdomäne der Gesamtstruktur kann nicht entfernt werden.

Eine Forest-Trust-Beziehung wird zwischen zwei Active Directory-Forests eingerichtet. Ein Forest Trust ermöglicht Benutzern in verschiedenen Forests den gegenseitigen Zugriff auf Ressourcen, vorbehaltlich der konfigurierten Berechtigungen. Eine falsche Konfiguration dieser Vertrauensstellungen kann dazu führen, dass nicht autorisierte Benutzer auf Ressourcen zugreifen können, was möglicherweise zu Datenverletzungen führt.

Ein Vorwärtslink in Active Directory ist eine Art Link-Attribut, das von einem Objekt zu einem anderen zeigt. Wenn der Vorwärtslink geändert wird, aktualisiert das System automatisch die Link-Tabelle für das Rückwärtslink-Attribut. Zum Beispiel ist das Attribut member eines Gruppenobjekts ein Vorwärtslink, der auf die Benutzer verweist, die Mitglieder der Gruppe sind, während das Attribut memberOf der zugehörige Rückwärtslink ist.

Eine Forward-Lookup-Zone ist ein Teil des DNS-Servers in Active Directory, der dazu dient, Domänennamen in IP-Adressen zu übersetzen. Wenn sie nicht ordnungsgemäß gesichert ist, kann sie von Angreifern ausgenutzt werden, um sich unbefugten Zugang zu verschaffen oder einen DNS-Poisoning-Angriff zu starten.

Die zwangsweise Übertragung von FSMO-Rollen (Flexible Single Master Operations) von einem Domain Controller auf einen anderen. Dies geschieht in der Regel, wenn der ursprüngliche Domain Controller nicht mehr verfügbar ist, und sollte nur als letztes Mittel eingesetzt werden, da es zu Problemen innerhalb der Domäne führen kann. Eine unsachgemäße Beschlagnahmung kann die AD-Funktionalität stören und Sicherheitsprobleme verursachen.

Der Prozess der Wiederherstellung des ursprünglichen Zustands eines Computersystems, in der Regel unter Verwendung eines vollständigen System-Backups im Falle eines kritischen Systemausfalls oder einer Beschädigung.

Der FQDN ist der vollständige Domänenname für einen bestimmten Computer oder Host im Internet. Der FQDN besteht aus zwei Teilen: dem Hostnamen und dem Domänennamen. Im Falle von Active Directory wird der FQDN verwendet, um den Standort eines Objekts innerhalb des Verzeichnisses genau zu identifizieren.

In Active Directory bestimmt die Funktionsebene die verfügbaren AD DS-Domänen- oder Waldfunktionen. Sie bestimmt auch, welche Windows Server-Betriebssysteme Sie auf den Domänencontrollern in der Domäne oder der Gesamtstruktur ausführen können. Sobald jedoch die Funktionsstufe angehoben wurde, können Domänencontroller, auf denen frühere Versionen von Windows Server laufen, nicht mehr in die Domäne oder die Gesamtstruktur aufgenommen werden.

Dieser PowerShell-Befehl ruft die resultierende Kennwortreplikationsrichtlinie für ein AD-Konto ab. Ein Angreifer kann diese Informationen nutzen, um herauszufinden, welche Kennwörter wo repliziert werden, und so seine Angriffe besser planen.

Dieses PowerShell-Cmdlet ruft ein Domänencontroller-Objekt ab oder führt eine Suche durch, um mehrere Domänencontroller-Objekte aus dem AD abzurufen. Bei unsachgemäßer Verwendung kann es einem Angreifer wertvolle Informationen über den Domänencontroller in einer AD-Umgebung liefern.

Dieses PowerShell-Cmdlet ruft fein abgestufte Kennwortrichtlinien aus dem AD ab. Wenn diese Richtlinien falsch konfiguriert sind oder durchgesickert sind, könnte dies einem Angreifer helfen, einen Angriff zum Knacken von Kennwörtern zu planen.

Dieses PowerShell-Cmdlet ruft ein Gruppenobjekt ab oder führt eine Suche durch, um mehrere Gruppenobjekte aus dem AD abzurufen. Ein Missbrauch oder eine unangemessene Offenlegung kann einem Angreifer wertvolle Informationen über die Gruppenstruktur und -mitgliedschaft in einer AD-Umgebung liefern.

Dieser PowerShell-Befehl ruft die Mitglieder einer AD-Gruppe ab. Ein Angreifer könnte dies nutzen, um Konten mit hohen Rechten zu identifizieren, auf die er es abgesehen hat.

Dieser PowerShell-Befehl ruft ein AD-Objekt ab oder führt eine Suche durch, um mehrere Objekte abzurufen. Er wird häufig von Angreifern zur Erkundung verwendet, um die Objekte im AD zu verstehen.

Dieses PowerShell-Cmdlet ruft die Attribut-Replikations-Metadaten für AD-Objekte ab, die für die Fehlersuche bei Replikationsproblemen verwendet werden können. In den Händen eines Angreifers könnte es jedoch möglicherweise sensible Informationen preisgeben.

Dieser PowerShell-Befehl ruft das Stammverzeichnis des Directory Information Tree (DIT) einer AD-Domäne ab. Dies kann von Angreifern genutzt werden, um Informationen über die Struktur der Domäne zu sammeln.

Dieses PowerShell-Cmdlet ruft ein Vertrauensobjekt ab oder führt eine Suche durch, um mehrere Vertrauensobjekte aus dem AD abzurufen. Bei unsachgemäßer Verwendung kann es einem Angreifer wertvolle Informationen über Vertrauensbeziehungen in einer AD-Umgebung liefern.

Dieses PowerShell-Cmdlet ruft ein Benutzerobjekt ab oder führt eine Suche durch, um mehrere Benutzerobjekte aus dem AD abzurufen. Bei unsachgemäßer Verwendung oder Offenlegung kann es einem Angreifer wertvolle Informationen über Benutzerkonten in einer AD-Umgebung liefern und potenzielle Ziele für Angriffe innerhalb des AD identifizieren.

Die GAL ist ein zugängliches Verzeichnis aller Benutzer, Gruppen, gemeinsamen Kontakte und Ressourcen, die in den Active Directory Domain Services (AD DS) eines Unternehmens erfasst sind. Ein unangemessener Zugriff oder eine Manipulation der GAL kann zu unberechtigtem Informationszugriff oder Phishing-Angriffen führen.

Der Globale Katalog ist ein verteiltes Daten-Repository, das eine durchsuchbare, partielle Darstellung jedes Objekts in jeder Domäne in einer Active Directory Domain Services (AD DS)-Gruppe mit mehreren Domänen enthält. Der GC wird verwendet, um Suchvorgänge und Anmeldungen zu beschleunigen, insbesondere in großen Umgebungen. Wenn ein GC-Server nicht mehr verfügbar oder gefährdet ist, kann dies zu Problemen bei Anmeldungen und Suchen führen.

Globale Gruppen können Mitglieder aus ihrer eigenen Domäne haben, können aber in jeder Domäne der Gesamtstruktur Berechtigungen erhalten. Bei falscher Verwendung können diese Gruppen zu einer unerwünschten Ausweitung der Rechte führen.

Eine in der Programmierung verwendete eindeutige Referenznummer, die vom System zur eindeutigen Identifizierung eines AD-Objekts erstellt wird. Eine GUID in Active Directory ist eine 128-Bit-Nummer, die zur eindeutigen Identifizierung von Objekten verwendet wird. Jedes in einem Active Directory erstellte Objekt erhält eine GUID, die während der gesamten Lebensdauer des Objekts gleich bleibt, auch wenn das Objekt verschoben oder umbenannt wird. Die Manipulation von GUIDs kann möglicherweise zu Angriffen wie Objekt-Impersonation führen. 

Bei einem Golden gMSA-Angriff handelt es sich um einen Cyberangriff, bei dem Angreifer die Attribute des Root-Schlüssels des Key Distribution Service (KDS) ausspähen und die Passwörter für alle zugehörigen gMSAs offline generieren. Dieser zweistufige Prozess beginnt damit, dass der Angreifer mehrere Attribute des KDS-Stammschlüssels in der Domäne abruft. Anschließend generiert der Angreifer mit dem Golden gMSA-Tool das Kennwort jeder gMSA, die mit dem Schlüssel verbunden ist (ohne ein privilegiertes Konto zu besitzen).

Ein Golden-Ticket-Angriff ermöglicht es einem Angreifer, ein Kerberos-Ticket zu fälschen, wodurch er als hoch privilegierter Benutzer, z.B. als Domänenadministrator, unbefugten Zugriff auf jedes System in der Domäne erhält. Solche erhöhten Privilegien können dem Angreifer nahezu unbegrenzten Zugriff auf Active Directory und die davon abhängigen Ressourcen geben. 

Dieses Befehlszeilentool in Windows-Betriebssystemen erzwingt eine sofortige Aktualisierung der Gruppenrichtlinie auf dem lokalen Rechner. Dieses Tool kann nützlich sein, um Richtlinienänderungen sofort anzuwenden, anstatt auf den automatischen Aktualisierungszyklus zu warten.

In AD können granulare Audit-Richtlinien für eine detailliertere Informationserfassung konfiguriert werden. Fehlkonfigurationen können zu Lücken in der Überwachung und Protokollierung führen, so dass Angreifer möglicherweise nicht entdeckt werden.

Dieser eindeutige Wert identifiziert eine bestimmte Gruppe in einer AD-Umgebung. In einem UNIX-Kontext wird die GID häufig verwendet, um UNIX-Gruppen ihren Windows-Entsprechungen zuzuordnen. Diese Fähigkeit kann für Angriffe zur Umgehung der Zugriffskontrolle in Umgebungen mit gemischten Betriebssystemen missbraucht werden.

Ein gruppenverwaltetes Dienstkonto (gMSA) ist ein verwaltetes Domänenkonto, das dazu beiträgt, Dienste auf mehreren Servern zu sichern. Das in Windows Server 2012 eingeführte gMSA ist eine besondere Art von Dienstkonto in Active Directory und bietet eine automatische Passwortrotation alle 30 Tage. Außerdem bietet es eine vereinfachte Verwaltung von Dienstprinzipalnamen (SPN) und die Möglichkeit, die Verwaltung an andere Administratoren zu delegieren. Wenn sie kompromittiert werden, können GMSAs dazu verwendet werden, Privilegien zu erweitern oder sich seitlich in einem Netzwerk zu bewegen.

Siehe auch: Goldener gMSA-Angriff

Passwörter für Group Managed Service Accounts (gMSAs) werden von AD verwaltet. Wenn diese Konten kompromittiert werden, kann ein Angreifer sich seitlich im Netzwerk bewegen oder seine Privilegien ausweiten.

Siehe auch: Gruppenverwaltetes Servicekonto (gMSA)

In Active Directory werden Benutzer in Gruppen zusammengefasst, um die Vergabe von Berechtigungen oder die Delegierung von Kontrolle zu vereinfachen. Falsche Gruppenmitgliedschaften können einem Benutzer mehr Zugriffsrechte als nötig geben. Wenn Sie das Prinzip der geringsten Berechtigung befolgen, können Sie das Risiko verringern.

Gruppenverschachtelung bezieht sich auf die Praxis, Gruppen als Mitglieder anderer Gruppen hinzuzufügen. Obwohl die Verschachtelung die Verwaltung von Berechtigungen vereinfachen kann, kann sie auch komplexe und schwer zu verfolgende Berechtigungsstrukturen schaffen, die möglicherweise zu übermäßigen Berechtigungen und Sicherheitsproblemen führen.

Dieses Snap-In für die Microsoft Management Console (MMC) bietet eine einzige Verwaltungsschnittstelle für die Verwaltung von Gruppenrichtlinien im gesamten Unternehmen in einer Active Directory-Umgebung. GPMC vereinfacht die Verwaltung von Gruppenrichtlinien, indem es das Verständnis, die Bereitstellung und die Verwaltung von Richtlinienimplementierungen erleichtert.

Dieses Planungs- und Fehlerbehebungs-Tool für Gruppenrichtlinien kann die potenziellen Auswirkungen von GPOs simulieren, aber eine falsche Verwendung oder ein falsches Verständnis der Ergebnisse kann zu Fehlkonfigurationen führen.

Mit Gruppenrichtlinien können IT-Administratoren spezifische Konfigurationen für Benutzer und Computer implementieren. Gruppenrichtlinieneinstellungen sind in Gruppenrichtlinienobjekten (GPOs) enthalten, die mit Active Directory Domain Services (AD DS) Containern verknüpft sind. Ein GPO ist eine Komponente der Gruppenrichtlinie, die dazu dient, Richtlinieneinstellungen für Benutzer oder Computer zu repräsentieren. GPOs können zum Ziel von Angreifern werden, die die Sicherheitseinstellungen auf systemweiter Ebene ändern wollen.

Siehe auch: Missbrauch von Gruppenrichtlinienobjekten (GPO)

Angreifer mit der Berechtigung zum Ändern von GPOs können diese Fähigkeit nutzen, um bösartigen Code auszuführen, Systemeinstellungen zu ändern oder den Systembetrieb auf Systemen zu stören, auf denen das GPO gilt.

GPP ist Teil der Gruppenrichtlinien und ermöglicht eine erweiterte Konfiguration von Systemen. GPP ist wegen eines Sicherheitsproblems bemerkenswert: Es speicherte Passwörter in einem umkehrbar verschlüsselten Format, eine Sicherheitslücke, die in der Vergangenheit ausgenutzt wurde.

Siehe auch: Angriff auf das Passwort der Gruppenrichtlinienpräferenzen (GPP)

Bevor ein Microsoft-Update die Funktion Group Policy Preferences (GPP) entfernte, erlaubte GPP Administratoren, Kennwörter in Group Policy Objects (GPOs) zu speichern. Die verschlüsselten Kennwörter konnten leicht entschlüsselt werden, und ältere GPOs enthalten möglicherweise noch diese veralteten Kennworteinträge, was sie zu einem Ziel für Angreifer macht.

Ein Bericht über Gruppenrichtlinieneinstellungen innerhalb des Geltungsbereichs eines Objekts (Benutzer oder Computer). Dieser Bericht kann für die Fehlersuche wertvoll sein, kann aber auch Angreifern potenzielle Schwachstellen oder Fehlkonfigurationen in GPOs aufzeigen.

Die Gruppenrichtlinie ist eine integrierte Funktion von Microsoft Active Directory. Ihr Hauptzweck besteht darin, IT-Administratoren die Möglichkeit zu geben, Benutzer und Computer in einer AD-Domäne zentral zu verwalten. Dazu gehören sowohl Geschäftsanwender und privilegierte Benutzer wie IT-Administratoren als auch Workstations, Server, Domänencontroller (DCs) und andere Rechner. Die Gruppenrichtliniensicherheit ist ein wichtiger Teil der AD-Sicherheit.

Gruppenbereiche definieren die Reichweite der AD-Gruppen in Bezug auf ihre Fähigkeit, andere Gruppen oder Benutzer als ihre Mitglieder aufzunehmen, und das Ausmaß, in dem diesen Gruppen Berechtigungen gewährt werden können. Eine Fehlkonfiguration der Gruppenbereiche kann zu einem nicht autorisierten Zugriff auf Ressourcen führen.

Active Directory definiert zwei Arten von Gruppen: Sicherheit und Verteilung. Sicherheitsgruppen werden für Berechtigungen verwendet, während Verteilergruppen für E-Mail-Verteilerlisten verwendet werden.

Die Härtung einer AD-Umgebung beinhaltet die Sicherung der Umgebung gegen Angriffe, indem die Angriffsfläche verringert wird. Dazu gehören Maßnahmen wie die Implementierung des Zugriffs mit geringsten Privilegien, die Überwachung verdächtiger Aktivitäten, regelmäßige Updates und Patches für die Systeme und so weiter.

Im Zusammenhang mit Active Directory bezieht sich Hashing darauf, wie Kennwörter gespeichert werden. AD verwendet einen Hash-Algorithmus, um Passwörter in einem nicht umkehrbaren Hash-Format zu speichern, was die Sicherheit erhöht. Angreifer können jedoch immer noch Techniken wie Pass-the-Hash-Angriffe verwenden, um diese gehashten Anmeldedaten auszunutzen.

Zustandsprüfungen von Active Directory sind wichtig, um den korrekten Betrieb und die Leistung einer AD-Umgebung sicherzustellen. Regelmäßige Zustandsprüfungen können Probleme erkennen, bevor sie sich zu größeren Problemen entwickeln. Im Hinblick auf die Sicherheit können sie auch ungewöhnliche Aktivitäten aufdecken, die auf eine Verletzung oder einen versuchten Angriff hinweisen könnten.

Ein versteckter Empfänger in Active Directory ist ein Benutzer, der nicht in den Adresslisten auftaucht. Wenn versteckte Empfänger nicht ordnungsgemäß verwaltet werden, könnte ein Angreifer sie nutzen, um Daten zu exfiltrieren, ohne Alarm zu schlagen.

Die AD-Struktur ist als Hierarchie aufgebaut, angefangen von Forests bis hin zu Domänen, Organisationseinheiten und einzelnen Objekten. Ein Verständnis dieser Hierarchie ist sowohl für die Verwaltung von AD als auch für die Absicherung gegen potenzielle Angriffe entscheidend.

In AD ist das Home-Verzeichnis ein bestimmter Netzwerkspeicherort, der bei jeder Benutzeranmeldung automatisch verbunden wird. Wenn diese Verzeichnisse nicht ordnungsgemäß gesichert sind, können sie von Angreifern ausgenutzt werden, um unbefugten Zugriff auf sensible Daten zu erhalten.

In der Cybersicherheit ist ein Honeypot-Konto ein AD-Konto, das dazu dient, bösartige Aktivitäten anzulocken und zu entdecken. Wenn auf das Honeypot-Konto zugegriffen wird oder es verändert wird, könnte dies ein Hinweis auf eine Sicherheitsverletzung sein.

Ein Host ist ein Computer, der mit einem Netzwerk verbunden ist.

In Active Directory ordnet ein Host-Eintrag (A) einen Domänennamen einer IP-Adresse im DNS zu. Wenn diese Datensätze nicht ordnungsgemäß gesichert sind, können Angreifer sie manipulieren, so dass der Datenverkehr auf bösartige Websites umgeleitet wird.

Im Zusammenhang mit Active Directory Federation Services (AD FS) wird ein Host-Header verwendet, um eingehende HTTP/HTTPS-Anfragen weiterzuleiten, die an einen bestimmten AD FS-Föderationsserver in einer Farm gesendet werden.

Ein HIDS ist ein System, das ein Computersystem (und nicht ein Netzwerk) auf bösartige Aktivitäten oder Richtlinienverstöße überwacht. Die Implementierung eines HIDS auf kritischen AD-Servern kann dazu beitragen, potenzielle Angriffe zu erkennen und zu verhindern.

Ein Hotfix ist ein einzelnes, kumulatives Paket, das Informationen (oft in Form von Dateien) enthält, mit denen ein Problem in einem Softwareprodukt wie Active Directory behoben wird. Aus Sicht der Cybersicherheit ist die regelmäßige Anwendung von Hotfixes unerlässlich, um sich vor bekannten Sicherheitslücken zu schützen.

Eine hybride Active Directory-Umgebung integriert lokales AD mit Cloud-basierten Lösungen wie Azure AD (jetzt Entra ID). Diese Einrichtung ermöglicht es Benutzern, eine einzige Identität für beide Systeme zu haben. Aus Sicht der Cybersicherheit kann die Verwaltung von Zugriff und Identitäten in lokalen und Cloud-Umgebungen komplex sein und erfordert einen umfassenden Sicherheitsansatz.

In einer hybriden Cloud-Bereitstellung kann Active Directory zur Authentifizierung und Autorisierung von Benutzern und Computern in einem Netzwerk dienen, das lokale Infrastrukturen und Cloud-Dienste kombiniert. Die Sicherheitsmaßnahmen müssen in beiden Umgebungen berücksichtigt werden.

Viele Unternehmen verwenden heute sowohl Active Directory vor Ort als auch Azure AD in der Cloud. Diese hybride Identitätsumgebung ermöglicht eine gemeinsame Benutzer- und Systemidentität zur Authentifizierung und Autorisierung von Ressourcen unabhängig vom Standort. Sie bringt jedoch auch einzigartige Herausforderungen für die Cybersicherheit mit sich.

Als Antwort darauf bietet Semperis Lösungen zur Erkennung von Identitätsbedrohungen und zur Reaktion darauf (ITDR), die für den Schutz hybrider Identitäten entwickelt wurden. Wir sponsern auch den Hybrid Identity Protection (HIP) Podcast und die Hybrid Identity Protection Conference (hipconf.com).

Hydra ist ein beliebtes Brute-Force-Tool und unterstützt zahlreiche Protokolle, darunter SMB und HTTP, die häufig in AD-Umgebungen verwendet werden. Hydra kann dazu verwendet werden, Passwörter zu erraten oder zu knacken und so unbefugten Zugang zu Benutzerkonten zu erhalten.

HTTPS wird häufig in AD Federation Services (ADFS) verwendet, um die Kommunikation zu sichern. Es ist wichtig, die Zertifikate auf dem neuesten Stand zu halten und starke Verschlüsselungsprotokolle zu verwenden, um die Sicherheit zu gewährleisten.

IAM ist ein Rahmenwerk von Richtlinien und Technologien, mit denen sichergestellt wird, dass die richtigen Personen in einem Unternehmen den entsprechenden Zugriff auf Technologieressourcen erhalten. IAM-Systeme können verwendet werden, um Benutzeridentitäten und die damit verbundenen Zugriffsberechtigungen zu initiieren, zu erfassen, aufzuzeichnen und zu verwalten.

Von Phishing-E-Mails bis hin zu Cyberangriffen auf Active Directory - Bedrohungsakteure haben es gerne auf Identitätsressourcen abgesehen. Wenn ein Cyberangreifer in den Besitz der Identitätsdaten eines Benutzers gelangt (z. B. über eine Phishing-E-Mail), muss er nicht in Ihre Umgebung einbrechen, sondern kann sich einfach anmelden. Sobald er sich in Ihrer Umgebung befindet, kann der Angreifer versuchen, weitere Identitäten zu übernehmen und sich (durch die Ausweitung seiner Rechte) bis zur Administrator-Ebene vorarbeiten. An diesem Punkt kann der Angreifer Änderungen an Active Directory vornehmen, um Benutzer- und Systemkonten, Ressourcen und Daten zu übernehmen, zu sperren oder abzuschalten.

IdM ist ein breiter Verwaltungsbereich, der die Identifizierung von Einzelpersonen in einem System (z. B. einem Land, einem Netzwerk oder einem Unternehmen) und die Kontrolle ihres Zugriffs auf Ressourcen innerhalb dieses Systems umfasst, indem Benutzerrechte und -beschränkungen mit der festgelegten Identität verknüpft werden.

IdP ist ein System, das Identitätsinformationen für Auftraggeber erstellt, verwaltet und verwaltet und anderen Dienstanbietern innerhalb einer Föderation die Authentifizierung von Auftraggebern ermöglicht, z. B. mit AD Federation Services (ADFS).

Identitätssysteme sind ständigen Angriffen ausgesetzt. Der Missbrauch von Anmeldeinformationen ist heute eine der Hauptmethoden, die Cyberangreifer nutzen, um auf Systeme zuzugreifen und ihre Ziele zu erreichen.

Gartner hat die Kategorie Identity Threat Detection and Response (ITDR) definiert, um Lösungen zu bewerten, die identitätsbasierte Angriffe erkennen und abwehren. ITDR bezieht sich auf eine Reihe von Praktiken, Strategien und Technologien, die zur Erkennung von und Reaktion auf potenzielle Bedrohungen und Angriffe auf Benutzeridentitäten und Anmeldeinformationen eingesetzt werden. In einem Active Directory-Kontext umfasst dies häufig die Überwachung verdächtiger Aktivitäten wie anormale Anmeldemuster, übermäßig viele fehlgeschlagene Anmeldeversuche oder unerwartete Ausweitung von Berechtigungen. 

ITDR ist eine wichtige Komponente der Cybersicherheit, da kompromittierte Benutzeranmeldeinformationen oft ein Sprungbrett für Angreifer sind, um sich Zugang zu sensiblen Ressourcen zu verschaffen, sich seitlich zu bewegen oder eine Privilegienerweiterung innerhalb des Netzwerks vorzunehmen. Daher benötigen Unternehmen eine Reihe von Tools und Prozessen, um Identitätssysteme zu schützen. 

Dieses Attribut in AD verknüpft einen lokalen Benutzer mit einem Office 365-Benutzer. ImmutableID wird häufig bei AD-Migrationen oder -Konsolidierungen verwendet.

Impacket ist eine Sammlung von Python-Klassen, die für die Arbeit mit Netzwerkprotokollen entwickelt wurden und häufig für die Erstellung von Netzwerk-Tools verwendet werden. Es bietet ein robustes und umfassendes Framework für die Erstellung und Dekodierung von Netzwerkpaketen und ermöglicht es Entwicklern, den Netzwerkverkehr zu konstruieren und zu analysieren. Obwohl Impacket ein wichtiges Werkzeug für legitime Netzwerkadministratoren und Cybersicherheitsexperten ist, kann es auch von böswilligen Akteuren für Netzwerkangriffe ausgenutzt werden, z. B. für NTLM-Relay-Angriffe auf Active Directory.

Siehe auch: NTLM-Relay-Angriff

Impersonation bezieht sich auf die Fähigkeit eines Threads, in einem Sicherheitskontext ausgeführt zu werden, der sich von dem Kontext des Prozesses unterscheidet, dem der Thread gehört. Im Kontext der Cybersicherheit ist Impersonation eine gängige Angriffsmethode, die zu unberechtigtem Zugriff oder zur Ausweitung von Privilegien führen kann.

Spezielle Identitäten, die je nach den Umständen verschiedene Benutzer zu verschiedenen Zeiten repräsentieren. Zum Beispiel: Anonyme Anmeldung, Batch, Authentifizierter Benutzer und mehr.

Eine Methode zur Indizierung von Daten für den schnellen Abruf, die von der Extensible Storage Engine (ESE) in Active Directory verwendet wird.

Angriffsindikatoren (Indicators of Attack, IOAs) in der Cybersicherheit sind Sicherheitsindikatoren, die die Absicht eines Cyberangriffs aufzeigen. Die Erkennung von IOAs in einem frühen Stadium eines Angriffs kann den Verteidigern helfen, weiteren Schaden zu verhindern.

Siehe auch: Sicherheitsindikatoren, Indikatoren für Kompromittierung, Indikatoren für Gefährdung

Kompromittierungsindikatoren (Indicators of Compromise, IOCs) in der Cybersicherheit sind Sicherheitsindikatoren, die zeigen, dass die Sicherheit des Netzwerks verletzt worden ist. Ermittler entdecken IOCs in der Regel, nachdem sie über einen verdächtigen Vorfall informiert wurden, ungewöhnliche Anrufe aus dem Netzwerk entdeckt haben oder während einer Sicherheitsbewertung. Semperis Purple Knight und Directory Services Protector ( DSP) scannen nach IOCs.

Siehe auch: Sicherheitsindikatoren, Indikatoren für Angriffe, Indikatoren für Gefährdung

Gefährdungsindikatoren (Indicators of Exposure, IOEs) sind Sicherheitsindikatoren, die Aufschluss über potenziell ausnutzbare Schwachstellen geben, bevor ein Cybersecurity-Vorfall eintritt. Durch das Verständnis solcher Risiken können Sicherheitsteams die Prioritäten beim Sicherheitsmanagement besser setzen und darauf vorbereitet sein, Angriffe schnell einzudämmen. Semperis Purple Knight und Directory Services Protector ( DSP) scannen nach IOEs.

Siehe auch: Sicherheitsindikatoren, Indikatoren für einen Angriff, Indikatoren für eine Kompromittierung

IRM ist eine Form der IT-Sicherheitstechnologie, die dazu dient, Informationen vor unberechtigtem Zugriff zu schützen. Im Zusammenhang mit Active Directory kann IRM dazu beitragen, sensible Daten zu schützen, indem kontrolliert wird, wer Zugriff darauf hat und was er damit tun kann, z.B. indem verhindert wird, dass Daten gedruckt oder weitergeleitet werden.

Eine Reihe von Richtlinien, die von einer Organisation herausgegeben werden, um sicherzustellen, dass alle IT-Benutzer innerhalb der Domäne der Organisation ihre Regeln und Richtlinien in Bezug auf die Informationssicherheit einhalten. Die Richtlinien dienen dem Schutz der Unternehmensdaten und dem Risikomanagement für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Als eine von fünf FSMO-Rollen in AD ist der Infrastruktur-Master für die Aktualisierung der Verweise von Objekten in seiner Domäne auf Objekte in anderen Domänen zuständig. Wenn alle Domänencontroller auch Server des Globalen Katalogs sind, führt die Rolle des Infrastruktur-Masters keine Aufgaben aus.

Siehe auch: Flexible Single Master Operations (FSMO) Rollen

Vererbung bezieht sich auf die Kaskadierung von Berechtigungen von übergeordneten Objekten auf untergeordnete Objekte innerhalb der Active Directory-Struktur. In AD können Berechtigungen, die auf einer höheren Ebene in der Hierarchie erteilt wurden, an Objekte auf einer niedrigeren Ebene vererbt werden, es sei denn, die Vererbung ist ausdrücklich blockiert. Die Vererbung vereinfacht die Verwaltung von Berechtigungen, aber falsche Konfigurationen können dazu führen, dass Ressourcen für nicht autorisierte Benutzer zugänglich sind. 

Nicht autorisierte Domänencontroller oder die Kompromittierung von Domänencontrollern können dazu führen, dass Verzeichnisdienstdaten an einen böswilligen Akteur repliziert werden, der so in der Lage ist, sensible Informationen und Anmeldeinformationen zu sammeln.

Mit dieser Funktion können Administratoren einen Domänencontroller mit Hilfe von wiederhergestellten Sicherungsdateien installieren. Mit der Option Installation von Medien (IFM) können Sie die Replikation von Verzeichnisdaten über das Netzwerk minimieren. So können Sie zusätzliche Domänencontroller an entfernten Standorten effizienter installieren, insbesondere wenn die WAN-Verbindungen zu diesen Standorten relativ langsam sind und/oder die vorhandene AD-Datenbank sehr groß ist.

Mit diesem PowerShell-Befehl wird ein neuer Domänencontroller in AD installiert.

Mit diesem PowerShell-Befehl wird eine neue AD DS-Gesamtstruktur installiert. Dies ist ein hoch privilegierter Befehl, der, wenn er missbraucht wird, zur Erstellung eines bösartigen Forests führen kann, der möglicherweise die gesamte AD-Umgebung gefährdet.

Bezieht sich auf einen DNS, der in eine Active Directory-Domäne integriert ist. Ein AD-integrierter DNS-Server speichert seine Daten in Active Directory. Dadurch können die DNS-Informationen auf alle anderen Domänencontroller in der Domäne repliziert werden, was die Fehlertoleranz Ihres DNS verbessert.

Eine Vertrauensstellung, die zwischen zwei Active Directory-Forests eingerichtet wird. Eine Inter-Forest-Vertrauensstellung kann eine einseitige oder zweiseitige Vertrauensstellung sein, die einen kontrollierten Zugriff auf Ressourcen in jeder Forest ermöglicht. Die Verwaltung und Überwachung von Inter-Forest-Vertrauensstellungen ist von entscheidender Bedeutung, um das Risiko eines unbefugten Zugriffs zu minimieren.

In Active Directory wird die ISTG-Rolle von einem Domänencontroller in jeder Site übernommen und ist für die Erstellung eines Spanning Tree aller Site-Links in der Site und die Erstellung einer Least-Cost-Routing-Topologie für die Replikation zwischen den Domänencontrollern innerhalb der Site verantwortlich.

Diese Art der Anmeldung erfolgt, wenn ein Benutzer seine Anmeldedaten direkt in das System eingibt, in der Regel über die Konsole des Systems. In Active Directory werden interaktive Anmeldungen als ein bestimmtes Ereignis protokolliert (Ereignis-ID 528 unter Windows Server 2003 und älter und Ereignis-ID 4624 unter Windows Server 2008 und neuer).

Das Internet ist ein globales Netzwerk von Computern und Servern, die über standardisierte Protokolle, vor allem TCP/IP (Transmission Control Protocol/Internet Protocol), miteinander kommunizieren. Das Internet bietet verschiedene Dienste wie das World Wide Web, E-Mail, Dateitransfer und Cloud-Dienste. Im Hinblick auf die Cybersicherheit ist das Internet häufig der Hauptvektor für eine Vielzahl von Bedrohungen, die auf Active Directory-Umgebungen abzielen, darunter Phishing-Angriffe, die Verbreitung von Malware und die Ausnutzung von Schwachstellen aus der Ferne. Daher sind die Sicherung von Internetverbindungen und die Überwachung von Diensten, die auf das Internet zugreifen, wichtige Aufgaben der Netzwerksicherheit.

IAS ist die Microsoft-Implementierung eines RADIUS-Servers (Remote Authentication Dial-In User Service) und Proxy in Windows Server 2000 und 2003. IAS führt eine zentralisierte Verbindungsauthentifizierung, Autorisierung und Abrechnung für viele Arten des Netzwerkzugriffs durch, einschließlich drahtloser und VPN-Verbindungen. Aus der Perspektive der Cybersicherheit ist die Sicherung des IAS von entscheidender Bedeutung, da Angreifer, die ihn kompromittieren, Authentifizierungsprozesse manipulieren, sich unbefugten Netzwerkzugang verschaffen oder den Netzwerkverkehr ausspähen könnten. Seit Windows Server 2008 ist der IAS durch den Network Policy Server (NPS) ersetzt worden.

IIS ist eine Webserver-Software, die von Microsoft für die Verwendung mit der Windows NT-Familie entwickelt wurde. IIS unterstützt HTTP, HTTPS, FTP, FTPS, SMTP und NNTP. Im Zusammenhang mit AD wird IIS häufig für das Hosting notwendiger webbasierter Dienste wie ADFS verwendet.

IPsec ist eine Protokollsuite, die die IP-Kommunikation durch Authentifizierung und Verschlüsselung jedes IP-Pakets in einem Datenstrom sichert. In Bezug auf Active Directory können IPsec-Richtlinien verwendet werden, um den Datenverkehr zwischen AD-Domänencontrollern und Mitgliedsservern oder -clients zu schützen und so eine zusätzliche Sicherheitsebene zu schaffen.

Ein Intranet ist ein privates Netzwerk innerhalb einer Organisation. Intranets werden häufig verwendet, um Unternehmensinformationen und Computerressourcen unter den Mitarbeitern zu teilen. Aus Sicherheitsgründen kann ein unkontrollierter oder unbefugter Zugriff auf das Intranet zu Informationsverlusten oder anderen Formen von internen Angriffen führen.

Ein Gerät oder eine Softwareanwendung, die ein Netzwerk oder Systeme auf bösartige Aktivitäten oder Richtlinienverstöße überwacht. Ein IDS spielt eine entscheidende Rolle in einer robusten Sicherheitsarchitektur.

Ein Hardware- oder Software-Inventar bezieht sich in der Regel auf den Prozess der Erfassung detaillierter Informationen über die gesamte in einem Unternehmen verwendete Hardware oder Software. Ein genaues Inventar ist für die Verwaltung von Ressourcen, die Planung zukünftiger Anforderungen und die Aufrechterhaltung der Sicherheit unerlässlich.

Eine IP-Adresse ist eine numerische Kennzeichnung, die jedem Gerät zugewiesen wird, das an einem Computernetzwerk teilnimmt, das das Internetprotokoll zur Kommunikation verwendet. In einer Active Directory-Umgebung ist die korrekte IP-Adressierung entscheidend für die Netzwerkkommunikation und den Ressourcenzugriff.

Diese Reihe von Regeln legt fest, welche Form von IPsec bei einer Transaktion zwischen dem Server und dem Client verwendet werden soll. Eine falsche Konfiguration der Regeln kann zu Sicherheitslücken in Ihrer AD-Umgebung führen.

Ein Abschnitt eines Netzwerks, der vom Rest des Netzwerks isoliert ist. Die Verwendung isolierter Netzwerksegmente kann den potenziellen Schaden begrenzen, wenn ein Sicherheitsvorfall in einem anderen Segment auftritt.

Diese detaillierten Praktiken für das IT-Service-Management (ITSM) konzentrieren sich darauf, die IT-Services auf die Bedürfnisse des Unternehmens abzustimmen.

Die Active Directory-Datenbank basiert auf der Microsoft Jet Blue-Engine und verwendet die Extensible Storage Engine (ESE) zum Speichern, Bearbeiten, Löschen und Lesen von Daten. Die Active Directory-Datenbank ist eine einzelne Datei namens ntds.dit. Standardmäßig wird diese Datenbank im Ordner %SYSTEMROOT%NTDS auf jedem Domänencontroller gespeichert und zwischen ihnen repliziert.

Ein schneller Passwortknacker, der schwache Passwörter aufspürt. Angreifer verwenden John the Ripper, um gehashte Kennwörter zu knacken und sich so unbefugten Zugang zu verschaffen.

Ein Vorgang, bei dem ein Computer Teil einer Active Directory-Domäne wird. Durch den Beitritt zu einer Domäne kann das System die von AD bereitgestellte zentrale Authentifizierung nutzen, auf Ressourcen zugreifen und sich an die von der Domäne festgelegten Richtlinien halten. Fehler in diesem Prozess können zu Sicherheitslücken und unangemessenen Zugriffskontrollen führen.

Diese Sicherheitstechnologie ermöglicht eine delegierte Verwaltung für alles, was von der PowerShell verwaltet wird. In einem AD-Kontext kann JEA dazu beitragen, Angriffe auf die Privilegienerweiterung einzuschränken, indem die Anzahl der Personen, die über volle administrative Rechte verfügen, reduziert wird.

Siehe auch: Just-in-Time (JIT) Verwaltung

Diese Methode der Zuweisung von Berechtigungen an Benutzer ähnelt der Just Enough Administration (JEA). Mit JIT erhalten Benutzer die Berechtigung, die sie zur Ausführung einer Aufgabe benötigen, jedoch nur für einen bestimmten Zeitraum. Dies kann das Risiko einer Eskalation der Privilegien oder des Diebstahls von Zugangsdaten minimieren.

Siehe auch: Genügend Verwaltung (JEA)

Kerberoasting zielt auf die Schwachstelle im Kerberos-Authentifizierungsprotokoll, das von Active Directory verwendet wird. Angreifer fordern ein Service-Ticket für ein anvisiertes Dienstkonto an und knacken dann das verschlüsselte Service-Ticket offline, um das Passwort des Kontos zu erhalten.

Siehe auch: Kerberos, Missbrauch der Kerberos-Delegation, Kerberos-Passwort-Erraten

Rubeus ist ein leistungsstarkes Tool für die Interaktion mit dem Microsoft Kerberos-Protokoll. Bei Kerberoasting-Angriffen verwenden Angreifer Rubeus, um Service-Tickets anzufordern und die Tickets offline zu knacken, um an die Anmeldedaten für Service-Konten zu gelangen.

Kerberos ist die primäre Authentifizierungsmethode, die in Active Directory-Domänen zur Authentifizierung von Benutzern und Computern verwendet wird. Ältere Betriebssysteme unterstützen die DES-Verschlüsselung, während Windows Server 2008 und höher die AES-Verschlüsselung unterstützen. Kerberos ist anfällig für verschiedene Arten von Angriffen, z.B. Golden Ticket- und Silver Ticket-Angriffe, die die Art und Weise ausnutzen, wie Kerberos-Tickets in einer AD-Umgebung erstellt und verwendet werden.

Das Kerberos Sicherheitsprotokoll für Computernetzwerke verwaltet die Authentifizierung und Autorisierung in Active Directory. Das Massachusetts Institute of Technology (MIT), das Kerberos entwickelt hat, beschreibt es als eine starke Kryptographie, die es einem Client ermöglicht, seine Identität gegenüber einem Server über eine ungesicherte Netzwerkverbindung nachzuweisen. Nachdem Client und Server ihre Identität mit Kerberos nachgewiesen haben, können sie auch ihre Kommunikation verschlüsseln, um Datenschutz und Datenintegrität zu gewährleisten. Vor zwei Jahrzehnten war das Kerberos-Protokoll ein entscheidender Schritt in Richtung Sicherheit, Vereinheitlichung und Umstellung von AD auf Identitätsmanagement. Aber die Entwicklung von Angriffsmethoden und die Cloud-Migration haben Kerberos zunehmend anfällig für Cyber-Bedrohungen gemacht.

Siehe auch: Missbrauch der Kerberos-Delegation, Kerberos-Passwort-Erraten, Kerberoasting

Diese Sicherheitsfunktion in Active Directory ermöglicht es einem Dienst, sich für einen Benutzer auszugeben, um auf einen anderen Dienst zuzugreifen. Mit dieser Funktion soll die Anzahl der Benutzer mit übermäßigen Privilegien reduziert werden. Fehlkonfigurationen können jedoch dazu führen, dass Angreifer ihre Privilegien erhöhen oder Authentifizierungssysteme umgehen können.

Siehe auch: Missbrauch der Kerberos-Delegation

Angreifer können die uneingeschränkte, eingeschränkte und ressourcenbasierte eingeschränkte Delegation manipulieren, um sich als andere Benutzer auszugeben oder die Berechtigungen innerhalb der Domäne zu erhöhen. Dieser Missbrauch macht sich die Komplexität und das implizite Vertrauen des Kerberos-Protokolls zunutze.

Siehe auch: Kerberoasting, Kerberos, Kerberos Constrained Delegation (KCD), Kerberos Passwort-Erraten

Bei diesem Angriff zielt ein Angreifer auf Benutzerkonten, die keine Kerberos-Vorauthentifizierung erfordern. Der Angreifer versucht, sich beim Key Distribution Center (KDC) zu authentifizieren und erhält ein verschlüsseltes Ticket (TGT) zurück, das das gehashte Passwort des Benutzers enthält, das dann offline geknackt werden kann.

Siehe auch: Kerberos, Missbrauch der Kerberos-Delegation, Kerberoasting

Die Kerberos-Richtlinie definiert die Ticketeigenschaften für alle Domänenbenutzer, z. B. die Lebensdauer und Erneuerung von Tickets. Diese Richtlinie ist Teil der Gruppenrichtlinien und kann, wenn sie nicht ordnungsgemäß konfiguriert ist, Bedrohungsakteuren ermöglichen, alte Kerberos-Tickets abzuspielen, um unbefugten Zugang zu erhalten.

SPN wird in Active Directory verwendet, um eine Dienstinstanz mit einem Dienstanmeldekonto zu verknüpfen. SPNs können ein Ziel für bestimmte Arten von Angriffen sein, wie z.B. Kerberoasting, bei dem ein Angreifer ein gültiges Kerberos-Ticket verwendet, um Daten für das Diensteticket anzufordern, die dann offline erzwungen werden können, um das Klartextpasswort des Dienstkontos zu enthüllen.

Kerbrute ist ein Tool, das Kerberos Pre-Auth Brute-Forcing durchführt. Es kann verwendet werden, um zu überprüfen, ob Benutzernamen in einer Active Directory-Umgebung existieren, ohne das Risiko von Kontosperrungen.

Im Kerberos-Protokoll ist der KDC für die Authentifizierung von Benutzern und die Bereitstellung von Ticket-Granting-Tickets (TGTs) zuständig, die dann zum Erhalt von Service-Tickets für verschiedene Ressourcen im Netzwerk verwendet werden. Ein kompromittiertes KDC kann schwerwiegende Folgen haben, da es zur Kompromittierung jedes Benutzers oder Dienstes in der Domäne führen kann.

Dieses Befehlszeilendienstprogramm listet die Kerberos-Tickets des Benutzers auf, der den Befehl ausführt. Das Tool ist nützlich für die Fehlersuche bei Problemen mit der Kerberos-Authentifizierung.

Dieser Active Directory-Dienst erstellt die Replikationstopologie für das Active Directory-Replikationssystem. Wenn KCC ausfällt oder kompromittiert wird, kann dies zu Inkonsistenzen in den Verzeichnisdaten führen.

Ein bekannter sicherer Zustand ist der Zustand einer Umgebung, die nachweislich keine Malware oder Ransomware enthält. Die Rückkehr zu einem bekannten sicheren Zustand nach einem Cyberangriff hilft, den Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen zu verhindern.

Dieses Befehlszeilenprogramm wird verwendet, um einen Computer, der nicht in eine Domäne eingebunden ist, für die Verwendung von Domänenressourcen zu konfigurieren. Das Tool wird häufig verwendet, um einen Rechner so zu konfigurieren, dass er Kerberos für die Authentifizierung in nicht-traditionellen Szenarien verwendet.

L0phtCrack ist ein Passwort-Auditor, der dabei hilft, die Wiederherstellung von Passwörtern aus Hashes zu automatisieren und Angreifern beim Einbruch in Systeme zu helfen, indem er das Passwort des Benutzers knackt.

Dieses Attribut identifiziert den letzten bekannten Standort eines verschobenen oder gelöschten AD-Objekts. Wenn es nicht ordnungsgemäß überwacht wird, kann es bei der Verfolgung des Lebenszyklus eines Objekts und möglicherweise bei der Wiederherstellung des Objekts helfen und ein Sicherheitsrisiko darstellen.

Dieses Attribut gibt an, wann sich der Benutzer das letzte Mal angemeldet hat. Unregelmäßigkeiten in diesem Attribut können auf einen möglichen unbefugten Zugriff oder einen Pass-the-Hash-Angriff hinweisen.

Seitliche Bewegungen treten auf, wenn ein Cyberangreifer kompromittierte Konten verwendet, um Zugang zu weiteren Clients und Konten im gesamten Netzwerk eines Unternehmens zu erhalten. Cyberangreifer nutzen laterale Bewegungen in Kombination mit der Ausweitung von Privilegien, um sensible Konten und Ressourcen zu identifizieren und sich Zugang zu verschaffen, die gespeicherte Anmeldeinformationen in Konten, Gruppen und Computern teilen. Ein typisches Ziel erfolgreicher lateraler Bewegungen ist der administrative Zugriff auf Active Directory-Domänencontroller.

Siehe auch: Domänenherrschaft, geringste Privilegien, privilegierter Zugriff, Privilegienerweiterung

Eine mehrschichtige Verteidigung besteht aus mehreren Schutzschichten (z.B. Endpunktsicherheit, SIEM und Active Directory-Sicherheit), um sicherzustellen, dass ein Cyberangreifer, der eine Verteidigungsschicht durchdringt, von einer nachfolgenden Schicht aufgehalten wird.

Siehe auch: Verteidigung in der Tiefe

Der Prozess, bei dem die Transportschicht und die Anwendungsschicht miteinander verbunden werden und eine zusammenhängende Einheit bilden. In Bezug auf die LDAP-Kanalbindung ist die LDAP-Anwendungsschicht im Wesentlichen mit dem TLS-Tunnel verflochten. Durch diese enge Verbindung entsteht ein eindeutiger und einzigartiger Identifikator oder Fingerabdruck für die LDAP-Kommunikation, so dass abgefangene LDAP-Kommunikationen von Angreifern nicht wiederverwendet werden können.

Logische, einseitige Verbindungen von einem Domänencontroller zu einem anderen zum Zweck der Replikation. Wenn sie kompromittiert werden, können LDAP-Verbindungsobjekte ausgenutzt werden, um unbefugte Kontrolle über die Replikation zu erlangen.

Ein Standardformat für den Austausch von einfachen Textdaten. Stellt den Verzeichnisinhalt als Datensätze für Aktualisierungsanfragen in Active Directory dar. Wird vom LDIFDE Befehlszeilen-Dienstprogramm verwendet.

Siehe auch: LDAP Data Interchange Format Directory Exchange (LDIFDE)

Ein Microsoft-Dienstprogramm, das zum Importieren/Exportieren von AD-Objekten in/aus LDIF-Dateien verwendet werden kann. Missbrauch kann zu nicht autorisiertem Datenexport/-import führen.

Siehe auch: LDAP-Datenaustauschformat (LDIF)

LDAP Directory Probe ist ein grafisches Dienstprogramm des Windows Support Tools, mit dem Administratoren LDAP-Operationen gegen AD durchführen können. Der Missbrauch dieses Tools kann sensible Informationen preisgeben oder AD-Objekte verändern.

Bei dieser Art von Angriff manipuliert ein Angreifer Eingabefelder, um LDAP-Befehle (Lightweight Directory Access Protocol) einzufügen und auszuführen. Der Angreifer verwendet diese Befehle, um Daten abzufragen und zu manipulieren, die in einem LDAP-Server gespeichert sind, der oft in Verbindung mit Active Directory verwendet wird.

Eine Erweiterung von LDAP, die den LDAP-Datenverkehr verschlüsselt. Wenn LDAPS nicht richtig konfiguriert ist, kann der Datenverkehr abgefangen werden.

Richtlinien, die das Verhalten eines LDAP-Servers festlegen. Eine falsche Konfiguration dieser Richtlinien kann zu Leistungsproblemen und potenziellen Sicherheitsrisiken führen.

Wenn ein LDAP-Server eine Anfrage nicht beantworten kann, verweist der Server den Client an einen anderen Server. Bei einem Verweisungsangriff kann ein Client an einen bösartigen Server verwiesen werden.

LDAP-Suchfilter werden verwendet, um AD-Objekte zu finden und zu manipulieren. Eine unsachgemäße Verwendung kann zu unberechtigtem Zugriff oder zur Änderung von Verzeichnisobjekten führen.

LDAP-Signierung bezieht sich auf den Prozess, bei dem der LDAP-Datenverkehr an der Quelle digital signiert wird. Mit dieser digitalen Signatur wird sichergestellt, dass der Inhalt des LDAP-Datenverkehrs während der Übertragung unverändert bleibt und seine Authentizität und Integrität gewahrt wird. Außerdem bietet sie dem Empfänger die Möglichkeit, die ursprüngliche Quelle des LDAP-Datenverkehrs zu bestätigen. Die Einrichtung der LDAP-Signierung kann entweder durch maßgeschneiderte Gruppenrichtlinien oder durch die Manipulation von Registrierungsschlüsseln erreicht werden. Wenn Sie die LDAP-Signierung deaktivieren, kann das Netzwerk anfällig für Man-in-the-Middle-Angriffe werden.

Dieses Tool wird verwendet, um Domänen über LDAP auszulesen. Das Tool verschafft einem Angreifer einen einfachen Zugang zu allen möglichen nützlichen Informationen über die Domäne.

LDAPMiner ist ein Tool zur Extraktion von LDAP-Daten, das in erster Linie für Penetrationstests und andere Sicherheitsüberprüfungen gedacht ist. Angreifer können dieses Tool verwenden, um Daten aus der AD-Umgebung abzufragen und zu sammeln und so die Aufklärung zu unterstützen.

Das Informationssicherheitsprinzip der geringsten Privilegien wird auch als Minimalprivileg bezeichnet. Es besagt, dass Benutzer und Anwendungen nur auf die Daten und Vorgänge Zugriff haben sollten, die sie für ihre Arbeit benötigen. Mit diesem Ansatz können IT- und Sicherheitsteams dazu beitragen, potenzielle Seitwärtsbewegungen in den Netzwerken ihres Unternehmens zu verhindern.

Siehe auch: Domänenherrschaft, Lateral Movement, privilegierter Zugriff, Privilegienerweiterung 

Ein Prinzip der Beschränkung von Benutzerrechten auf das absolute Minimum, das sie für ihre Arbeit benötigen. Die Nichtbeachtung von LUA kann Angriffen zur Privilegienerweiterung Tür und Tor öffnen.

Ein eindeutiger Bezeichner für jedes Objekt in Active Directory (AD). Die Manipulation dieser Kennung könnte zu unberechtigtem Zugriff führen, was ein großes Problem für die Cybersicherheit darstellt.

LDAP ist ein offenes und plattformübergreifendes Protokoll, das auf dem Verzeichnisstandard X.500 basiert und für die Authentifizierung von Verzeichnisdiensten verwendet wird. Der LDAP-Anbieter ermöglicht den Zugriff auf die hierarchische Struktur von Active Directory oder einer beliebigen LDAP-kompatiblen Datenbank. LDAP-Injektionen können eine Bedrohung für die Cybersicherheit darstellen, wenn die Eingabedaten nicht ordnungsgemäß bereinigt werden, so dass Angreifer beliebige Befehle auf dem Verzeichnisserver ausführen können.

Verweilende Objekte können auftreten, wenn ein Domänencontroller für einen Zeitraum, der länger als die Tombstone-Lebensdauer (TSL) ist, nicht repliziert und dann wieder mit der Replikationstopologie verbunden wird. Dabei handelt es sich um Objekte, die in der Verzeichnisdatenbank verbleiben, nachdem sie auf anderen Domänencontrollern gelöscht wurden, und die Inkonsistenzen und potenzielle Sicherheitsprobleme verursachen, wenn sie nicht richtig behandelt werden.

In Active Directory ist eine Verknüpfungstabelle eine Datenbanktabelle, die verknüpfte mehrwertige Attribute aufzeichnet. Dazu gehören Attribute, die eine Beziehung zwischen zwei AD-Objekten herstellen, wie die Attribute member und memberOf, die Benutzer mit Gruppen verknüpfen.

Ein Attribut im AD-Schema, das ein Objektattribut eindeutig identifiziert. Wenn dieses Attribut kompromittiert wird, kann es zu Dateninkonsistenzen und einer möglichen Eskalation der Rechte führen.

Ein Active Directory-Mechanismus, der inkrementelle Aktualisierungen von mehrwertigen Attributen ermöglicht. Wenn diese Replikation gefährdet ist, kann sie zu Dateninkonsistenz führen und möglicherweise falsche Informationen innerhalb des Verzeichnisses verbreiten.

Attribute in AD, die ein entsprechendes Attribut in einem anderen Objekt haben, wie z.B. member und memberOf. Eine unsachgemäße Konfiguration kann verwaiste Links erzeugen, die den Replikationsprozess verwirren und die Konsistenz der AD-Daten beeinträchtigen können.

Eine Funktion in Active Directory, die mit Windows Server 2003 eingeführt wurde und die individuelle Aktualisierungen von mehrwertigen Attributen ermöglicht, anstatt den gesamten Satz von Werten zu replizieren. Wenn Sie z.B. ein neues Mitglied zu einer großen Gruppe hinzufügen, wird nur das Hinzufügen des neuen Benutzers repliziert, nicht die gesamte Liste der Gruppenmitglieder. Wenn ein nicht verknüpftes mehrwertiges Attribut aktualisiert wird, muss das gesamte Attribut repliziert werden. Erfordert Windows Server 2003 Interim-Modus oder Windows Server 2003 Forest Functional Level oder höher. Bei Manipulationen kann es zu Replikationsfehlern oder nicht autorisierten Änderungen kommen.

Ein Microsoft-Tool, das Unternehmen bei der Verwaltung lokaler Administratorkennwörter für domänenverbundene Computer unterstützt. Es trägt dazu bei, das Risiko eines Pass-the-Hash-Angriffs zu verringern, indem es nach dem Zufallsprinzip ein anderes Kennwort für das lokale Administratorkonto jedes Rechners in Active Directory erzeugt und speichert. Im Hinblick auf die Cybersicherheit kann die Implementierung von LAPS die Sicherheitslage eines Unternehmens erheblich verbessern, da die Möglichkeiten für Angreifer, die sich Zugang zu den lokalen Administrator-Anmeldeinformationen eines Rechners verschafft haben, eingeschränkt werden.

Gruppen, die auf einem lokalen Rechner existieren. Wenn ein Angreifer die Kontrolle über eine lokale Gruppe erlangt, kann er die Berechtigungen ändern und zusätzliche Privilegien erlangen.

Eine Reihe von Regeln, die auf einem lokalen Rechner definiert sind und das Verhalten dieses speziellen Systems bestimmen. Wenn sie nicht richtig konfiguriert sind, können sie ein Schlupfloch für Sicherheitsverletzungen bieten.

Die LSA ist für die lokale Sicherheitsrichtlinie und die Benutzerauthentifizierung zuständig. Cyberattacken zielen oft auf LSA-Geheimnisse ab, da sie sensible Sicherheitsdaten und Anmeldeinformationen enthalten.

Dieser Prozess in Microsoft Windows-Betriebssystemen ist für die Durchsetzung der Sicherheitsrichtlinien auf dem System verantwortlich. LSASS wird häufig von dem berüchtigten Tool Mimikatz angegriffen, um Klartextpasswörter, Hashes, PINs und Kerberos-Tickets aus dem Speicher zu extrahieren.

Benutzerkonten, die speziell auf einem lokalen Rechner existieren und nicht domänenbasiert sind. Wenn sie nicht richtig gesichert sind, können sie von Angreifern benutzt werden, um in einem Netzwerk Fuß zu fassen.

Benutzerkonten, die aufgrund zahlreicher falscher Anmeldeversuche gesperrt wurden. Ein Angreifer könnte absichtlich Konten sperren, um einen Denial-of-Service zu verursachen oder seine Aktivitäten zu verschleiern.

Der LockerGoga-Ransomware-Angriff nutzt "die eigene Infrastruktur des Unternehmens, in diesem Fall Active Directory und Gruppenrichtlinien, um sich zu verbreiten" (Darren Mar-Elia, VP of Products bei Semperis). Ransomware verbreitet sich normalerweise nicht auf diese Weise, so dass diese Methode schwerer zu erkennen ist. Aber Unternehmen können das Risiko solcher Bedrohungen dennoch minimieren. "Wir wissen, dass die Angreifer sich den Zugriff von Domain Admins auf Active Directory verschafft haben, um diese Infrastruktur für die Verbreitung zu nutzen", sagt Mar-Elia. "Die Absicherung Ihrer Infrastruktur mit dem Ansatz der geringsten Privilegien kann enorm helfen."

Der Parameter LockoutThreshold definiert die Anzahl der ungültigen Anmeldeversuche, die zulässig sind, bevor das Konto gesperrt wird. Dieser Parameter ist wichtig, um Brute-Force-Angriffe zu vereiteln.

Active Directory speichert einen Zwischenspeicher mit den Anmeldeinformationen der Benutzer lokal auf dem System. Wenn dieser Cache nicht ordnungsgemäß gesichert ist, kann er ausgenutzt werden, um unbefugten Zugriff auf Benutzerkonten zu erhalten.

Legt die Stunden fest, in denen sich ein Benutzer bei der Domäne anmelden darf. Wenn sie nicht richtig verwaltet wird, könnte sie Angreifern außerhalb der Geschäftszeiten eine Chance bieten.

Eine Datei, die einem Benutzerkonto zugewiesen ist und automatisch ausgeführt wird, wenn sich der Benutzer anmeldet. Ein Anmeldeskript kann Einstellungen im Betriebssystem anpassen, Netzlaufwerke für verschiedene Benutzergruppen zuordnen oder sogar eine benutzerspezifische Willkommensnachricht anzeigen. Diese Skripte befinden sich in einem Ordner in der SYSVOL-Netzwerkfreigabe eines Domänencontrollers und sind daher in der gesamten Domäne verfügbar. Wenn bösartige Inhalte in diese Skripte eingefügt werden, kann dies zu einer weitreichenden Kompromittierung von Systemen führen.

Dieser Parameter gibt an, von welchen Rechnern aus sich ein Benutzer anmelden kann. Wenn er nicht angemessen eingeschränkt wird, kann er zu Angriffen mit seitlichen Bewegungen führen.

Diese Gruppenrichtlinien-Einstellung ermöglicht es, dass ein und derselbe Benutzer unterschiedliche Richtlinien hat, wenn er sich auf verschiedenen Rechnern anmeldet. Eine falsche Konfiguration dieser Einstellung kann zu Angriffen auf die Privilegienerweiterung führen.

Eine Sicherheitsfunktion in Windows, die verhindert, dass auf den LSASS-Prozess zugegriffen werden kann. Sie mindert das Risiko von Angriffen, die darauf abzielen, sensible Informationen aus dem LSASS-Prozess zu extrahieren, wie z.B. die mit dem Tool Mimikatz durchgeführten.

Datenobjekte, die von LSA gespeichert werden, um sensible Daten wie Anmeldeinformationen zu speichern. Die Extraktion dieser Geheimnisse ist eine gängige Taktik bei Angriffen zum Diebstahl von Zugangsdaten.

Wird bei der Komprimierung von AD-Datenbankdaten (NTDS.DIT) verwendet. Die Ausnutzung dieses Mechanismus kann zu Datenbeschädigung oder -diebstahl führen.

Jeder Computer in einem Netzwerk verfügt über ein Maschinenkonto, das ein Mittel zur Authentifizierung und Überprüfung darstellt. Ein Angreifer, der die Kontrolle über ein Computerkonto hat, kann verschiedene Angriffe wie Pass-the-Ticket oder Pass-the-Hash durchführen.

Eine eindeutige Kennung, die Windows der SAM-Datenbank (Security Accounts Manager) eines jeden Computers zuweist. Wenn ein Angreifer in den Besitz einer Rechner-SID gelangt, kann er sich als der Rechner ausgeben und unbefugten Zugriff auf Netzwerkressourcen erhalten.

Ein Zustand, in den Sie einen Server versetzen können, wenn Sie Updates installieren oder eine andere Wartungsaufgabe durchführen. Wenn Sie einen Server während der Wartung nicht richtig absichern, kann das System potenziellen Angriffen ausgesetzt sein.

Malware ist bösartige Software oder Code, die darauf abzielt, Computersysteme und andere persönliche Geräte auf verschiedene Weise zu beschädigen oder zu zerstören, z.B. durch Datendiebstahl, unbefugten Zugriff, Weitergabe privater Informationen usw. Cyberangreifer können Malware nutzen, um Active Directory als Waffe einzusetzen und mögliche Angriffswege zu kartographieren. Daher ist es für Unternehmen von entscheidender Bedeutung, sich verstärkt auf AD-Sicherheit und Wiederherstellung zu konzentrieren. Die Lösungen von Semperis bieten eine kontinuierliche Überwachung und Schwachstellenanalyse für AD sowie die Möglichkeit, nicht autorisierte Änderungen ohne Zutun des Administrators rückgängig zu machen.

Ein Man-in-the-Middle-Angriff (MiTM) ist ein Cyberangriff, bei dem sich der Angreifer zwischen zwei Parteien (z.B. zwei Benutzer, ein Benutzer und eine Anwendung, eine Workstation und ein Server-Computer) positioniert und versucht, die zwischen den Parteien ausgetauschten Daten abzufangen, zu inspizieren und sogar zu verändern. Dieser Angriff kann zu Datenverletzungen führen, sensible Informationen preisgeben und unbefugten Zugriff auf Netzwerkressourcen ermöglichen.

Eine Art von Domänenkonto, das automatisch die Verwaltung von Passwörtern übernimmt und so das Risiko des Ablaufens von Passwörtern, das zu Serviceunterbrechungen führen könnte, ausschließt. Diese Konten können das Ziel von Angriffen zur Ausweitung der Privilegien sein.

Ein Attribut in AD, das den Benutzer oder die Gruppe angibt, die ein Objekt verwaltet. Missbrauch kann zu unberechtigtem Zugriff auf Ressourcen führen.

Ein Attribut, das im Active Directory-Schema als obligatorisch für eine Klasse von Objekten definiert ist. Zum Beispiel ist 'sAMAccountName' für ein Benutzerobjekt ein obligatorisches Attribut.

Netzlaufwerke, die einem einzelnen System zugeordnet sind. Wenn sich ein Angreifer Zugang zu einem System mit zugeordneten Laufwerken verschafft, kann er möglicherweise auf sensible Daten zugreifen oder Ransomware über das Netzwerk verbreiten.

Die 2019 entdeckte Ransomware-Variante Maze gilt als die erste, bei der Cyberangreifer nicht nur Daten verschlüsseln, sondern auch damit drohen, die vertraulichen Daten der Opfer preiszugeben, wenn ihre Forderungen nicht erfüllt werden. Maze verschafft sich in der Regel über Phishing-E-Mails Zugang und nutzt dann verschiedene Techniken, um sich seitlich durch das Netzwerk zu bewegen. Er kompromittiert Active Directory (AD) und nutzt es, um die Ransomware-Nutzlast auf so viele Systeme wie möglich zu verbreiten.

Ein Computer mit einem Windows Server-Betriebssystem, der Mitglied einer Active Directory-Domäne ist, aber kein Domänencontroller.

Dieses Attribut enthält die Distinguished Names der Gruppen, denen ein Objekt (Benutzer oder Gruppe) angehört. Eine falsche Konfiguration kann zu unberechtigtem Zugriff auf Ressourcen führen.

Eine Funktion in AD, die das Zwischenspeichern der universellen Gruppenmitgliedschaft eines Benutzers an einem Standort ermöglicht, um die Anmeldeleistung zu verbessern. Wenn die Cache-Daten nicht ordnungsgemäß gesichert sind, können sie ausgenutzt werden, um unbefugten Zugriff zu erhalten.

MSMQ ist ein Messaging-Protokoll, mit dem Anwendungen, die auf separaten Servern oder Prozessen laufen, miteinander kommunizieren können. Wenn es nicht ordnungsgemäß gesichert ist, kann es ein potenzieller Angriffspunkt sein, der nicht autorisierte Nachrichten oder Befehle zulässt.

Eine AD-Datenbank, die die Metadaten für Objekte in Active Directory speichert. Wenn diese Datenbank kompromittiert wird, kann ein Angreifer die mit den AD-Objekten verbundenen Metadaten ändern.

Bezieht sich im Kontext von Active Directory auf die Daten über die Daten im Verzeichnis. Dazu gehören Informationen darüber, wann und wie Datenobjekte erstellt, geändert, aufgerufen oder gelöscht wurden, einschließlich von wem. Aus der Perspektive der Cybersicherheit können Metadaten bei einer Sicherheitsuntersuchung oder einem Audit wichtige Erkenntnisse liefern, da sie unautorisierte Änderungen, Zugriffsmuster oder Anzeichen für eine Kompromittierung aufdecken können.

Metasploit ist ein Framework für Penetrationstests, das Hacken einfach macht. Es ist ein unverzichtbares Werkzeug im Arsenal eines Angreifers und enthält zahlreiche Exploits, darunter auch solche, die auf AD-Umgebungen abzielen.

Ein von Microsoft entwickeltes Authentifizierungsprotokoll, MS-CHAP, weist Schwachstellen auf und kann für die Netzwerkauthentifizierung ausgenutzt werden.

Microsoft Defender for Identity (ehemals Azure Advanced Threat Protection) ist eine Cloud-basierte Lösung, die Active Directory-Signale vor Ort nutzt, um Cybersecurity-Bedrohungen und gefährdete Identitäten zu erkennen und darauf zu reagieren. Defender for Identity überwacht und analysiert Benutzer- und Client-Aktivitäten und -Informationen im gesamten Netzwerk und erstellt eine Verhaltens-Baseline für jeden Benutzer. MDI warnt dann bei ungewöhnlichen Client- oder Benutzeraktivitäten, die durch diese Baseline ermittelt wurden.

Ein zentraler Dienst zur Verwaltung von Identitäten über mehrere Verzeichnisse hinweg. Wenn MIIS angegriffen wird, könnte ein Angreifer Identitätsdaten systemübergreifend manipulieren.

MIM ist ein Dienst, der Tools und Technologien für die Verwaltung von Identitäten, Berechtigungsnachweisen und identitätsbasierten Zugriffsrichtlinien in heterogenen Umgebungen bereitstellt. MIM umfasst Funktionen für die Identitätssynchronisierung, die Verwaltung von Zertifikaten und Passwörtern sowie die Bereitstellung von Benutzern.

Die MMC beherbergt administrative Tools, so genannte Snap-Ins, darunter viele für AD, wie z.B. das Active Directory Benutzer und Computer Snap-In. Ein unangemessener Zugriff auf MMC kann zu nicht autorisierten Änderungen in AD führen.

Mimikatz ist ein führendes Tool zum Extrahieren von Klartextpasswörtern, Hashes, PIN-Codes und Kerberos-Tickets aus dem Speicher. Es kann insbesondere für Golden-Ticket-Angriffe verwendet werden, bei denen Kerberos-Schwachstellen ausgenutzt werden, so dass Angreifer ein Ticket-Granting-Ticket (TGT) generieren und Rechte auf Domänenebene erlangen können. Es wird auch verwendet, um Pass-the-Hash-Angriffe durchzuführen, die es einem Angreifer ermöglichen, sich bei einem entfernten Server oder Dienst zu authentifizieren, indem er den zugrunde liegenden NTLM- oder LanMan-Hash des Kennworts eines Benutzers verwendet. Außerdem kann das Tool verwendet werden, um Silver Ticket-Angriffe zu starten, bei denen gefälschte Service-Tickets erstellt werden, die den Zugriff auf einen bestimmten Dienst auf einem bestimmten Rechner ermöglichen, aber vom Domänencontroller unentdeckt bleiben.

Das MITRE ATT&CK Framework ist ein häufig verwendetes Instrument, um die aktuelle Sicherheitsabdeckung zu verstehen und zu bestimmen, wie sie verbessert werden kann. Diese Wissensbasis liefert grundlegende Informationen, die zur Entwicklung von Bedrohungsmodellen verwendet werden können, und ist ein beliebtes Instrument zur Erstellung umfassender Sicherheitspläne. 

Dieser Begriff bezieht sich auf die Domänenfunktionsebene von Active Directory, wenn Windows NT 4.0-Domänencontroller vorhanden sind. Im gemischten Modus sind bestimmte erweiterte Funktionen deaktiviert, wodurch AD anfälliger für Sicherheitsrisiken ist.

Siehe auch: Native Modus

Ein Ort in einer Verzeichnishierarchie, an den ein Volume angehängt ist und der zusätzliche Dateisystem-Speicherorte bereitstellt. Wenn ein Einhängepunkt nicht ordnungsgemäß gesichert ist, könnte ein Angreifer unbefugten Zugriff auf sensible Daten erlangen.

Dieses PowerShell-Cmdlet wird verwendet, um einen Verzeichnisserver an einen neuen Standort zu verschieben. Es ist in größeren Organisationen nützlich, um die Topologie von Active Directory zu verwalten.

Dieser PowerShell-Befehl überträgt eine oder mehrere Operations Master (FSMO)-Rollen auf einen bestimmten Domain Controller.

Siehe auch: Flexible Single Master Operations (FSMO) Rollen

Dieses PowerShell-Cmdlet wird verwendet, um ein Objekt oder einen Container mit Objekten in einen anderen Container oder eine andere Domäne zu verschieben. 

Dieses Befehlszeilentool wird verwendet, um AD-Objekte zwischen Domänen zu verschieben. Ein Missbrauch kann zu einer versehentlichen oder böswilligen Verschiebung von Objekten führen, was zu Inkonsistenzen und potenziellen Verstößen führt.

Dieses Attribut definiert, welche Dienste ein Konto in einer Kerberos-Delegation vertreten kann. Eine Fehlkonfiguration kann zu einer Eskalation der Privilegien und zu Angriffen auf die Kerberos-Delegation führen.

Dieses Attribut bestimmt die Domänen- und Waldfunktionsebene des AD. Eine niedrigere Funktionsstufe kann das AD anfällig für Schwachstellen machen, da einige Sicherheitsverbesserungen nur auf höheren Stufen verfügbar sind.

Dieses Attribut wird als Quellanker-Attribut in Azure AD Connect verwendet. Eine Fehlkonfiguration kann zu Synchronisierungsproblemen zwischen lokalem AD und Azure AD führen, was möglicherweise Probleme bei der Authentifizierung verursacht.

Dieses Attribut speichert den Zeitstempel der letzten erfolgreichen interaktiven Anmeldung des Benutzers. Ungewöhnliche Anmeldezeiten können auf ein mögliches Sicherheitsleck hinweisen.

Dieses Attribut bestimmt, wie lange ein Konto nach Überschreiten des Schwellenwerts für die Kontosperrung gesperrt bleibt. Ist diese Zeitspanne zu kurz, kann sie Brute-Force-Angriffe nicht wirksam verhindern.

Optionale Funktionen, die in einer Active Directory-Gesamtstruktur aktiviert oder deaktiviert wurden. Wenn Sie diese Funktionen falsch konfigurieren, kann die Gesamtstruktur Sicherheitsrisiken ausgesetzt sein.

Dieses Attribut enthält die fein abgestuften Passwortrichtlinien, die auf Benutzer- oder Gruppenobjekte angewendet werden. Wenn diese Einstellungen zu lasch oder falsch konfiguriert sind, können Benutzerkonten anfällig für Brute-Force- oder Passwort-Spray-Angriffe sein.

Dieses Attribut speichert den Zeitstempel der zweitletzten erfolgreichen Benutzeranmeldung. Anomale Anmeldezeiten können auf einen möglichen Sicherheitsverstoß hinweisen.

Dieses Attribut steht für den primären Computer eines Benutzers. Wenn das Attribut manipuliert wird, kann ein Angreifer den Computer eines Benutzers vortäuschen, was zu unberechtigtem Zugriff führen kann.

Dieses Attribut enthält Replikations-Metadaten für verknüpfte Attribute, wie z.B. Gruppenmitgliedschaften. Ein Bedrohungsakteur mit Zugriff auf dieses Attribut kann möglicherweise Gruppenmitgliedschaften ändern, was zu einer Eskalation der Rechte führt.

Dieses Attribut gibt die Verschlüsselungstypen an, die das Benutzerkonto für die Kerberos-Vorauthentifizierung unterstützt. Schwache Verschlüsselungstypen können das Konto anfällig für Kerberos-basierte Angriffe machen.

Dieses Attribut speichert Flags, die den Status des Benutzerkontos bestimmen, z.B. ob es deaktiviert oder gesperrt ist oder ein abgelaufenes Passwort hat. Eine unbefugte Manipulation dieser Flags kann zu einer Privilegienerweiterung oder einem unbefugten Zugriff führen.

Dieses Attribut gibt den genauen Zeitpunkt an, zu dem das Passwort eines Benutzers abläuft. Wenn es nicht ordnungsgemäß verwaltet wird, kann es Angreifern die Möglichkeit geben, Angriffe mit Zugangsdaten zu starten.

Ein Dienstprogramm für die Befehlszeilenschnittstelle des Microsoft Windows Installer, das für die Installation, Wartung und Entfernung von Software verwendet wird.

Dieses Authentifizierungspaket in Windows arbeitet mit NTLM-Hashes. Der berühmte Pass-the-Hash-Angriff zielt häufig auf dieses Paket ab, da NTLM-Hashes für die Authentifizierung wiederverwendet werden können, ohne geknackt zu werden.

Eine Funktion, die es Clustern ermöglicht, mehrere Active Directory-Standorte zu umfassen, um die Verfügbarkeit zu verbessern. Wenn sie nicht ordnungsgemäß konfiguriert und abgesichert ist, kann diese Art von Clustering zu einem potenziellen Angriffsvektor werden.

Ein Attribut eines Objekts, das mehr als einen Wert enthalten kann. Attribute mit mehreren Werten können keinen Wert, einen Wert oder mehr als einen Wert haben. Zum Beispiel das Attribut memberOf für ein Benutzerobjekt, das eine Liste aller Gruppen enthält, denen der Benutzer angehört.

Multicloud-Sicherheitslösungen helfen dabei, Ihre Infrastruktur, Anwendungen und Daten über die Cloud-Systeme mehrerer Cloud-Anbieter hinweg zu schützen.

MFA ist ein Sicherheitsmechanismus, bei dem Benutzer ihre Identität mit zwei oder mehr unabhängigen Methoden oder Faktoren nachweisen müssen, bevor sie Zugang erhalten. Diese Faktoren können etwas sein, das Sie wissen (z.B. ein Passwort), etwas, das Sie haben (z.B. ein Hardware-Token oder ein Mobiltelefon), und etwas, das Sie sind (z.B. ein Fingerabdruck oder ein anderer biometrischer Faktor). Im Zusammenhang mit Active Directory kann die Implementierung von MFA die Sicherheit erheblich erhöhen, da es für Angreifer schwieriger wird, Zugang zu erhalten, selbst wenn sie das Passwort eines Benutzers kompromittiert haben, wodurch das Risiko eines erfolgreichen Phishing-, Passwort-Spray- oder Brute-Force-Angriffs verringert wird.

Die Fähigkeit von Active Directory, Änderungen an einem beliebigen DC zuzulassen, der die Änderungen dann auf andere DCs repliziert. Wenn ein Angreifer einen einzelnen DC kompromittiert, kann er bösartige Änderungen an andere weitergeben.

Eine eindeutige Kennung, die von Microsoft für ein Objekt in einem Verzeichnis verwendet wird. Unbefugte Änderungen können zum Verlust des Zugriffs oder zu Inkonsistenzen im Verzeichnis führen.

Ein Sicherheitsmerkmal, bei dem sowohl der Client als auch der Server die Identität des jeweils anderen bestätigen, bevor sie eine Verbindung herstellen. Ohne diese Funktion ist es für einen Angreifer einfacher, Man-in-the-Middle-Angriffe (MitM) durchzuführen.

Der Prozess der Auflösung eines Hostnamens in eine IP-Adresse innerhalb eines Netzwerks. Angriffe wie DNS-Spoofing können diesen Prozess manipulieren, um den Netzwerkverkehr umzuleiten.

Im Kontext von AD sind Named Pipes eine Methode der Inter-Prozess-Kommunikation (IPC). Sie sind anfällig für IPC-bezogene Schwachstellen wie DLL Hijacking oder Named Pipe Impersonation.

In Active Directory ist ein Namespace ein Container, der Objekte wie Benutzer, Computer und andere Organisationseinheiten enthält. Ein gut konzipierter Namespace kann dazu beitragen, viele Sicherheitsprobleme wie Namenskonflikte und Replikationsfehler zu vermeiden.

Ein NC wird in Active Directory auch als Verzeichnispartition bezeichnet und ist ein Teil des Verzeichnisses, der auf Domänencontroller repliziert werden kann. Es gibt drei Arten von NCs:

• Schema
• Konfiguration
• Domain

Eine Domänenfunktionsstufe (DFL), die nur für Windows 2000 Server gilt und die keine Windows NT-Domänencontroller unterstützt. Sobald sich die Domäne im nativen Modus befindet, unterstützt sie verschachtelte Gruppen. Die Alternative ist der gemischte Modus.

Siehe auch: Gemischter Modus

Ein Befehlszeilen-Dienstprogramm zum Erstellen von Statistiken für NetBIOS über TCP/IP.

In Active Directory können Gruppen andere Gruppen enthalten, was eine hierarchische Organisation ermöglicht. Die Verschachtelung kann jedoch zu einer unbeabsichtigten Ausweitung der Rechte und des Zugriffs auf Ressourcen führen, wenn sie nicht sorgfältig verwaltet wird.

Ein Befehlszeilentool zum Verbinden, Trennen und Konfigurieren von Verbindungen zu gemeinsam genutzten Ressourcen, wie Netzlaufwerken und Druckern. Wenn dieses Tool missbraucht wird, kann es zu unbefugtem Zugriff auf Ressourcen führen.

Akronym für Network Basic Input/Output System, ist ein Netzwerkprotokoll, das von Windows-Systemen für die Kommunikation in einem lokalen Netzwerk verwendet wird. Der NetBIOS-Name eines Computers besteht in der Regel aus den ersten 15 Zeichen des Hostnamens, gefolgt von dem Zeichen "$". Die Auflösung von NetBIOS-Namen in IP-Adressen erfolgt über lokale Broadcasts und den WINS-Dienst.

Netcat ist als das "Schweizer Taschenmesser" für TCP/IP bekannt und kann Daten über Netzwerkverbindungen lesen und schreiben. Angreifer können Netcat verwenden, um Hintertüren zu erstellen, Dateien zu übertragen oder das Netzwerk zu erkunden.

Ein Windows-Dienst, der für die Benutzer- und Computerauthentifizierung in älteren Betriebssystemen verwendet wird. Eine Freigabe namens Netlogon wird aus Gründen der Abwärtskompatibilität automatisch auf allen Domänencontrollern erstellt und kann Anmeldeskripte enthalten. Der jüngste ZeroLogon-Exploit ermöglichte es Angreifern, über diesen Dienst die Kontrolle über den Domänencontroller zu erlangen.

Ein Befehlszeilen-Skriptprogramm, das unter anderem die Änderung von Netzwerkkonfigurationen ermöglicht. Angreifer könnten dieses Tool missbrauchen, um den Netzwerkverkehr zu manipulieren oder Daten zu exfiltrieren.

Dieses Befehlszeilentool wird verwendet, um aktive Netzwerkverbindungen und lauschende Ports anzuzeigen. Angreifer könnten es zur internen Erkundung verwenden, nachdem sie den ersten Zugang erhalten haben.

NAP ist eine Microsoft-Technologie zur Kontrolle des Netzwerkzugriffs eines Computers auf der Grundlage seines Zustands. Wenn sie kompromittiert wird, kann NAP unbefugten Systemen den Zugriff auf das Netzwerk ermöglichen.

NAT ist eine Methode, bei der ein IP-Adressraum auf einen anderen abgebildet wird, indem die Netzwerkadressinformationen im IP-Header von Paketen während der Übertragung geändert werden. Im Zusammenhang mit Active Directory könnten falsch konfigurierte NAT-Regeln möglicherweise interne Dienste nach außen freigeben und damit ein Sicherheitsrisiko darstellen.

Dies bezieht sich auf den Prozess der Identifizierung aller Geräte in einem Netzwerk. Im Zusammenhang mit Active Directory sollten Sie sicherstellen, dass nur autorisierte Personen eine Netzwerkerkennung durchführen können, um unerwünschte Erkundungen zu verhindern.

NFS ist ein verteiltes Dateisystemprotokoll, das es einem Benutzer auf einem Client-Computer ermöglicht, über ein Netzwerk auf Dateien zuzugreifen, und zwar auf ähnliche Weise wie bei einem lokalen Speicher. Unsachgemäß konfigurierte NFS-Freigaben können unbefugten Zugriff auf sensible Dateien ermöglichen.

Der Punkt der Verbindung zwischen einem Computer und einem privaten oder öffentlichen Netzwerk. Eine kompromittierte Netzwerkschnittstelle auf einem Domain Controller könnte es einem Angreifer ermöglichen, den Datenverkehr abzufangen oder zu manipulieren.

NLA ist eine Sicherheitsfunktion für RDP-Verbindungen, die eine Authentifizierung des verbindenden Benutzers erfordert, bevor eine Sitzung mit dem Server aufgebaut wird. Die Deaktivierung von NLA kann den Server anfällig für RDP-basierte Angriffe machen.

Ein Netzwerk-Listener ist ein Netzwerkdienst oder eine Komponente, die auf eingehende Netzwerkverbindungen oder Pakete an einem bestimmten Port oder Protokoll wartet. Er wartet auf eingehende Kommunikationsanfragen und antwortet auf der Grundlage der vordefinierten Regeln oder Konfigurationen entsprechend.

NPS ist die Microsoft-Implementierung eines RADIUS-Servers und -Proxys. Wie bei jedem Authentifizierungssystem handelt es sich um eine kritische Sicherheitskomponente, und jede Kompromittierung kann zu unberechtigtem Netzwerkzugriff führen.

Eine Sicherheitspraxis, bei der verschiedene Teile eines Netzwerks voneinander getrennt sind. Dies kann die Ausbreitung von Seitwärtsbewegungen bei einer Kompromittierung von Active Directory einschränken.

Die Dienste (z.B. DNS, DHCP), die von einem Server für ein privates oder öffentliches Netzwerk zur Verfügung gestellt werden. Wenn diese Dienste kompromittiert werden, kann dies direkte Auswirkungen auf die Sicherheit der Active Directory-Umgebung haben.

Netzwerk-Sniffing bezieht sich auf die Verwendung von Netzwerkprotokoll-Analysatoren oder ähnlichen Tools zur Erfassung und Analyse des Netzwerkverkehrs. Im Zusammenhang mit AD könnte dies möglicherweise unverschlüsselte sensible Daten offenlegen.

Ein Netzwerkprotokoll zur Synchronisierung der Uhrzeit zwischen Computersystemen über paketvermittelte Datennetze mit variabler Latenz. In Active Directory ist eine genaue Zeitmessung für die Kerberos-Authentifizierung unerlässlich, da es eine maximale Zeitdifferenz (standardmäßig 5 Minuten) zwischen der Zeit auf dem Client und der Zeit auf dem Server gibt. Wenn ein Angreifer die NTP-Antworten in einem Netzwerk manipulieren kann, könnte er dies für Replay-Angriffe ausnutzen oder sogar Authentifizierungsfehler im gesamten Netzwerk verursachen. Daher ist es wichtig, die NTP-Kommunikation zu sichern.

Das New Technology File System (NTFS) ist das Dateisystem, das das Betriebssystem Windows NT zum Speichern und Abrufen von Dateien auf einer Festplatte verwendet. NTFS ist das primäre Dateisystem für aktuelle Versionen von Windows und Windows Server.

Dieses PowerShell-Cmdlet wird verwendet, um eine neue AD-Organisationseinheit (OU) zu erstellen. Wenn es missbraucht wird, kann es zur Erstellung unnötiger OUs führen, die die Struktur von AD stören und möglicherweise nicht autorisierte Änderungen verbergen.

Ein PowerShell-Cmdlet, das zum Erstellen eines neuen Benutzerobjekts in Active Directory verwendet wird. Die Verwendung durch einen Angreifer könnte zur Erstellung von Backdoor-Konten für dauerhaften Zugriff führen.

Das National Institute of Standards and Technology (NIST) ist eine Behörde des US-Handelsministeriums. Ein Beispiel dafür, wie das NIST seine Aufgabe erfüllt, "die Innovation und industrielle Wettbewerbsfähigkeit der USA zu fördern, indem es die Messwissenschaft, die Standards und die Technologie in einer Weise vorantreibt, die die wirtschaftliche Sicherheit erhöht und unsere Lebensqualität verbessert", ist die Entwicklung des NIST Cybersecurity Framework. Dieser beliebte Ansatz zur Identifizierung und Behebung von Risiken mit hoher Priorität für Active Directory (AD) und andere wichtige Systeme umfasst fünf Phasen:

• Identifizieren Sie
• Schützen Sie
• Erkennen Sie
• Antworten Sie
• Wiederherstellen

Nmap ist ein Sicherheitsscanner, der Hosts und Dienste in einem Computernetzwerk aufspürt und so eine "Karte" des Netzwerks erstellt. Angreifer können diesen Scanner für die Erkennung von Netzwerken und die Sicherheitsüberprüfung verwenden.

Eine nicht-autoritative Wiederherstellung stellt einen AD-Domänencontroller zu einem bestimmten Zeitpunkt wieder her. Da diese Art der Wiederherstellung jedoch nicht als autorisierend gekennzeichnet ist, werden diese Aktualisierungen auf den wiederhergestellten Domänencontroller repliziert, wenn ein anderer Domänencontroller Objekte oder Attribute seit dem Datum und der Uhrzeit der Wiederherstellung des Zieldomänencontrollers aktualisiert hat, so dass seine Daten aktuell sind.

Siehe auch: maßgebliche Wiederherstellung

Ein NDR zeigt an, dass ein bestimmter Teil der Kommunikation (z.B. eine E-Mail oder ein Paket) nicht zugestellt worden ist. Cyberangreifer können NDRs nutzen, um Informationen über die interne Struktur des E-Mail-Systems eines Unternehmens zu erhalten und einen gezielten Angriff durchzuführen.

Im Zusammenhang mit Active Directory bezieht sich Non-Repudiation auf die Fähigkeit, sicherzustellen, dass eine Partei in einem Streitfall die Gültigkeit der Beweise nicht leugnen kann (wie ein Benutzer, der seine Aktivitäten leugnet). Eine schwache Audit-Richtlinie kann zu einer mangelhaften Unleugbarkeit führen.

Der Prozess der Modifizierung von Daten, um sie in ein gewünschtes Format zu bringen. Angreifer können Eingabevalidierungsprüfungen durch Unstimmigkeiten bei der Normalisierung aushebeln.

Die "Wiper"-Malware NotPetya verhält sich wie Ransomware, hat aber keine Möglichkeit, ihre Verschlüsselung rückgängig zu machen. NotPetya befällt insbesondere Active Directory (AD) und bringt den Betrieb zum Stillstand. NotPetya ist berühmt-berüchtigt für seine verheerenden Angriffe im Jahr 2017, die in der Ukraine begannen und weltweit einen geschätzten - und noch nie dagewesenen - Schaden von 10 Milliarden Dollar anrichteten.

Ein Befehlszeilen-Dienstprogramm zur Diagnose von Problemen mit der Infrastruktur des Domain Name Service (DNS).

Eingebaute Dienstkonten auf Windows-Systemen. Wenn diese Konten kompromittiert werden, können sie oft ein hohes Maß an Systemzugriff ermöglichen.

NT Service Hardening hindert Windows-Dienste daran, anormale Aktivitäten im Dateisystem, in der Registrierung, im Netzwerk oder in anderen Ressourcen durchzuführen, die dazu genutzt werden könnten, Malware zu erhalten oder zu verbreiten.

Ein integriertes Windows-Backup-Dienstprogramm. Wenn ein Angreifer diese Backups manipulieren oder darauf zugreifen kann, kann er sich Zugang zu sensiblen Daten verschaffen.

Dies ist eine Windows-Systemdatei, die für den Startvorgang verwendet wird. Die Manipulation oder Kompromittierung dieser Datei kann dazu führen, dass ein Angreifer dauerhaften Zugriff auf die Systemebene erhält.

NTDS-Quoten begrenzen die Anzahl der Objekte, die ein Sicherheitsprinzipal im Verzeichnis besitzen kann. Wenn dies nicht richtig eingestellt ist, könnte dies für einen Denial-of-Service-Angriff (DoS) ausgenutzt werden.

Die auf Domänencontrollern gespeicherte AD-Datenbank, die alle Informationen über Benutzerobjekte enthält, einschließlich gehashter Kennwörter. Angreifer haben es oft auf diese Datei abgesehen, um sensible Daten zu extrahieren.

Ein Befehlszeilentool, das Verwaltungsfunktionen für Active Directory Domain Services (AD DS) und Active Directory Lightweight Directory Services (AD LDS) bietet. Bei böswilliger Verwendung kann es den AD-Diensten erheblichen Schaden zufügen.

Siehe auch: Active Directory-Domänendienste (AD DS), Active Directory Lightweight Directory Services (AD LDS)

Ein Tool zum Extrahieren von AD-Daten aus ntds.dit-Dateien (der AD-Datenbank). NTDSXtract kann verwendet werden, um Benutzernamen, Gruppenmitgliedschaften, Kennwortrichtlinien und vieles mehr aufzudecken. Diese Daten können einem Angreifer bei der Planung und Durchführung von Angriffen helfen.

Berechtigungen für Dateisystemobjekte auf NTFS-Volumes, die über Active Directory verwaltet werden. Fehlkonfigurationen können zu unbefugtem Datenzugriff oder Denial-of-Service führen.

NTLM ist eine Sammlung von Sicherheitsprotokollen, die für die Authentifizierung, Integrität und Vertraulichkeit von Benutzern verwendet werden. Während Kerberos das bevorzugte Authentifizierungsprotokoll ist und in modernen Windows-Versionen verwendet wird, ist NTLM für ältere Clients und Systeme in einer Arbeitsgruppe weiterhin verfügbar. NTLM weist mehrere Sicherheitslücken auf und ist anfällig für verschiedene Angriffe wie Pass-the-Hash und Pass-the-Ticket, die es Angreifern ermöglichen, Zugriff auf die Passwörter von Benutzern zu erhalten, und sollte daher vermieden werden.

Bei einem NTLM-Relay-Angriff fängt ein Angreifer NT LAN Manager (NTLM)-Authentifizierungssitzungen zwischen Computern in einem Netzwerk ab und leitet die Anmeldeinformationen an einen anderen Host im Netzwerk weiter (Relay). Auf diese Weise kann der Angreifer mit den abgefangenen Anmeldeinformationen Befehle ausführen oder auf Ressourcen des zweiten Hosts zugreifen.

Ein Tool, das mit dem Ziel entwickelt wurde, die auf dem NTLM-Protokoll basierende Erkundung schnell und einfach zu machen. Es kann verwendet werden, um Domänen und Dienste zu identifizieren, die Null-Sitzungen unterstützen.

Eine Art von anonymer Bindung in LDAP. Wenn null bind aktiviert ist, kann ein anonymer Benutzer eine Verbindung zum Verzeichnis herstellen und möglicherweise auf sensible Informationen zugreifen.

Null-Sitzungen in Windows sind unauthentifizierte NetBIOS-Sitzungen, die es einem Angreifer ermöglichen, eine Fülle von Informationen über das System zu sammeln.

OAuth ist ein offener Standard für die Zugriffsdelegation, der häufig für die tokenbasierte Authentifizierung und Autorisierung verwendet wird. Der Schutz von OAuth-Tokens ist von entscheidender Bedeutung. Angreifer können gestohlene Tokens verwenden, um sich als legitime Benutzer auszugeben.

In Active Directory ist ein Objekt ein eindeutiger, benannter Satz von Attributen, der etwas im Netzwerk repräsentiert, wie z.B. einen Benutzer, einen Computer oder eine Gruppe. Der Schutz dieser Objekte ist von entscheidender Bedeutung, da ihre Kompromittierung es Angreifern ermöglichen kann, unbefugten Zugriff zu erhalten oder ihre Privilegien zu erhöhen.

Mit dieser Funktion können Sie Informationen sammeln, wenn auf einen bestimmten Objekttyp zugegriffen wird. Das Fehlen einer angemessenen Überwachung könnte dazu führen, dass bösartige Aktivitäten unbemerkt bleiben.

Dieses Active Directory-Ereignis tritt ein, wenn ein Objekt, z.B. ein Benutzer oder eine Gruppe, entfernt wird. Die Überwachung auf unerwartete Objektlöschungen ist wichtig, um potenzielle bösartige Aktivitäten zu erkennen.

Dieser weltweit eindeutige Wert wird zur Identifizierung einer Vielzahl von Dingen verwendet, darunter Schemaattribute und -klassen, Sicherheitsmechanismen und Namensformen. OIDs sind entscheidend für die Interoperabilität und Erweiterbarkeit des Verzeichnisdienstes. In vielen LDAP-Verzeichnisimplementierungen ist eine OID die interne Standarddarstellung eines Attributs. Jedes Attribut im Active Directory-Schema hat eine eindeutige X.500 OID. Alle OID-Werte, die von Microsoft erstellt werden, beginnen mit 1.2.840.113556.

Die Objektvererbung ist eine Eigenschaft von Active Directory-Objekten, bei der untergeordnete Objekte die Berechtigungen ihrer übergeordneten Objekte erben. Falsche Einstellungen können dazu führen, dass versehentlich zu viele Berechtigungen erteilt werden.

Dieses Attribut wird verwendet, um ähnliche Klassen zusammenzufassen. Eine fehlerhafte Konfiguration kann zu Fehlklassifizierungen und potenziellen Sicherheitslücken führen.

Dieses Attribut bestimmt die Art der Objekte (z.B. Benutzer, Computer, Gruppen), die in Active Directory gespeichert werden. Es legt auch die Menge der Must-Have-Attribute (d.h. jedes Objekt der Klasse muss mindestens einen Wert von jedem haben) und der May-Have-Attribute (d.h. jedes Objekt der Klasse kann einen Wert von jedem haben) fest. ObjectClass wird in einem classSchema-Objekt definiert. Die Manipulation dieses Attributs kann es einem Angreifer ermöglichen, bösartige Aktivitäten zu verschleiern.

Ein eindeutiger Bezeichner für ein Objekt in Active Directory, der konstant bleibt. Angreifer könnten ObjectGUIDs verwenden, um die Persistenz in der Umgebung aufrechtzuerhalten.

Dieser eindeutige Bezeichner wird jedem Objekt in einer Active Directory-Domäne zugewiesen. Wenn ein Angreifer diese Kennungen manipulieren kann, könnte er sich unbefugten Zugriff verschaffen.

Dieser Prozess ermöglicht es einem Computer, einer Domäne beizutreten, ohne eine Netzwerkverbindung zu benötigen. Ein möglicher Angriffsvektor könnte ein Gerät dazu zwingen, einer von einem Angreifer kontrollierten Domäne beizutreten.

Dieses Tool kann verwendet werden, um das Kennwort jedes Benutzers zu ändern, der über ein gültiges lokales Konto auf einem Windows-System verfügt. Wenn sich ein Angreifer physischen Zugang zu einem System verschafft, kann er solche Tools verwenden, um Zugriff auf ein lokales Konto zu erhalten und möglicherweise seine Privilegien zu erweitern.

Diese beliebte Plattform für das Identitäts- und Zugriffsmanagement (IAM) bietet Cloud-Software, die Unternehmen bei der Verwaltung und Sicherung der Benutzerauthentifizierung in modernen Anwendungen unterstützt und es Entwicklern ermöglicht, Identitätskontrollen in Anwendungen, Webservices und Geräte einzubauen. Sie kann mit Active Directory integriert werden, um den Benutzerzugriff in lokalen und Cloud-Umgebungen zu verwalten. Wenn sie kompromittiert wird, kann dies zu einem weit verbreiteten unbefugten Zugriff führen.

Dieses von Joe Richard (DS-MVP) entwickelte Befehlszeilentool zur Abfrage von Active Directory nach ungenutzten Computer- oder Benutzerkonten kann auch Konten bereinigen.

Dieses Tool wird verwendet, um lokale Active Directory-Informationen auf Microsoft Cloud-Dienste zu replizieren. Eine Kompromittierung von DirSync könnte einem Angreifer Zugang zu sensiblen lokalen Active Directory-Daten verschaffen.

Ein Passwort, das nur für eine einzige Anmeldesitzung oder Transaktion gültig ist. Es wird häufig in Zwei-Faktor-Authentifizierungssystemen verwendet, um eine zusätzliche Sicherheitsebene neben dem Benutzernamen und dem Passwort zu bieten.

In Active Directory ist ein einseitiges Vertrauen ein unidirektionaler Authentifizierungspfad zwischen zwei Domänen. Wenn ein Angreifer diesen Pfad kompromittiert, könnte er unbefugten Zugriff auf Ressourcen in einer Domäne erhalten, während er aus der anderen Domäne stammt.

Es handelt sich um ein Internetprotokoll, mit dem der Widerrufsstatus eines digitalen X.509-Zertifikats abgefragt werden kann. Ein Angreifer könnte einen OCSP-Spoofing-Angriff durchführen, um eine Zertifizierungsstelle zu imitieren und gefälschte Zertifikate auszustellen.

Die zugrunde liegende Software, die einen Computer oder Server steuert. Die Härtung des Betriebssystems von Domänencontrollern ist für die Sicherheit von Active Directory entscheidend.

Attribute, die das Verzeichnis automatisch bereitstellt, wie z.B. creationTimeStamp. Diese Attribute werden von einem Domänencontroller auf Anfrage berechnet. Sie können verwendet werden, um Aktionen und Änderungen an Objekten zu verfolgen. Eine LDAP-Suchanfrage, die "alle Attribute" anfordert, liefert keine operativen Attribute und deren Werte. Angreifer könnten versuchen, diese zu manipulieren oder zu löschen, um ihre Aktivitäten zu verbergen.

Ein Attribut, das im Schema als optional für eine Klasse von Objekten definiert ist. Im Gegensatz zu obligatorischen Attributen müssen optionale Attribute nicht zwingend einen Wert haben.

In Bezug auf Active Directory bezieht sich die organisatorische Identität auf die Anmeldeinformationen und Identifikatoren, die zu einem Unternehmen oder einer Organisation gehören. Der Schutz dieser Identifikatoren ist entscheidend, um zu verhindern, dass sich Angreifer als legitimes Unternehmen innerhalb der Organisation ausgeben.

Eine OU ist eine Art Container innerhalb eines Active Directory, in dem Sie Benutzer, Gruppen, Computer und andere Organisationseinheiten unterbringen können. OUs können für die Zuweisung von Gruppenrichtlinien und die Verwaltung von Ressourcen verwendet werden, und eine Fehlkonfiguration kann zu unangemessenem Zugriff führen.

Ein verwaistes Objekt verbleibt in der Verzeichnisdatenbank, wurde aber in jeder Hinsicht gelöscht, da sein übergeordnetes Objekt gelöscht wurde. Diese Objekte können von einem Angreifer ausgenutzt werden, um seine Aktivitäten zu verbergen oder die Persistenz in einer Umgebung aufrechtzuerhalten.

Die Bereitstellung eines Betriebssystems (OS) ist die Installation eines bestimmten Betriebssystems auf mehreren Hosts. 

Diese Art von Patch wird zu einem ungeplanten Zeitpunkt veröffentlicht, in der Regel um eine bestimmte Sicherheitslücke zu schließen. Wenden Sie diese Patches schnell an, um eine Ausnutzung zu vermeiden.

Die Standardeinstellungen und -konfigurationen, die bei der Erstinstallation eines Systems oder einer Software mitgeliefert werden. Diese Konfigurationen können manchmal unsicher sein. Daher ist es wichtig, sie auf der Grundlage von Best Practices abzusichern, damit sie nicht leicht ausgenutzt werden können.

Die ausgehende Replikation ist der Prozess, bei dem ein Domänencontroller Änderungen an andere Domänencontroller repliziert. Wenn ein Angreifer diesen Prozess manipulieren kann, kann er bösartige Änderungen in der gesamten Domäne verbreiten.

Eine Vertrauensbeziehung zwischen zwei Domänen zum Zweck der Authentifizierung. Das ausgehende Vertrauen ist aus der Perspektive der Domäne, die einer anderen Domäne vertraut.

Outlook Anywhere ermöglicht den Zugriff auf Ihren Exchange Server von Ihrem Outlook-Client aus, ohne VPN zu verwenden. Dies kann ein potenzieller Einstiegspunkt für Angreifer sein, wenn er nicht richtig gesichert ist.

OWA bietet die Möglichkeit, über einen Webbrowser auf E-Mails zuzugreifen. Wenn es nicht richtig gesichert ist, kann dies ein Einstiegspunkt für Angreifer sein.

Bei dieser Konfiguration haben zwei Site-Links gemeinsame Sites. Diese Konfiguration kann zu ineffizientem Replikationsverkehr führen, wenn sie nicht korrekt verwaltet wird, und bietet einem Angreifer potenzielle Möglichkeiten, sensible Daten abzufangen.

Ein Overpass-the-Hash-Angriff ähnelt einem Pass-the-Hash-Angriff, betrifft aber Kerberos und nicht NTLM. Der Angreifer verwendet den Hash des Kennworts eines Benutzers, um einen Kerberos-Hash vor der Authentifizierung zu generieren, der dann verwendet wird, um ein Ticket-Gewährungsticket (TGT) vom Domänencontroller anzufordern.

Siehe auch: Kerberos, Pass-the-Hash-Angriff

In Active Directory hat jedes Objekt einen Besitzer, der bestimmte Rechte über das Objekt hat. Ein Angreifer, der den Besitz eines Objekts übernimmt, könnte diese Rechte möglicherweise missbrauchen.

Dieser Sicherheitsprinzipal repräsentiert den aktuellen Besitzer eines Objekts. Ein Angreifer, der Eigentümerrechte erlangt, kann wichtige Attribute des Objekts ändern, was zu Sicherheitsverletzungen führt.

In Active Directory bezieht sich der übergeordnete Container auf das übergeordnete Container-Objekt, in dem andere Objekte enthalten sind.

Ein Objekt ist entweder die Wurzel eines Baums von Objekten oder hat ein übergeordnetes Objekt in der Baumhierarchie über sich. Wenn zwei Objekte dasselbe Elternteil haben, müssen sie unterschiedliche relative Distinguished Names (RDNs) haben.

Eine hierarchische Beziehung zwischen zwei Domänen in Active Directory, wobei eine Domäne die übergeordnete ist und die andere das Kind. Untergeordnete Domänen erben Richtlinien von ihrer übergeordneten Domäne.

Die Teilmenge der Attribute, die auf partielle Naming Context (NC)-Repliken repliziert werden. Gibt an, welche Attribute auf Global Catalog Server repliziert werden sollen.

Eine logische Unterteilung der Active Directory-Datenbank, in der Objekte und Attribute gespeichert werden. Zu den Partitionen gehören die Schemapartition, die Konfigurationspartition und die Domänenpartitionen. Eine ordnungsgemäße Partitionsverwaltung ist für die Aufrechterhaltung der Integrität und Skalierbarkeit des Verzeichnisses unerlässlich.

Bei einem Pass-the-Hash-Angriff verschafft sich ein Angreifer Zugriff auf den Passwort-Hash eines Benutzerkontos in Active Directory und verwendet ihn, um den Benutzer zu authentifizieren und sich als ihn auszugeben, ohne das eigentliche Passwort zu kennen. Dieser Angriff nutzt schwache Hash-Algorithmen oder gestohlene Passwort-Hashes aus.

Bei einem Pass-the-Ticket-Angriff stiehlt ein Angreifer ein Kerberos-Ticket (TGT) vom Rechner eines Benutzers und verwendet dieses TGT, um unbefugten Zugriff auf Ressourcen zu erhalten, ohne dass eine Authentifizierung erforderlich ist.

Diese Art der Authentifizierung ermöglicht es Benutzern, vor Ort und in der Cloud denselben Benutzernamen und dasselbe Kennwort zu verwenden, ohne dass ein Föderationssystem eines Drittanbieters erforderlich ist.

Diese Funktion ermöglicht die Synchronisierung von Kennwortänderungen in Active Directory mit anderen Systemen. Wenn ein Benutzer beispielsweise sein Kennwort in Active Directory ändert, sorgt der PCNS dafür, dass diese Änderung in anderen Systemen, auf die der Benutzer Zugriff hat, übernommen wird.

Eine Anforderung in der Kennwortrichtlinie, die die Verwendung von sicheren Kennwörtern vorschreibt, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Die Durchsetzung der Komplexität von Passwörtern macht es Angreifern schwerer, Passwörter zu erraten oder zu knacken. So wichtig die Anforderungen an die Komplexität von Passwörtern sind, so wichtig ist es auch, die Benutzer über die Bedeutung der Passworthygiene aufzuklären, die Wiederverwendung von Passwörtern für mehrere Konten zu vermeiden und zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung für einen besseren Schutz einzuführen.

Eine Richtlinie, die von Benutzern verlangt, ihre Kennwörter nach einem bestimmten Zeitraum zu ändern. Der Ablauf von Kennwörtern hilft dabei, regelmäßige Aktualisierungen von Kennwörtern durchzusetzen und das Risiko zu verringern, dass kompromittierte Anmeldedaten über einen längeren Zeitraum verwendet werden.

Eine Komponente in Active Directory, die Kennwortänderungen abfängt und validiert, um benutzerdefinierte Kennwortrichtlinien durchzusetzen oder zusätzliche Prüfungen durchzuführen. Passwortfilter werden verwendet, um die Passwortsicherheit zu erhöhen und zu verhindern, dass schwache oder leicht zu erratende Passwörter festgelegt werden.

Eine mathematische Darstellung des in Active Directory gespeicherten Kennworts eines Benutzers. Angreifer haben es auf Kennwort-Hashes abgesehen, da sie offline geknackt werden können und so unbefugten Zugriff auf Benutzerkonten ermöglichen. Techniken wie Pass-the-Hash-Angriffe nutzen Passwort-Hashes aus.

Eine Funktion in Azure AD Connect, die die Kennwort-Hashes von lokalen Active Directory-Benutzerkonten mit Azure AD (Entra ID) synchronisiert, so dass Benutzer ihre lokalen Kennwörter für die Anmeldung bei Cloud-Diensten verwenden können. Der Schutz der Passwort-Hash-Synchronisierung ist entscheidend, um die Kompromittierung von Benutzeranmeldeinformationen zu verhindern.

Dieser Mechanismus in Active Directory verhindert, dass Benutzer zuvor verwendete Kennwörter erneut verwenden, indem er einen Verlauf ihrer Kennwortänderungen speichert. Richtlinien für den Passwortverlauf erhöhen die Sicherheit, indem sie die Wiederverwendung alter Passwörter verhindern.

Diese Sicherheitsfunktion in Active Directory sperrt ein Benutzerkonto vorübergehend nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen. Richtlinien zur Kennwortsperre helfen dabei, Brute-Force-Angriffe und unbefugte Zugriffsversuche zu verhindern.

Eine Reihe von Regeln und Anforderungen, die die Komplexität, die Länge, die Gültigkeitsdauer und andere Merkmale von Benutzerkennwörtern in Active Directory vorschreiben. Schwache Passwortrichtlinien können Benutzerkonten anfällig für Brute-Force-Angriffe und das Erraten von Anmeldeinformationen machen.

Der Prozess, der sicherstellt, dass die festgelegten Kennwortrichtlinien von allen Benutzern in Active Directory durchgesetzt und eingehalten werden. Die ordnungsgemäße Durchsetzung von Kennwortrichtlinien trägt dazu bei, das Risiko schwacher Kennwörter zu mindern und die allgemeine Sicherheit zu verbessern.

Der Vorgang, bei dem das vergessene oder abgelaufene Kennwort eines Benutzers in Active Directory geändert wird. Die ordnungsgemäße Implementierung von Verfahren zum Zurücksetzen von Kennwörtern gewährleistet eine sichere und autorisierte Wiederherstellung des Zugriffs und minimiert gleichzeitig das Risiko von Social Engineering oder unbefugten Kennwortänderungen.

Objekte im System-Container von Active Directory, die Fine-Grained Password Policies (FGPP) implementieren.

Eine Technik, die von Angreifern verwendet wird, um gängige oder schwache Kennwörter für eine große Anzahl von Benutzerkonten in Active Directory zu erraten, mit dem Ziel, Kontosperrungen zu vermeiden und die Wahrscheinlichkeit einer erfolgreichen Authentifizierung zu erhöhen. Anstatt mehrere Passwörter gegen einen Benutzer auszuprobieren, was Kontosperrungen auslösen kann, versucht ein Angreifer ein häufig verwendetes Passwort gegen mehrere Konten, was das Risiko einer Entdeckung verringert und die Chance einer erfolgreichen Authentifizierung erhöht.

Eine Authentifizierungsmethode, die herkömmliche Passwörter überflüssig macht und oft durch biometrische Faktoren (z.B. Fingerabdruck oder Gesichtserkennung), Hardware-Token oder andere sichere Authentifizierungsmethoden ersetzt wird. Die passwortlose Authentifizierung verringert das Risiko von passwortbezogenen Angriffen und kann den Benutzerkomfort erhöhen.

Der Prozess der regelmäßigen Anwendung von Software-Updates (Patches) zur Behebung von Schwachstellen und Fehlern in Active Directory-Komponenten und zugehörigen Systemen. Werden Systeme nicht gepatcht, können sie bekannten Schwachstellen und Angriffen ausgesetzt sein.

Als eine der fünf FSMO-Rollen (Flexible Single Master Operations) in AD fungiert ein PDC-Emulator aus Gründen der Abwärtskompatibilität als Windows NT Primary Domain Controller (PDC). Der PDC-Emulator ist für die Handhabung von Kennwortänderungen, Benutzersperren und Gruppenrichtlinien zuständig. Er dient auch als primäre Zeitquelle für die Domäne. Der PDC-Emulator wird von den meisten Gruppenrichtlinien-Tools angesprochen. Ein Domänencontroller in jeder Domäne muss diese Rolle innehaben.

Siehe auch: Flexible Single Master Operations (FSMO) Rollen

Der Prozess, durch den Objekte in Active Directory Berechtigungen von ihren übergeordneten Containern oder Organisationseinheiten (OUs) erben. Die Vererbung von Berechtigungen zu verstehen und richtig zu verwalten ist wichtig, um eine konsistente Zugriffskontrolle zu gewährleisten und unbeabsichtigten Zugriff auf sensible Ressourcen zu verhindern.

Siehe auch: Vererbung

Zugriffsrechte, die Benutzern, Gruppen oder Computerkonten gewährt werden und die bestimmen, welche Aktionen sie mit Active Directory-Objekten durchführen können. Falsch konfigurierte Zugriffsrechte können zu unbefugtem Zugriff, zur Ausweitung von Privilegien oder zur Preisgabe sensibler Informationen führen.

Ein Angreifer verwendet ein gültiges Konto, um ein Zugriffstoken zu generieren, und verändert das Token, um seine Rechte zu erhöhen. Dadurch kann der Angreifer Befehle ausführen oder auf Ressourcen zugreifen, für die er normalerweise keine Berechtigung hätte.

PetitPotam ist eine Angriffsmethode, bei der Cyberangreifer einen Opfer-Client dazu zwingen, sich ohne jegliche Benutzerinteraktion bei einem beliebigen Rechner zu authentifizieren. Wenn PetitPotam ausgenutzt wird und Windows NT LAN Manager (NTLM) Anmeldeinformationen an Active Directory Certificate Services gesendet werden, kann ein Cyberangreifer Domänenadministratorrechte erhalten, ohne sich vorher an der Domäne zu authentifizieren.

Eine betrügerische Technik, die von Angreifern eingesetzt wird, um Benutzer durch betrügerische E-Mails, Websites oder andere Kommunikationskanäle dazu zu bringen, ihre Anmeldedaten oder sensible Informationen preiszugeben. Phishing-Angriffe zielen oft auf Active Directory-Benutzer ab, um sich unbefugten Zugang zum Netzwerk zu verschaffen. Sobald sie die Anmeldedaten der Benutzer erhalten haben, beginnen sie, Informationen über die Systemressourcen zu sammeln und versuchen, sich seitlich durch das Netzwerk zu bewegen. Darüber hinaus können diese Anmeldedaten verwendet werden, um präzisere, personalisierte und gezielte Angriffe auf bestimmte hochwertige Unternehmensbenutzer zu starten.

PingCastle ist ein in C# geschriebenes Tool zur Bewertung von Active Directory. Auf der Grundlage integrierter Modelle und Regeln bewertet dieses Tool AD-Subprozesse und erstellt einen Risikobericht, der einen Score für privilegierte Konten, Vertrauensbeziehungen zwischen AD-Domänen, Erkenntnisse über veraltete Objekte und Sicherheitsanomalien enthält. Für hybride Umgebungen kann es auch Aufschluss darüber geben, ob die Vertrauensbeziehung zu Azure AD sicher ist. Angreifer können dieses Tool nutzen, um den Zustand der AD-Umgebung zu analysieren und potenzielle Schwachstellen zu identifizieren.

Siehe auch: Purple Knight

PowerSploit ist ein PowerShell Post-Exploitation-Framework, das von Angreifern für verschiedene Aufgaben wie die Ausführung von Payloads, Exfiltration, Privilegienerweiterung und mehr in einer AD-Umgebung verwendet wird.

Diese integrierte Gruppe in Active Directory umfasst alle Benutzer- und Computerkonten, die mit älteren Windows NT 4.0-basierten Systemen kompatibel sein müssen.

Wird für Kompatibilitätszwecke mit älteren Betriebssystemen verwendet. Bei Benutzer- und Gruppenobjekten ist dieser Name der Wert des Attributs sAMAccountName. Bei Computerobjekten ist es der NetBIOS-Name des Computers mit dem Zeichen "$" am Ende.

In Windows NT-basierten Domänen war der primäre Domänencontroller (PDC) der erste Domänencontroller in der Domäne und hatte null oder mehr Backup-Domänencontroller (BDCs). Ein Domänencontroller (DC) dient dazu, Änderungen an den Konten aller Computer in einer Domäne zu verfolgen. Obwohl das PDC-Konzept von vielen verwendet wird, findet es in Active Directory ab Windows 2000 keine Anwendung mehr, da alle Domänencontroller aus Sicht der Replikation im Wesentlichen gleich sind, da es ein Multi-Master-Replikationsmodell verwendet. Nicht zu verwechseln mit dem PDC-Emulator.

Eine Gruppe, die jedem Benutzer in Active Directory zugewiesen wird und seine primäre Zugehörigkeit innerhalb der Domäne darstellt. Wird hauptsächlich für die POSIX-Konformität verwendet. Primärgruppen werden für die Zugriffskontrolle verwendet und sind mit Berechtigungen für Ressourcen verbunden.

Die mit einem Benutzer oder Postfach verbundene E-Mail-Adresse, die als primäre Adresse für die Kommunikation gilt. Active Directory verwendet die primäre SMTP-Adresse als eindeutigen Bezeichner für E-Mail-bezogene Vorgänge.

Das Recht eines Benutzers, systembezogene Operationen durchzuführen, wie z.B. das Debuggen des Systems. Rechte und Privilegien sind praktisch dasselbe und werden Sicherheitsprinzipalen wie Benutzern, Diensten, Computern oder Gruppen gewährt. Einige (z.B. Computer- und Benutzerkonten für die Delegation als vertrauenswürdig einstufen) gelten für Active Directory, während andere (z.B. Ändern der Systemzeit) für das Windows-Betriebssystem gelten. Der Benutzer wird als Mitglied seiner primären Gruppe betrachtet. Der Berechtigungskontext eines Benutzers gibt an, über welche Berechtigungen dieser Benutzer verfügt.

Der Prozess der Zuweisung bestimmter administrativer Privilegien oder Rechte an Nicht-Administrator-Benutzer oder -Gruppen in Active Directory. Die Delegation von Privilegien ermöglicht es Benutzern, bestimmte Aufgaben auszuführen, ohne ihnen vollen administrativen Zugriff zu gewähren, wodurch das Risiko des Missbrauchs von Privilegien oder nicht autorisierter Änderungen minimiert wird.

Der Prozess der Erlangung höherer Zugriffsebenen und Berechtigungen als ursprünglich zugewiesen. Angriffe zur Privilegienerweiterung innerhalb von Active Directory können es Angreifern ermöglichen, die Sicherheitskontrollen zu umgehen und sich administrative Rechte zu verschaffen. Sobald sie in Ihre Umgebung eingedrungen sind, versuchen Cyberangreifer in der Regel, die Privilegien von Konten mit niedrigeren zu denen mit höheren Privilegien zu erweitern, um so administrative Rechte und Zugriff auf Active Directory zu erlangen.

Siehe auch: Domänen-Dominanz, Seitliche Bewegung, Privilegierter Zugang

Die Praxis, administrative Rechte auf mehrere Benutzerkonten in Active Directory aufzuteilen, um sicherzustellen, dass kein einzelnes Konto übermäßigen oder uneingeschränkten Zugriff hat. Die Trennung von Privilegien trägt dazu bei, die Auswirkungen kompromittierter Konten zu minimieren und das Risiko nicht autorisierter Aktionen zu verringern.

Privilegierter Zugriff gewährt mehr als die Standardrechte und Kontrolle über Ressourcen in einer Umgebung. Diese Art von Zugriff sollte nur sparsam gewährt werden, da die Kontrolle über ein privilegiertes Zugriffskonto es Cyber-Angreifern ermöglichen kann, Active Directory herunterzufahren oder zu deaktivieren und die Kontrolle über Ihr Netzwerk zu erlangen.

Siehe auch: Domänen-Dominanz, Seitwärtsbewegung, Privilegieneskalation

Eine Lösung in Microsoft Identity Manager (MIM), die dazu beiträgt, Sicherheitsbedenken im Zusammenhang mit der Ausweitung oder dem Missbrauch von Administratorrechten zu verringern.

Ein Konto mit erhöhten Berechtigungen und Zugriffsrechten, das administrative Aufgaben innerhalb von Active Directory ausführen kann. Kompromittierte privilegierte Konten sind ein bevorzugtes Ziel für Angreifer, da sie umfassende Kontrolle über die Domäne gewähren können.

PsExec ist ein leichtgewichtiger Telnet-Ersatz, mit dem Sie Prozesse auf anderen Systemen ausführen können. Angreifer nutzen dies als Werkzeug für laterale Bewegungen in einer AD-Umgebung.

PsTools ist eine Reihe von weit verbreiteten Befehlszeilen-Tools, mit denen Sie lokale und entfernte Systeme verwalten können. Diese Tools können von Angreifern für verschiedene Aufgaben genutzt werden, z. B. zum Ausführen von Prozessen aus der Ferne, zum Herunterfahren von Systemen oder zum Anzeigen von Systeminformationen.

Als Teil des Pass-the-Hash-Toolkits ermöglicht PTH-Winexe die Ausführung von Befehlen auf Windows-Systemen durch die Übermittlung von NTLM-Hashes anstelle von Klartext-Anmeldedaten, was eine seitliche Bewegung und die Ausführung von Befehlen aus der Ferne ermöglicht.

Ein kryptografischer Schlüssel, der in asymmetrischen Verschlüsselungsalgorithmen verwendet wird und aus einem öffentlichen und einem privaten Schlüsselpaar besteht. Öffentliche Schlüssel sind weit verbreitet und werden zur Verschlüsselung von Daten oder zur Überprüfung von digitalen Signaturen in der Active Directory-Kommunikation verwendet.

Ein digital signiertes Dokument, das einen öffentlichen Schlüssel mit der Identität einer Entität verknüpft und die Authentizität und Integrität des öffentlichen Schlüssels bestätigt. Public Key-Zertifikate werden in Active Directory für die sichere Kommunikation, Authentifizierung und Verschlüsselung verwendet.

Ein Rahmenwerk aus kryptografischen Diensten, Technologien und Protokollen, das zur Erstellung und Verwaltung digitaler Zertifikate, öffentlich-privater Schlüsselpaare und sicherer Kommunikation in Active Directory verwendet wird. PKI ist entscheidend für die Gewährleistung einer sicheren Authentifizierung, Datenintegrität und Vertraulichkeit.

Wenn es darum geht, Ihr Unternehmen vor Cyberangriffen zu schützen, ist der Schutz Ihrer Identitätsinfrastruktur entscheidend. Infiltrationen von Identitätssystemen setzen nicht nur Ihre wichtigsten Vermögenswerte und Geschäftsabläufe Angriffen aus, sondern können auch lange Zeit unentdeckt bleiben und erheblichen Schaden anrichten. Daher ist die Stärkung Ihrer Identitätssicherheit ein wichtiger Schritt. Für mindestens 90 Prozent der Unternehmen bedeutet dies, dass sie der Sicherheit von Active Directory und Azure AD Priorität einräumen.

Schwachstellen in Active Directory und Azure AD können Angreifern praktisch uneingeschränkten Zugriff auf das Netzwerk und die Ressourcen Ihres Unternehmens ermöglichen. Semperis hat mit Purple Knightein kostenloses Community AD- und Azure AD-Sicherheitsbewertungstool entwickelt, das Sie dabei unterstützt, Indikatoren der Gefährdung (IoEs) und Indikatoren der Kompromittierung (IoCs) in Ihrer hybriden AD-Umgebung zu entdecken.

Purple Knight hilft bei der Identifizierung von Sicherheitslücken in Ihrer AD-Umgebung, die Cyberangreifern Tür und Tor öffnen können. Das Tool liefert außerdem Bewertungsberichte mit einer Einstufung nach den folgenden Kategorien: AD-Delegation, AD-Infrastruktursicherheit, Kontosicherheit, Kerberos und Gruppenrichtliniensicherheit.

Pwdump ist ein Tool, das NTLM- und LanMan-Kennwort-Hashes aus dem Windows Security Account Manager (SAM) extrahiert, die dann offline geknackt werden können. Dies kann zu unberechtigtem Zugriff führen, wenn keine strengen Kennwortrichtlinien vorhanden sind.

Eine Abfrage in Active Directory bezieht sich auf eine Anfrage an den Verzeichnisdienst, um bestimmte Informationen abzurufen, z.B. die Details eines Benutzers oder eines Computers. AD-Abfragen sind für die Verwaltung und Kontrolle des Zugriffs auf Ressourcen unerlässlich. Das Lightweight Directory Access Protocol (LDAP) wird häufig verwendet, um Abfragen in der AD-Datenbank durchzuführen. Ein Administrator könnte zum Beispiel eine Abfrage starten, um alle Benutzer in einer bestimmten Abteilung zu finden.

Quoten in Active Directory beziehen sich auf die Begrenzung der Anzahl von Objekten, die ein Sicherheitsprinzipal (wie ein Benutzer oder eine Gruppe) in einer Verzeichnispartition besitzen kann. Dies ist besonders in einer großen, verteilten Umgebung wichtig, um zu verhindern, dass ein einzelner Benutzer oder eine Gruppe so viele Objekte erstellt, dass die Leistung oder der Speicher des AD beeinträchtigt wird.

Eine vorberechnete Texttabelle, die zur Umkehrung kryptographischer Hash-Funktionen verwendet wird, vor allem zum Knacken von Passwort-Hashes. Jede Rainbow-Tabelle ist spezifisch für eine bestimmte Hash-Funktion, einen Zeichensatz und eine Passwortlänge. Rainbow-Tabellen enthalten Millionen oder sogar Milliarden von vorberechneten Hashes für potenzielle Passwörter. Ein Angreifer, der in den Besitz der Hash-Version eines Kennworts gelangt (vielleicht durch einen Datenmissbrauch oder das Eindringen in ein unzureichend gesichertes Active Directory-System), kann eine Rainbow-Tabelle verwenden, um diesen Hash nachzuschlagen und möglicherweise das ursprüngliche Kennwort zu finden.

Ein Tool, das versucht, Passwort-Hashes mit Rainbow-Tabellen zu knacken.

Eine Art von Malware, die die Daten eines Opfers verschlüsselt, bis eine Zahlung an den Cyberangreifer geleistet wird. Den Opfern wird gesagt, dass sie im Falle einer Zahlung einen Entschlüsselungsschlüssel erhalten, um den Zugriff auf ihre Dateien wiederherzustellen, obwohl dies oft ein Trick ist. Bei einem doppelten Erpressungsangriff wird nicht nur der Entschlüsselungsschlüssel zurückgehalten, sondern der böswillige Akteur droht auch damit, die Daten auf Data Leak Sites (DLS) zu veröffentlichen.

Ransomware-Gruppen stehen oft in Verbindung mit kriminellen oder terroristischen Organisationen oder mit feindlichen Nationalstaaten. Durch die Zahlung von Lösegeld werden in der Regel weitere kriminelle Aktivitäten finanziert.

Siehe auch: Malware, Ranswomware als Dienst

Ein Geschäftsmodell, bei dem Bedrohungsakteure Ransomware-Varianten von Ransomware-Entwicklern mieten oder kaufen, so wie Unternehmen SaaS-Produkte von legitimen Software-Entwicklern mieten. RaaS hat in den letzten Jahren an Popularität gewonnen.

Siehe auch: Malware, Ransomware

RODC-Server sind Domänencontroller, die eine schreibgeschützte Kopie der Active Directory-Datenbank enthalten und keine Änderungen an AD zulassen. Ein RODC wird in der Regel an Orten eingesetzt, die einen schnellen Zugriff auf AD-Dienste erfordern, aber physisch nicht sicher genug sind, um einen beschreibbaren Domänencontroller zu hosten. Ein RODC kann zwar Benutzeranmeldungen authentifizieren, aber Änderungen werden nicht direkt auf den RODC geschrieben, sondern auf einen beschreibbaren Domänencontroller, der dann zurück auf den RODC repliziert wird.

Beschreibbare Domänencontroller können verwendet werden, um Objekte in Active Directory zu aktualisieren. In Active Directory sind alle Domänencontroller beschreibbar, es sei denn, es handelt sich um einen Read-Only Domain Controller (RODC).

Ein Recovery Point Objective (RPO) legt fest, wie alt Daten sein dürfen, bevor sie gesichert werden (z.B. 24 Stunden). 

Siehe auch: Ziel für die Erholungszeit

Ein Wiederherstellungszeitziel (Recovery Time Objective, RTO) legt fest, wie lange eine Anwendung, ein System oder ein Prozess nicht verfügbar sein darf (z.B. nicht länger als 2 Stunden).

Siehe auch: Recovery Point Objective

Eine rekursive DNS-Abfrage ist eine Art von DNS-Abfrage, bei der der DNS-Auflöser oder -Server versucht, die Abfrage aufzulösen, indem er iterativ andere DNS-Server abfragt, bis er die endgültige Antwort erhält. Clients verwenden diese Art der Abfrage in der Regel, um Hostnamen in IP-Adressen aufzulösen.

Diese Funktion, die erstmals in Windows Server 2008 R2 als optionale Funktion eingeführt wurde, erstellt einen neuen versteckten Container in der Domänenstruktur und speichert gelöschte Objekte für eine bestimmte Anzahl von Tagen, bevor sie dauerhaft entfernt werden, so dass die Möglichkeit besteht, sie wiederherzustellen, ohne dass die Attributwerte des Objekts verloren gehen. Diese Funktion kann über die Active Directory Administrative Center (ADAC) Konsole aktiviert und aufgerufen werden.

Wenn ein Objekt gelöscht wurde, verbleibt es in einem versteckten Container in der Domänenstruktur, bis eine konfigurierte Zeitspanne (d.h. die Tombstone-Lebensdauer) verstrichen ist, nach der das Objekt dauerhaft aus dem Speicher entfernt wird. Diese Objekte existieren nur, wenn die optionale Funktion Papierkorb aktiviert ist.

Red Forest, auch bekannt als Enhanced Security Admin Environment (ESAE), war ein Sicherheitskonzept von Microsoft, bei dem sich alle administrativen Anmeldeinformationen in einem separaten AD-Forest befanden, dem Ihre AD-Produktionsforests vertrauten. Das Konzept zielte darauf ab, Admin-Anmeldeinformationen aus den AD-Forests zu entfernen und so die Sicherheit zu verbessern. Das Konzept wurde aufgegeben.

Bei Cybersecurity-Tests ist das rote Team die Gruppe von Personen, die für Angriffe auf die Cybersecurity-Verteidigung eines Unternehmens verantwortlich ist, Systemschwachstellen ausnutzt und den Verteidigern (d.h. dem blauen Team) bei der Ermittlung von Gegenangriffsmethoden hilft.

Siehe auch: Blaues Team

Die Windows-Registrierung speichert Konfigurationseinstellungen und Optionen auf Microsoft Windows-Betriebssystemen, einschließlich derjenigen, die sich auf AD beziehen. Ein Angreifer, der sich Zugriff auf die Registry verschafft, könnte diese Einstellungen ändern, um die AD-Funktionalität zu stören oder seine Privilegien zu erhöhen.

Der Name eines Objekts relativ zu seinem Elternteil. Dies ist das ganz linke Attribut-Wert-Paar im Distinguished Name (DN) eines Objekts. Zum Beispiel ist im DN "cn=Daniel Petri, ou=Company Users, dc=semperis, dc=com" der RDN "cn=Daniel Petri".

Eine RID ist ein eindeutiger Bezeichner, der jedem Objekt in einer AD-Domäne zugewiesen wird. Er wird mit einem Domänenbezeichner kombiniert, um einen Sicherheitsbezeichner (SID) für das Objekt zu bilden. Der RID-Master, eine der FSMO-Rollen, ist für die Bearbeitung von RID-Pool-Anfragen von allen Domänencontrollern in einer bestimmten Domäne zuständig.

Fernzugriff bezieht sich auf Methoden, die es Benutzern ermöglichen, von einem entfernten Standort aus auf ein AD-Netzwerk zuzugreifen. Unsichere Fernzugriffspunkte können von Angreifern für einen unbefugten Zugriff auf das Netzwerk ausgenutzt werden.

RDS, früher bekannt als Terminaldienste, ermöglicht es einem Benutzer, über eine Netzwerkverbindung die Kontrolle über einen entfernten Computer oder eine virtuelle Maschine zu übernehmen.

Siehe auch: Terminaldienste

Unter Fernverwaltung versteht man die Verwaltung von Computersystemen von einem entfernten Standort aus. Dies ist besonders wichtig für die Verwaltung von Domain Controllern, die über verschiedene geografische Standorte verteilt sind. Im Zusammenhang mit Active Directory ermöglichen Tools wie Remote Server Administration Tools (RSAT) den Administratoren die Verwaltung von Rollen und Funktionen aus der Ferne.

Dies ist ein Kommunikationsprotokoll, das von Client-Programmen verwendet wird, um einen Dienst von einem Programm auf einem anderen Computer im Netzwerk anzufordern. Es wird in großem Umfang für die AD-Replikation und -Verwaltung verwendet. Es kann jedoch für Seitwärtsbewegungen ausgenutzt werden, wenn es nicht richtig gesichert ist.

Eine Sammlung von Tools und Anwendungen, die es IT-Administratoren ermöglicht, Rollen und Funktionen in Windows Server 2008 und höher von einem Arbeitsplatzrechner mit Windows 7 und höher aus fernzuverwalten. Ähnlich wie die Installation der adminpak.msi auf Windows 2000 oder Windows XP Client-Computern.

Ein PowerShell-Befehl, der eine AD-Organisationseinheit (OU) entfernt. Wenn er böswillig verwendet wird, kann er zu einer Unterbrechung der AD-Struktur und einem möglichen Verlust von Objekten innerhalb der OU führen.

Ein PowerShell-Befehl, der einen AD-Benutzer löscht. Wenn er böswillig verwendet wird, kann er zur Löschung legitimer Benutzerkonten führen, was zu Betriebsunterbrechungen oder Datenverlusten führen kann.

Ein Befehlszeilenprogramm zur Diagnose der Active Directory-Replikation zwischen Domänencontrollern.

Eine Kopie eines Active Directory-Namensraums (NC oder Namenskontext) auf einem Domänencontroller, der mit anderen Domänencontrollern innerhalb des AD-Forests repliziert wird.

Replikation in Active Directory bezieht sich auf den Prozess des Kopierens von Daten von einem Domänencontroller auf einen anderen. Dieser Prozess stellt sicher, dass jeder Domänencontroller über die gleichen Informationen wie andere Domänencontroller verfügt und ermöglicht die Verteilung der AD-Datenbank auf mehrere Server. Wenn die Replikation fehlschlägt oder verzögert wird, kann dies zu Inkonsistenzen führen, die als Replikationsfehler bezeichnet werden.

Ein Replikations-Bridgehead-Server ist ein Domänencontroller, der für die Verwaltung des Replikationsverkehrs innerhalb einer Site in Active Directory zuständig ist. Er fungiert als zentraler Punkt für den Empfang und das Senden von Replikationsdaten zwischen den Standorten und reduziert so den Replikationsverkehr über Wide Area Networks (WANs).

Das Replikationsintervall in Active Directory definiert die Zeitdauer zwischen zwei aufeinanderfolgenden Replikationszyklen zwischen Domänencontrollern. Es stellt sicher, dass Änderungen effizient über das Netzwerk verbreitet werden, ohne übermäßigen Replikationsverkehr zu verursachen.

Die Replikationslatenz ist die Zeitspanne zwischen der endgültigen Ursprungsaktualisierung eines AD-Objekts und allen Replikaten.

Replikations-Metadaten in AD werden verwendet, um Konflikte zu lösen, die bei der Replikation auftreten können. Metadaten halten fest, welche Änderungen bereits angewendet wurden, um zu verhindern, dass alte Änderungen neuere überschreiben.

Die Replikationstopologie bezieht sich auf die Struktur der Verbindungen zwischen Domänencontrollern zur Replikation von Daten in Active Directory. Sie definiert, wie Änderungen über das Netzwerk verbreitet werden, um die Datenkonsistenz zu gewährleisten.

Ein PowerShell-Befehl, der das Kennwort des Computerkontos für den Computer zurücksetzt. Wenn er missbraucht wird, kann er den sicheren Kanal zwischen dem Computer und seiner Domäne unterbrechen, was zu einer möglichen Dienstverweigerung oder einem unbefugten Zugriff führen kann.

ReFS ist ein Dateisystem, das von Microsoft für die Verwendung auf Windows-Betriebssystemen entwickelt wurde und einige der Einschränkungen von NTFS überwinden soll.

Responder ist ein Netzwerk-Tool, das die Netzwerkkommunikation manipulieren und auf Netzwerk-Broadcast-Anfragen reagieren kann. Es wird häufig bei Man-in-the-Middle-Angriffen eingesetzt und hilft Angreifern, den Datenverkehr abzufangen und zu manipulieren.

Ein Tool in Windows, mit dem Administratoren die kombinierte Wirkung von Gruppenrichtlinien ermitteln können, die auf ein System und/oder einen Benutzer angewendet werden. Im Wesentlichen bietet es einen kumulativen Überblick über alle Richtlinien aus verschiedenen Quellen, die für einen bestimmten Benutzer oder ein bestimmtes System gelten. Dieses Tool kann besonders bei der Fehlersuche nützlich sein, wenn ein Administrator verstehen muss, warum eine bestimmte Richtlinie wirksam ist oder nicht.

Ein in Russland ansässiger oder russischsprachiger privater Ransomware-as-a-Service (RaaS) Betrieb. Die Ransomware REvil (auch bekannt als Sodinokibi) verbreitet sich häufig über Brute-Force-Angriffe und Server-Exploits, kann aber auch über bösartige Links und Phishing verbreitet werden. Cyberangreifer können REvil verwenden, um Fehlkonfigurationen im Active Directory (AD) oder schwache Passwörter auszunutzen, um sich über das Netzwerk zu verbreiten.

Dabei handelt es sich um den Prozess der Ungültigmachung eines Zertifikats, der über die Zertifikatsdienste von AD verwaltet werden kann. Die ordnungsgemäße Sperrung eines Zertifikats ist wichtig, um die unbefugte Verwendung eines Zertifikats bei einem Man-in-the-Middle-Angriff oder anderen Arten von Cyberangriffen zu verhindern.

Bei dieser Art von Angriff wird die relative Kennung (RID) eines Standard-Domänenkontos so geändert, dass sie mit der RID eines Domänenadministratorkontos übereinstimmt, wodurch das Standardkonto effektiv zum Domänenadmin befördert wird.

Als eine der fünf FSMO-Rollen (Flexible Single Master Operations) in AD ist der RID-Master für die Verarbeitung von RID-Pool-Anfragen von allen DCs innerhalb der Domäne zuständig. Wenn Objekte wie Benutzer und Computer in Active Directory erstellt werden, wird ihnen eine eindeutige Sicherheits-ID (SID) und eine relative ID (RID) zugewiesen. Die RID-Masterrolle stellt sicher, dass keinem Objekt in AD dieselbe SID und RID zugewiesen wird. Ein Ausfall der RID-Master-Rolle könnte sich auf die Erstellung neuer Objekte innerhalb der Domäne auswirken. Ein Domänencontroller in jeder Domäne muss diese Rolle innehaben.

Siehe auch: Flexible Single Master Operations (FSMO) Rollen

Ein System für Public Key Kryptographie.

RBAC ist ein Schlüsselprinzip bei der Verwaltung der Zugriffskontrolle. Es weist Berechtigungen auf der Grundlage der Rolle eines Benutzers innerhalb des Unternehmens zu und nicht auf der Grundlage des einzelnen Benutzers. Dieser Ansatz vereinfacht die Verwaltung von Berechtigungen und kann das Risiko von Privilegieneskalationsangriffen verringern.

Ein Objekt, das eine Reihe von Eigenschaften offenlegt, die für das Verzeichnis charakteristisch sind.

Die Stammdomäne ist die oberste Domäne in einer Active Directory-Gesamtstruktur. Die Root-Domäne ist die erste Domäne, die in einem neuen AD-Forest erstellt wird, und wird zur Elterndomäne aller nachfolgenden Kinddomänen. Die Sicherheit und Stabilität der Root-Domäne ist für die gesamte AD-Struktur von entscheidender Bedeutung, da die Kompromittierung der Root-Domäne zu einem kompletten Bruch der Gesamtstruktur führen kann.

RRAS ist eine Microsoft-API und Server-Software, die es ermöglicht, Anwendungen zur Verwaltung der Routing- und Fernzugriffsdienst-Funktionen des Betriebssystems zu erstellen, um als Netzwerk-Router zu fungieren. RRAS-Server können jedoch, wenn sie Teil der Domäne und nicht ordnungsgemäß gesichert sind, zu einem Einfallstor für Angreifer werden.

Eine Art von Ransomware, die dafür bekannt ist, dass sie große, öffentliche Windows-Systeme angreift. Ryuk verschlüsselt die Dateien eines Computers, den Systemzugriff und die Daten und macht es den Benutzern unmöglich, Informationen abzurufen oder auf Programme zuzugreifen. Dieser Angriff hat einen für Active Directory (AD) ungewöhnlichen Aspekt: Die Ransomware wird über AD Group Policy Objects (GPO) an ahnungslose Benutzer verteilt.

Um sich gegen Rainbow-Table-Angriffe zu schützen, wird üblicherweise eine Methode verwendet, bei der ein Zufallswert zum Passwort hinzugefügt wird, bevor es gehasht wird. Dadurch werden Rainbow-Tabellen weit weniger effektiv, da selbst eine kleine Änderung der Eingabe (wie das Hinzufügen eines "Salt") zu einem drastisch anderen Hashwert führt. Es ist erwähnenswert, dass der Schutz Ihrer Passwort-Hashes ein entscheidender Aspekt bei der Sicherung einer Active Directory-Umgebung ist.

Der Anmeldename des Benutzers, der zur Unterstützung von Clients und Servern mit früheren Versionen von Windows verwendet wird. Wird auch als "Vor-Windows 2000-Anmeldename" bezeichnet.

Bei einem SaveTheQueen-Angriff zielen Cyberangreifer auf AD durch eine Ransomware ab, die die SYSVOL-Freigabe auf AD-Domänencontrollern nutzt, um sich in der gesamten Umgebung zu verbreiten. Der Zugriff auf die SYSVOL-Freigabe, die zur Bereitstellung von Richtlinien und Anmeldeskripten für Domänenmitglieder verwendet wird, erfordert in der Regel erhöhte Berechtigungen und deutet auf eine ernsthafte AD-Kompromittierung hin.

Das Active Directory-Schema definiert jede Objektklasse, die in der Active Directory-Gesamtstruktur erstellt und verwendet werden kann. Standardmäßig definiert das Schema jedes Attribut, das in einem Objekt vorhanden sein kann, die Beziehungen zwischen den verschiedenen Attributen, welches Attribut obligatorisch ist, welche Berechtigungen jedes Attribut hat und viele andere Parameter. Das Schema ist im Grunde eine Blaupause oder Vorlage dafür, wie Daten und welche Art von Daten in Active Directory gespeichert werden können. Aus Sicht der Cybersicherheit können unbefugte Änderungen am Schema gefährlich sein, da sie nicht rückgängig gemacht werden können und eine zerstörerische Wirkung auf die Active Directory-Daten haben können.

Die Gruppe Schema Admins in Active Directory ist eine hoch privilegierte Gruppe, die volle Kontrolle über das Active Directory-Schema hat. Mitglieder dieser Gruppe können das Schema ändern, einschließlich des Hinzufügens oder Löschens von Attribut- und Objektklassendefinitionen. Ein Beispiel: Zur Gruppe der Schema-Administratoren gehören in der Regel IT-Administratoren, die für die Verwaltung des Active Directory-Schemas verantwortlich sind, z.B. für die Implementierung von Schema-Erweiterungen oder die Durchführung von Schema-Updates.

Aus der Perspektive der Cybersicherheit kann die Kompromittierung der Gruppe Schema Admins schwerwiegende Folgen haben, da sie Angreifern erlaubt, unbefugte Änderungen am Active Directory-Schema vorzunehmen. Dies könnte zu Datenbeschädigung, Denial-of-Service oder unbefugtem Zugriff auf wichtige Systeme und sensible Informationen führen.

Schemaerweiterungen in Active Directory beziehen sich auf den Prozess des Änderns oder Hinzufügens neuer Attribut- und Objektklassendefinitionen zum bestehenden Active Directory-Schema. Auf diese Weise können Unternehmen das Schema anpassen, um spezifische Anwendungsanforderungen zu erfüllen oder zusätzliche Attribute für Objekte zu speichern. Ein Beispiel: Eine Organisation kann das Active Directory-Schema um benutzerdefinierte Attribute für Benutzerobjekte erweitern, um zusätzliche Informationen wie Mitarbeiter-ID-Nummern oder Abteilungsnamen zu speichern.

Dies ist eine der fünf FSMO-Rollen (Flexible Single Master Operations) in AD, die für die Bearbeitung aller Änderungen am Active Directory-Schema zuständig ist. Unbefugter Zugriff auf den Schema Master kann zu kritischen Änderungen in der AD-Struktur führen und schwere Angriffe ermöglichen. Ein Domänencontroller im gesamten Forest muss diese Rolle innehaben.

Siehe auch: Flexible Single Master Operations (FSMO) Rollen

Ein Objekt, das ein Attribut oder eine Objektklasse definiert.

Eine Version des LDAP-Protokolls, die durch Anwendung von SSL/TLS eine sichere Verbindung zum LDAP-Server herstellt. Dies ist wichtig, um den Informationsaustausch zwischen Clients und Domänencontrollern vor Abhören oder Manipulation zu schützen.

Ein Standardprotokoll, das in verschiedenen Protokollen wie HTTPS, LDAPS und anderen verwendet wird. Es unterstützt die Vertraulichkeit und Integrität von Nachrichten in Client- und Serveranwendungen, die über offene Netzwerke kommunizieren. SSL unterstützt die Server- und optional die Client-Authentifizierung mit X.509-Zertifikaten. SSL wird durch Transport Layer Security (TLS) abgelöst. TLS Version 1.0 basiert auf der SSL Version 3.0.

SAM ist eine Datenbank, in der Benutzer und Gruppenobjekte gespeichert werden, die von Client-Windows-Betriebssystemen zur Authentifizierung lokaler Benutzer verwendet werden. Die Kennwörter der Benutzer werden in einem Hash-Format gespeichert. SAM verwendet kryptografische Maßnahmen, um den Zugriff nicht authentifizierter Benutzer auf das System zu verhindern. Wenn sich ein Angreifer Zugang zu dieser Datenbank verschafft, kann er versuchen, Details über die Benutzerkonten und deren Kennwörter zu extrahieren.

Ein XML-basierter offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, insbesondere zwischen einem Identitätsanbieter und einem Dienstanbieter. SAML ist entscheidend für Szenarien, in denen ein sicheres und nahtloses Single Sign-On (SSO) über verschiedene Domänen hinweg erforderlich ist. Es hilft Unternehmen, eine reibungslose Benutzererfahrung zu bieten, indem es den Bedarf an mehreren Passwörtern und Anmeldungen reduziert und gleichzeitig ein hohes Maß an Sicherheit und Kontrolle über den Benutzerzugriff aufrechterhält.

In Active Directory ist ein Sicherheitsdeskriptor eine Datenstruktur, die die Sicherheitsinformationen enthält, die mit einem zu sichernden Objekt wie Benutzern, Gruppen oder Computern verbunden sind. Sie enthält die Eigentümer-SID, die primäre Gruppen-SID, die DACL und die SACL. Ein Sicherheitsdeskriptor definiert, wer welche Art von Zugriff auf das Objekt hat. Eine Fehlkonfiguration in einem Sicherheitsdeskriptor kann zu unbefugtem Zugriff oder zur Ausweitung von Berechtigungen führen.

Ein Prozess in Active Directory, der die Konsistenz der Zugriffskontrolllisten (ACLs) im gesamten Verzeichnis aufrechterhält. Er arbeitet auf Domänenebene und stellt sicher, dass Änderungen an Berechtigungen, die an einem übergeordneten Objekt vorgenommen werden, ordnungsgemäß an alle untergeordneten Objekte innerhalb der Hierarchie weitergegeben werden. Damit spielt sie eine wichtige Rolle bei der Durchsetzung von Sicherheits- und Zugriffskontrollrichtlinien in der gesamten AD-Infrastruktur.

Eine Sammlung von Windows-Protokollen, die eine Reihe von sicherheitsrelevanten Informationen erfassen, darunter Anmeldeversuche und Ressourcenzugriffe, die bei der Erkennung verdächtiger Aktivitäten von unschätzbarem Wert sein können. Wenn sie nicht regelmäßig überwacht werden, können bösartige Aktivitäten unbemerkt bleiben und zu Sicherheitsverletzungen führen.

Sicherheitsgruppen können mehrere Konten enthalten, wie z.B. Benutzerobjekte, Computerobjekte oder sogar andere Gruppenobjekte, die dazu verwendet werden können, einer Ressource auf einfache Weise Berechtigungen zuzuweisen oder Berechtigungen zu beantragen. Sicherheitsgruppen spielen eine entscheidende Rolle bei der Sicherung von Ressourcen und der Verwaltung von Zugriffsrechten in einer Active Directory-Umgebung, da sie dazu verwendet werden, die Berechtigungen für einen Ordner oder ein Objekt auf die Gruppe und nicht auf jedes einzelne Konto anzuwenden.

Eine SID ist ein eindeutiger Wert, der zur Identifizierung von Benutzer-, Gruppen- und Computerkonten in Windows verwendet wird. Sie spielen eine wichtige Rolle bei der Verwaltung von Berechtigungen und der Kontrolle des Zugriffs auf Ressourcen in einer Active Directory-Umgebung. Wenn es einem Angreifer gelingt, eine SID zu fälschen, kann er sich als ein anderer Benutzer ausgeben oder unberechtigte Berechtigungen erlangen. Der SID-Wert für alle Objekte in einer Domäne ist identisch. Um einen eindeutigen Wert für Sicherheitsprinzipale zu erstellen, wird der SID-Wert mit einem eindeutigen RID-Wert kombiniert, der durch den RID-Pool gesteuert wird, der den DCs durch den RID-Master-FSMO-Rolleninhaber in der Domäne zugewiesen wird.

Sicherheitsindikatoren sind Werte, die auf Metriken basieren, die durch den Vergleich logisch zusammenhängender Attribute über das Verhalten einer Aktivität, eines Prozesses oder einer Kontrolle innerhalb eines bestimmten Zeitraums ermittelt werden. Diese kritischen Indikatoren werden aus vordefinierten Kriterien abgeleitet und können Vorhersagen über die allgemeine Sicherheitslage einer Organisation treffen. Zu den Sicherheitsindikatoren gehören Angriffsindikatoren (IOAs), Kompromittierungsindikatoren (IOCs) und Gefährdungsindikatoren (IOEs).

Siehe auch: Indikatoren für einen Angriff, Indikatoren für eine Kompromittierung, Indikatoren für eine Gefährdung

Eine Technologie, die Protokoll- und Ereignisdaten, die von verschiedenen Quellen in der IT-Infrastruktur eines Unternehmens generiert werden, sammelt und analysiert. Unternehmen verwenden SIEM, um Protokolle aus verschiedenen Quellen in Echtzeit zu sammeln, zu zentralisieren und zu speichern.

Sie können SIEM verwenden, um verdächtige Aktivitäten zu überwachen und vergangene Ereignisse zu analysieren, indem Sie Protokolle von Netzwerken, Systemen, Infrastrukturen, Anwendungen oder bestimmten Assets sammeln. SIEM kann auch externe Bedrohungsdaten abrufen und erweiterte Analysen verwenden, um Sie über bösartige Ereignisse in Ihrer Active Directory-Umgebung zu informieren. Einige Angriffe sind jedoch so konzipiert, dass sie sich der SIEM-Erkennung entziehen.

Ein SOC ist eine Einheit, die als Cybersecurity-Zentrum eines Unternehmens fungiert und die Aufgabe hat, die Sicherheitsmaßnahmen zu verstärken und Bedrohungen in Echtzeit zu bekämpfen. Es überwacht verschiedene Systeme, darunter Identitäten, Endpunkte, Server und Datenbanken, und nutzt aktuelle Bedrohungsdaten, um Schwachstellen zu identifizieren und zu beheben, bevor sie von Cyber-Angreifern ausgenutzt werden können.

Eine Suite von Lösungen zur Optimierung von Sicherheitsabläufen durch die Automatisierung der Erkennung von und Reaktion auf Bedrohungen. SOAR integriert verschiedene Sicherheitstools und -systeme und bietet eine einheitliche Plattform für die Erfassung von Daten und die Durchführung geeigneter Reaktionen auf Bedrohungen. Dies ermöglicht es den Sicherheitsteams, eine größere Anzahl von Bedrohungen effizienter zu verwalten und darauf zu reagieren, wodurch die allgemeine Sicherheitslage eines Unternehmens verbessert wird.

Sie können diese Sicherheitstechnologie nutzen, um die Reaktionszeit auf Vorfälle zu verkürzen - was sich direkt auf die Produktivität und Effizienz auswirkt - und zu Forschungszwecken auf frühere Warnmeldungen zuzugreifen. Einige Angriffe sind jedoch so konzipiert, dass sie sich der SOAR-Erkennung entziehen.

Mit dem Aufkommen von Cloud-Diensten, mobilen Geräten und Fernarbeit haben sich die Sicherheitsgrenzen von Unternehmen von den lokalen Servern, aus denen ein Netzwerk besteht, auf eine neue Grenze verlagert: die Identität. 

Eine eindeutige Entität, auch als Prinzipal bezeichnet, die von Active Directory authentifiziert werden kann. In der Regel ein Benutzerobjekt, ein Sicherheitsgruppenobjekt oder ein Computerobjekt. Alle Sicherheitsprinzipale in Active Directory haben eine Sicherheits-ID (SID).

SSPI ermöglicht es Anwendungen, verschiedene auf einem Computer oder Netzwerk verfügbare Sicherheitsmodelle zu nutzen, ohne die Schnittstelle zum Sicherheitssystem zu ändern. Ihr Missbrauch kann zu Token-Manipulationsangriffen führen.

STS ist ein softwarebasierter Identitätsanbieter, der Sicherheitstoken als Teil eines behauptungsbasierten Identitätssystems ausgibt. Er wird häufig in Föderationsszenarien verwendet und spielt eine entscheidende Rolle bei der Gewährleistung der Sicherheit. Wenn er kompromittiert wird, kann er zu unberechtigtem Zugriff auf mehrere Dienste führen.

Server Core ist eine minimale Serverinstallationsoption für Windows Server, die eine wartungsarme Serverumgebung mit eingeschränkter Funktionalität bietet. Sie wird hauptsächlich für Infrastrukturrollen verwendet, einschließlich einer Active Directory Domain Services-Rolle. Aus Sicht der Cybersicherheit kann die kleinere Angriffsfläche von Server Core das potenzielle Risiko von Sicherheitslücken verringern.

SMB ist ein Protokoll für die gemeinsame Nutzung von Dateien, Druckern, seriellen Schnittstellen und Kommunikationsabstraktionen wie Named Pipes und Mail-Slots zwischen Computern. Ein Beispiel für ein Cybersicherheitsproblem ist der SMB-Relay-Angriff, bei dem ein Angreifer einen SMB-Server einrichtet und den Zielcomputer dazu bringt, sich bei ihm zu authentifizieren, was den Diebstahl von Zugangsdaten oder die Ausführung von beliebigem Code ermöglicht.

Ein Benutzerkonto, das explizit erstellt wird, um einen Sicherheitskontext für auf Windows-Servern ausgeführte Dienste bereitzustellen. Eine falsche Verwaltung von Dienstkonten kann dazu führen, dass sie für Angreifer angreifbar werden und eine Ausweitung der Privilegien ermöglichen.

Das Objekt Service Connection Point (SCP) in Active Directory wird verwendet, um die Konfigurationsinformationen zu definieren, die Clients oder Dienste benötigen, um bestimmte Dienste oder Ressourcen innerhalb der Infrastruktur des Unternehmens zu finden und sich mit ihnen zu verbinden. Zum Beispiel: Microsoft Exchange erstellt SCP-Objekte, um den Endpunkt des Autodiscover-Dienstes in Active Directory anzugeben. Dadurch können Outlook-Clients automatisch die Exchange-Einstellungen ermitteln und eine Verbindung zum entsprechenden Exchange-Server herstellen.

Ein SPN ist eine eindeutige Kennung, die an jede Instanz eines Windows-Dienstes gebunden ist. SPNs werden in Verbindung mit dem Kerberos-Authentifizierungsprotokoll verwendet, um eine Dienstinstanz mit einem Dienstanmeldekonto zu verknüpfen. Bei einem Cyberangriff, der als Kerberoasting bekannt ist, kann ein Angreifer Kerberos-Tickets für SPNs anfordern, um deren Passwörter offline zu knacken.

Siehe auch: Kerberoasting, Scannen von Service Principal Name (SPN)

Eine Methode, die häufig bei Angriffen verwendet wird, um Dienstkonten in einer Active Directory-Umgebung zu entdecken. Angreifer zählen Dienste, die unter Domänenkonten laufen, über exponierte Service Principal Names (SPNs) auf. Diese Konten verfügen oft über höhere Privilegien und schwächere Passwörter, was sie zu einem bevorzugten Ziel für Angriffe macht.

Ein Angriff, bei dem eine Benutzersitzung von einem Angreifer übernommen wird. Im Zusammenhang mit Active Directory könnte dies z.B. die Übernahme einer Kerberos-Ticket-Gewährungssitzung bedeuten.

Dieses PowerShell-Cmdlet legt das Ablaufdatum für ein AD-Konto fest. Bei unsachgemäßer Verwendung kann es zu einer Dienstverweigerung führen, indem es ein sofortiges Ablaufdatum für gültige Benutzerkonten festlegt.

Dieser PowerShell-Befehl legt den Kontosperrungsschutz für einen AD-Benutzer fest.

Dieser PowerShell-Befehl schränkt die Anmeldung eines Benutzers bei bestimmten Workstations ein. Wenn er in böser Absicht verwendet wird, kann er zu unbefugtem Zugriff oder einer möglichen Dienstverweigerung führen.

Dieses PowerShell-Cmdlet wird verwendet, um die Eigenschaften eines Computerobjekts zu ändern. Wenn es in böser Absicht verwendet wird, kann es zu unbefugten Änderungen der Computereigenschaften führen, was zu Betriebsstörungen oder Sicherheitsverletzungen führen kann.

Dieses PowerShell-Cmdlet wird verwendet, um die Standard-Passwortrichtlinie für eine AD-Domäne zu ändern. Wenn es missbraucht wird, kann es die Kennwortrichtlinie der Organisation schwächen und es einem Angreifer leichter machen, Kennwörter zu erraten oder zu knacken.

Dieses PowerShell-Cmdlet wird verwendet, um die Attribute eines Benutzerobjekts in Active Directory zu ändern. In den falschen Händen könnte dieser Befehl in böswilliger Weise dazu verwendet werden, Eigenschaften von Benutzerkonten, wie z.B. das Beschreibungsfeld, zu ändern, um eine heimliche Persistenz oder eine Eskalation der Rechte zu erreichen.

Die Schattenkopie ist eine Technologie in Windows-Systemen, die es ermöglicht, manuelle oder automatische Sicherungskopien oder Schnappschüsse von Daten zu erstellen, auch wenn diese gerade in Gebrauch sind. Sie kann dazu verwendet werden, frühere Versionen von Dateien und Verzeichnissen wiederherzustellen.

Wenn Benutzer einen Benutzernamen und ein Kennwort für mehrere Systeme verwenden (auch für Nicht-AD-Systeme), kann ein Angreifer verletzte oder schwache Anmeldeinformationen eines Systems nutzen, um sich unbefugten Zugang zu einem anderen zu verschaffen.

Schattengruppen in Active Directory werden verwendet, um die Mitgliedschaft in einer bestimmten dynamischen Verteilergruppe zu spiegeln. Dies kann besonders nützlich sein, wenn einer dynamischen Verteilergruppe Berechtigungen zugewiesen werden müssen. Wenn sie jedoch nicht ordnungsgemäß verwaltet werden, können Schattengruppen ein Sicherheitsrisiko darstellen, weil sie versehentlich Berechtigungen erteilen.

Ein Sicherheitsmechanismus in Active Directory, der fremde SIDs aus dem Zugriffstoken eines Benutzers eliminiert, wenn dieser über Forest Trust auf Ressourcen zugreift. Diese Funktion, die standardmäßig zwischen Forests aktiviert ist, hilft dabei, böswillige Benutzer mit administrativen Rechten in einem vertrauenswürdigen Forest davor zu schützen, die Kontrolle über einen vertrauenswürdigen Forest zu erlangen. Wenn die SID-Filterung aktiv ist, werden nur SIDs aus der vertrauenswürdigen Domäne im Token eines Benutzers verwendet, während SIDs aus anderen vertrauenswürdigen Domänen ausgeschlossen werden.

SID History ist ein Attribut eines Benutzerobjekts, das bei der Migration von Ressourcen von einer Domäne in eine andere hilft. Es speichert frühere SIDs eines Benutzerkontos und ermöglicht so den Zugriff auf Ressourcen, die die alte SID erkennen. Dies kann von Angreifern mit einer Methode namens SID History Injection missbraucht werden, um die Privilegien zu erweitern.

Das Attribut SID (Security Identifier) kann manipuliert werden, um die Privilegien eines Benutzers zu erhöhen. Ein Angreifer kann die SID einer privilegierten Gruppe in das SID-Historienattribut seines Kontos einfügen und sich so die entsprechenden Privilegien verschaffen.

Ein Silver-Ticket-Angriff konzentriert sich auf das Fälschen eines Sitzungstickets (ST). Dieser Angriff ermöglicht es dem Angreifer, sich als legitimer Benutzer auszugeben und unbefugten Zugriff auf Ressourcen innerhalb der Domäne zu erhalten. Bei dieser Art von Angriff verschafft sich ein Angreifer unbefugten Zugriff auf einen Dienst, indem er ein Kerberos-Ticket für diesen Dienst fälscht. Indem er den NTLM-Hash des Dienstkontos und andere erforderliche Informationen erhält, kann der Angreifer ein bösartiges Ticket erstellen, das ihm Zugriff auf den Dienst gewährt, ohne dass er sich authentifizieren oder das Kennwort des tatsächlichen Benutzers kennen muss.

Ein Framework, das einen Mechanismus für die Authentifizierung und optionale Sicherheitsdienste in Internetprotokollen bietet. Im Zusammenhang mit Active Directory (AD) wird SASL verwendet, um die Integrität und Sicherheit von Daten während der Übertragung zu gewährleisten. Wenn ein AD-Client sich bei einem Server authentifizieren möchte, kann er SASL verwenden, um die von ihm bevorzugte Authentifizierungsmethode anzugeben. SASL unterstützt verschiedene Authentifizierungsmethoden wie Kerberos, NTLM und Digest-MD5 und wird häufig in Protokollen wie LDAP verwendet. Einige SASL-Mechanismen bieten auch Sicherheitsdienste, die über die Authentifizierung hinausgehen, wie z.B. Datenintegritätsprüfungen und Verschlüsselung, um Daten während der Übertragung zu schützen.

SSO ist ein Authentifizierungsverfahren, das es einem Benutzer ermöglicht, mit einem Satz von Anmeldedaten auf mehrere Ressourcen zuzugreifen. SSO kann verwendet werden, um Benutzern einen nahtlosen Zugriff auf Netzwerkressourcen zu ermöglichen und die Benutzerfreundlichkeit zu verbessern, indem die Anzahl der Passwörter, die sie sich merken müssen, reduziert wird. SSO kann die Unternehmenseffizienz steigern, stellt aber auch ein potenzielles Sicherheitsproblem dar, wenn der einzige Authentifizierungspunkt gefährdet ist.

Eine Sammlung von einem oder mehreren gut verbundenen (zuverlässigen und schnellen) TCP/IP-Subnetzen, die als Objekte in der AD-Datenbank dargestellt werden. Sites helfen Administratoren, sowohl den Active Directory-Anmeldeverkehr als auch die Active Directory-Replikation im Hinblick auf das physische Netzwerk und die WAN-Verbindungsgeschwindigkeiten zu optimieren. Wenn sich ein Benutzer anmeldet, suchen die Domänenmitglieder nach Domänencontrollern (DCs), die sich in der gleichen Site wie der Benutzer befinden oder in der Nähe der gleichen Site, wenn es in der Site keinen DC gibt. Wenn DCs replizieren, führen sie eine fast sofortige Replikation zwischen allen DCs in einer Site durch und verschieben den Replikationsverkehr auf andere Sites, basierend auf dem Replikationsfenster und -intervall. Eine Fehlkonfiguration von Standorten und Diensten kann zu Ineffizienzen bei der Replikation führen und die Verfügbarkeit von AD-Diensten beeinträchtigen.

Site Links in Active Directory stellen zuverlässige IP-Pfade zwischen Sites dar. Sie werden vom Knowledge Consistency Checker (KCC) verwendet, um die Replikationstopologie aufzubauen.

Ein Objekt der Klasse site, das eine Site darstellt.

Bei einem Skeleton Key-Angriff installiert ein Angreifer eine bösartige Software auf einem Domänencontroller. Diese Malware ermöglicht es dem Angreifer, sich mit einem nur ihm bekannten Kennwort bei jedem Konto innerhalb der Domäne anzumelden, ohne den normalen Betrieb zu stören oder die tatsächlichen Kennwörter zu ändern.

Dies ist eine starke Form der Zwei-Faktor-Authentifizierung, die für die Anmeldung bei einer AD-Domäne verwendet wird. Eine Smartcard enthält ein Zertifikat, das mit einem Benutzerkonto verknüpft ist und einen robusten Schutz gegen den Diebstahl von Zugangsdaten bietet.

Ein schneller Angriff im Stil von Psexec mit dem zusätzlichen Vorteil der Pass-the-Hash-Funktion. Er führt Befehle auf entfernten Computern aus, die das SMB-Protokoll nutzen.

Ein Tool, mit dem Benutzer Samba-Freigabe-Laufwerke in einer ganzen Domäne aufzählen können. Angreifer können es verwenden, um sich über Datei-, Verzeichnis- und Freigabeberechtigungen zu informieren.

Dabei handelt es sich um ein "Foto" oder einen gespeicherten Zustand der Active Directory-Datenbank zu einem bestimmten Zeitpunkt, der für Sicherungszwecke verwendet werden kann. Ein unbefugter Zugriff auf Snapshots kann sensible Daten offenlegen, und veraltete Snapshots können Schwachstellen enthalten, die in der Live-Umgebung bereits gepatcht wurden.

SRPs identifizieren Softwareprogramme, die auf Computern in einer Domäne ausgeführt werden, und kontrollieren die Fähigkeit dieser Programme, ausgeführt zu werden. Dies ist eine effektive Methode, um die Ausführung von Malware oder nicht vertrauenswürdiger Software zu verhindern. SRP können eingesetzt werden, um eine hochsichere Konfiguration für Systeme einzurichten, indem sie nur die Ausführung von zuvor genehmigten Anwendungen zulassen. Durch die Integration mit Microsoft Active Directory und Gruppenrichtlinien können SRPs sowohl in Netzwerkumgebungen als auch auf unabhängigen Computern erstellt werden.

Anfang 2020 drangen Cyberangreifer heimlich in die Systeme des texanischen Unternehmens SolarWind ein und fügten bösartigen Code in das Softwaresystem des Unternehmens ein. Das System mit der Bezeichnung "Orion" wird von vielen Unternehmen zur Verwaltung von IT-Ressourcen eingesetzt. Laut SEC-Dokumenten hatte SolarWinds 33.000 Kunden, die Orion nutzen. Um März 2020 herum installierten jedoch bis zu 18.000 SolarWinds-Kunden Updates, die sie anfällig für Cyberangriffe machten. Darunter befanden sich mehrere hochkarätige Kunden von SolarWinds, darunter Fortune-500-Unternehmen und mehrere Behörden der US-Regierung, darunter Teile des Pentagons, des Ministeriums für Innere Sicherheit und des Finanzministeriums.

Spezielle Identitäten (auch implizite Identitäten genannt) sind vordefinierte Gruppen, die einzigartige, oft dynamische Rollen innerhalb der Infrastruktur erfüllen. Anders als typische Gruppen haben diese Identitäten keine statische Liste von Mitgliedern. Stattdessen repräsentieren sie verschiedene Benutzer unter verschiedenen Umständen. Einige Beispiele für diese speziellen Identitäten sind Anonymous Logon, Batch und Authenticated User.

Bei einem SPN-Jacking-Angriff manipulieren Cyberangreifer den SPN von Computer-/Dienstkonten, um die vorkonfigurierte eingeschränkte Delegation auf unbeabsichtigte Ziele umzuleiten, auch ohne SeEnableDelegation-Rechte zu erlangen.

Im Zusammenhang mit Active Directory bezieht sich Spoofing im Allgemeinen auf eine Situation, in der sich eine bösartige Entität als ein anderes Gerät oder ein anderer Benutzer im Netzwerk ausgibt. DNS-Spoofing kann zum Beispiel dazu verwendet werden, den Datenverkehr zu einem bösartigen Server umzuleiten.

Im DNS eine Art von Informationsdatensatz, der in der Zonendatenbank des DNS gespeichert ist und den Namen eines bestimmten Dienstes dem DNS-Namen eines Servers zuordnet, der diesen Dienst anbietet. Active Directory verwendet SRV-Datensätze in hohem Maße, damit Clients und andere DCs Dienste wie Global Catalog, LDAP und Kerberos finden können. Die DCs machen ihre Fähigkeiten automatisch bekannt, indem sie SRV-Datensätze im DNS veröffentlichen.

Der Prozess der Aushandlung und Herstellung einer durch Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) geschützten Verbindung.

Auch bekannt als Angriffe von Drittanbietern oder Angriffe über die Wertschöpfungskette. Sie treten auf, wenn ein Angreifer Ihr System über einen externen Partner oder Anbieter mit Zugang zu Ihren Systemen und Daten infiltriert. Anstatt das primäre Ziel direkt anzugreifen, zielt der Angreifer auf weniger sichere Elemente in der Lieferkette des Netzwerks. Zu den berüchtigten Beispielen gehört der Angriff auf SolarWinds, bei dem bösartiger Code in Software-Updates eingeschleust wurde, von denen Tausende von Kunden weltweit betroffen waren.

Im Zusammenhang mit Active Directory ist die Synchronisierung der Prozess, der sicherstellt, dass mehrere Kopien eines Datenobjekts, z.B. eines Benutzerkontos oder einer Gruppe, auf allen Domänencontrollern identisch sind. Wenn die Synchronisierung fehlschlägt, kann dies zu Inkonsistenzen führen, die von einem Angreifer ausgenutzt werden können.

Eine Zugriffskontrollliste (ACL), die die Generierung von Audit-Meldungen für Zugriffsversuche auf ein sicheres Objekt in AD steuert. Die daraus resultierenden Audit-Meldungen können im Sicherheitsprotokoll in der Windows Ereignisanzeige eingesehen werden. Das Ignorieren von SACLs kann ein System verwundbar machen, da verdächtige Aktivitäten nicht aufgezeichnet und gemeldet werden.

Die SYSVOL-Freigabe ist ein sehr wichtiger Ordner, der auf jedem Domänencontroller in der AD-Domäne freigegeben ist. Der Standardspeicherort ist %SYSTEMROOT%SYSVOLSYSVOL und er enthält in der Regel Gruppenrichtlinienobjekte, Ordner, Skripte, Verknüpfungspunkte und mehr. Jeder Domänencontroller erhält ein Replikat der SYSVOL-Freigabe. Wenn sie nicht ordnungsgemäß gesichert ist, können Angreifer Zugriff auf diese Freigabe erhalten, und alles, was dort abgelegt wird, wird standardmäßig in der gesamten AD-Forest repliziert. Unbefugte Änderungen in SYSVOL können auch zu GPO-bezogenen Sicherheitsproblemen führen.

Ein grafisches Netzwerküberwachungsprogramm von Sysinternals, das eine Darstellung aller derzeit aktiven TCP- und UDP-Endpunkte auf einem System anzeigt.

TACACS ist ein Protokoll zur Fernauthentifizierung, das häufig in UNIX-Netzwerken verwendet wird. Mit TACACS kann ein Fernzugriffsserver das Anmeldekennwort eines Benutzers an einen Authentifizierungsserver weiterleiten, um festzustellen, ob der Zugriff auf ein bestimmtes System erlaubt ist. TACACS ist zwar nicht direkt Teil von Active Directory, wird aber häufig in gemischten Umgebungen zusammen mit AD verwendet.

Terminaldienste, jetzt bekannt als Remotedesktopdienste, ermöglichen es Benutzern, aus der Ferne auf Windows-basierte Programme oder den gesamten Windows-Desktop zuzugreifen. Das ist zwar bequem und flexibel, kann aber auch ein Sicherheitsrisiko darstellen, wenn es nicht ordnungsgemäß gesichert ist, da es von Angreifern für einen nicht autorisierten Fernzugriff ausgenutzt werden kann.

Siehe auch: Remotedesktopdienste (RDS)

Dieser PowerShell-Befehl überprüft den sicheren Kanal zwischen dem lokalen Computer und seiner Domäne. Wenn er eine unsichere Verbindung anzeigt, könnte dies auf mögliche MiTM-Angriffe oder andere Netzwerkkompromittierungen hinweisen.

Die Bedrohungsjagd ist ein proaktiver Prozess der Cybersicherheit, bei dem Netzwerke durchsucht werden, um fortschrittliche Bedrohungen zu erkennen und zu isolieren, die sich bestehenden Sicherheitslösungen entziehen. In Active Directory-Umgebungen ist es von entscheidender Bedeutung, potenzielle Eindringlinge oder böswillige Aktivitäten zu identifizieren, die die herkömmlichen Sicherheitsmaßnahmen umgangen haben. Ein bekanntes Beispiel für einen Threat Hunting-Fall in AD wäre die Suche nach Anzeichen von "Golden Ticket"-Angriffen, bei denen Angreifer ein TGT fälschen.

Ein Oberbegriff, der die Arten von Schwachstellen, Angriffen und Bedrohungsakteuren beschreibt, die zu einem bestimmten Zeitpunkt und in einem bestimmten Kontext existieren. Computer- und Informationstechnologien entwickeln sich in rasantem Tempo. Die Cyberangreifer halten jedoch Schritt, indem sie ihre Methoden zur Ausnutzung von Systemschwachstellen ständig weiterentwickeln. Die Unbeständigkeit der heutigen Cyber-Bedrohungslandschaft macht es erforderlich, einen mehrschichtigen Sicherheitsansatz und Lösungen zu verwenden, die speziell für den Schutz und die schnelle Wiederherstellung von Active Directory entwickelt wurden.

TGS ist eine wichtige Komponente des Kerberos-Authentifizierungsprotokolls, das in Active Directory verwendet wird. Nach der ersten Authentifizierung wird ein Ticket Granting Ticket (TGT) vom Key Distribution Center (KDC) ausgestellt. Das TGS verwendet dieses TGT, um Service-Tickets für den Zugriff auf andere Ressourcen innerhalb der Domäne auszustellen. Wenn sich ein Angreifer Zugang zu einem gültigen TGT verschafft, kann er Tickets für jeden beliebigen Netzwerkdienst anfordern, was zu einem potenziell unbefugten Zugriff führt.

Siehe auch: Ticket-erteilendes Ticket (TGT)

Im Kerberos-Authentifizierungsprotokoll sind die Ticket-Optionen ein Feld im Ticket, in dem angegeben wird, ob das Ticket verlängerbar ist oder ob es für die Verwendung durch einen Proxy gültig ist. Eine Fehlkonfiguration dieser Optionen oder die Ausnutzung durch einen Angreifer kann zu Sicherheitsproblemen führen, z. B. zu einer nicht autorisierten Erneuerung des Tickets.

Als Teil des Kerberos-Authentifizierungsprotokolls wird bei der ersten Benutzerauthentifizierung ein TGT vom Key Distribution Center (KDC) ausgestellt. Dieses Ticket wird dann verwendet, um beim Ticket Granting Service (TGS) Service-Tickets für bestimmte Netzwerkressourcen anzufordern. Das TGT enthält den Sitzungsschlüssel, das Ablaufdatum und die IP-Adresse des Benutzers. Das TGT ist ein wertvolles Ziel für Angreifer, da der Besitz eines gültigen TGT es ihnen ermöglicht, sich als Benutzer auszugeben und unbefugten Zugriff auf Ressourcen zu erhalten.

Siehe auch: Ticket Granting Service (TGS)

Tier 0 Assets sind diejenigen, die für den Betrieb Ihrer IT-Umgebung entscheidend sind. Dazu gehören Active Directory und AD-Domänencontroller, die wiederum den Zugriff und die Berechtigungen für jeden Benutzer, jedes System und jede Ressource im Unternehmen kontrollieren.

Dieses Sicherheitsmodell für den administrativen Zugriff unterteilt die Privilegien in verschiedene Ebenen, um den Diebstahl von Zugangsdaten und unbefugten Zugriff zu verhindern. So sollten Administratoren mit Zugriff auf den Domänencontroller (Stufe 0) nicht dieselben Konten oder Rechner verwenden, um weniger vertrauenswürdige Ressourcen wie Benutzer-Workstations (Stufe 2) zu verwalten. Dieses Modell ist entscheidend für die Minimierung des Risikos einer Privilegienerweiterung oder von Angriffen durch Quereinsteiger.

Active Directory verwendet für die Authentifizierung das Kerberos-Protokoll, das auf zeitabhängigen Tickets beruht. Um Probleme bei der Authentifizierung zu vermeiden, ist es wichtig, dass die Zeit auf allen Systemen in einer AD-Umgebung genau und synchronisiert ist. Falsche Zeiteinstellungen können sogar zu Kerberos-basierten Angriffen, wie z.B. Replay-Angriffen, führen.

TTL gibt es nicht nur bei Active Directory, aber sie spielt eine entscheidende Rolle bei DNS, das eine wichtige Komponente von AD ist. Im Zusammenhang mit dem in AD integrierten DNS ist TTL ein Wert in einem DNS-Datensatz, der die Dauer angibt, für die der Datensatz gültig ist, bevor er erneuert werden muss. Eine zu lange TTL kann dazu führen, dass veraltete DNS-Informationen verwendet werden, wodurch AD-Dienste gestört werden könnten.

Ein Token in Active Directory ist eine Darstellung der Rechte und Berechtigungen eines Benutzers. Jedes Mal, wenn sich ein Benutzer anmeldet, wird ein Token generiert, das den Benutzer und die Gruppen, zu denen der Benutzer gehört, identifiziert. Token können von Cyberkriminellen angegriffen werden, um Token-Impersonationsangriffe durchzuführen und das Token zu stehlen, um unbefugten Zugriff zu erhalten.

Token Bloat ist ein Zustand, bei dem ein Benutzer aufgrund seiner Mitgliedschaft in vielen Gruppen so viele Sicherheitskennungen (SIDs) in seinem Zugriffstoken anhäuft, dass er Probleme bei der Anmeldung oder beim Ressourcenzugriff bekommt. Vom Standpunkt der Cybersicherheit aus gesehen, kann ein aufgeblähter Token sowohl die Produktivität des Benutzers beeinträchtigen als auch ein Zeichen für übermäßige Berechtigungen sein, die von einem Angreifer ausgenutzt werden könnten, wenn das Benutzerkonto kompromittiert wird.

Wenn ein Objekt aus Active Directory gelöscht wird, wird es in den Container Gelöschte Objekte verschoben. Das Objekt behält die meisten seiner Attribute bei. Objekte verbleiben in diesem Container für die Dauer der Tombstone-Periode (standardmäßig 180 Tage), nach der sie endgültig gelöscht werden. Wenn die Tombstone-Periode noch nicht abgelaufen ist, können die gelöschten Objekte reanimiert werden. Das Wiederherstellen von Objekten, die fälschlicherweise mit einem Grabstein versehen wurden, kann zu Inkonsistenzen und möglicherweise zu verwaisten Objekten führen.

Die Anzahl der Tage, bevor ein gelöschtes Objekt aus den Verzeichnisdiensten entfernt wird. Der Standardwert war früher 60 Tage, wenn kein Wert eingegeben wurde. In modernen Betriebssystemen beträgt der Wert 180 Tage.

Eine wechselseitige Beziehung, die automatisch zwischen übergeordneten und untergeordneten Domänen in einer Microsoft Active Directory-Gesamtstruktur erstellt wird und die es Benutzern aus einer Domäne in der Gesamtstruktur ermöglichen kann, sich bei Ressourcen in jeder anderen Domäne in dieser Gesamtstruktur anzumelden. Das heißt, wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, dann vertraut Domäne A automatisch auch Domäne C. Angreifer können diese Transitivität ausnutzen, um unbefugten Zugriff auf Ressourcen zu erhalten.

TCP/IP ist eine Reihe von Kommunikationsprotokollen, die verwendet werden, um Netzwerkgeräte im Internet oder in einem privaten Netzwerk miteinander zu verbinden. Im Zusammenhang mit Active Directory ist es entscheidend, da es das Rückgrat der Netzwerkkommunikation bildet. Um den Netzwerkverkehr vor Sniffing- oder Spoofing-Angriffen zu schützen, ist es wichtig, dass geeignete Sicherheitsmaßnahmen wie IPsec implementiert werden.

TLS ist ein Protokoll, das den Datenschutz zwischen kommunizierenden Anwendungen und Benutzern im Internet gewährleistet. Wenn ein Server und ein Client miteinander kommunizieren, stellt TLS sicher, dass keine dritte Partei eine Nachricht abhören oder manipulieren kann. Wenn es nicht korrekt implementiert ist, können Angreifer Schwachstellen im Protokoll ausnutzen oder die Sicherheit der Verbindung mit abwertenden Angriffen schwächen.

Ein Baum ist eine Sammlung von Active Directory-Domänen in einer hierarchischen Reihenfolge und mit einem zusammenhängenden Namensraum.

Ein Baumstammvertrauen ist eine automatische transitive Vertrauensbeziehung, die zwischen den Stammdomänen zweier Bäume in derselben Active Directory-Gesamtstruktur hergestellt wird. Dieses Vertrauen ermöglicht es allen Domänen in einem Baum, allen Domänen im anderen Baum zu vertrauen. Ähnlich wie bei transitiven Vertrauensbeziehungen können jedoch auch Baumstamm-Vertrauensstellungen von Angreifern ausgenutzt werden, um sich innerhalb der Gesamtstruktur zu bewegen.

TrickBot ist ein Trojaner-Typ von Malware, der erstmals 2016 entdeckt wurde. Sein ursprünglicher Zweck war es, Banken anzugreifen und Finanzdaten zu stehlen, aber TrickBot hat sich zu einer modularen, mehrstufigen Malware entwickelt. Der häufigste anfängliche Infektionsvektor ist Malspam, der bösartige, mit Makros versehene Office-Dokumente wie Rechnungen, Urlaubskarten, Verkehrsverstöße usw. enthält.

Ein Trust ist eine Beziehung zwischen Domänen, die den Zugriff von Objekten in einer Domäne auf Ressourcen in einer anderen ermöglicht. Sie wird zwischen zwei Domänenbäumen oder Forests eingerichtet, um Benutzern in einer Domäne den Zugriff auf Ressourcen in der anderen zu ermöglichen. So kann sich beispielsweise ein Benutzer aus einer Domäne anmelden und auf Ressourcen in einer anderen Domäne zugreifen.

Diese definieren die Art des Zugriffs, der einer vertrauenswürdigen Domäne gewährt wird. Zu den Vertrauensattributen gehören Einstellungen wie die selektive Authentifizierung, die den Zugriff auf nur bestimmte Ressourcen in einer Domäne einschränkt. Fehlkonfigurationen bei den Vertrauensattributen können zu unberechtigtem Ressourcenzugriff führen.

In Active Directory ist eine Vertrauensgrenze eine logische Grenze, die verschiedene Sicherheitsdomänen oder Bereiche voneinander trennt. Sie stellt das Ausmaß dar, in dem Vertrauensbeziehungen zwischen Entitäten innerhalb und außerhalb der Grenze hergestellt werden können. Der Aufbau einer Vertrauensbeziehung über diese Grenze hinweg ermöglicht es Sicherheitsprinzipalen (wie Benutzern oder Computern) aus einer Domäne, auf Ressourcen in einer anderen Domäne zuzugreifen.

2FA fügt dem Authentifizierungsprozess eine zusätzliche Sicherheitsebene hinzu, indem Benutzer ihre Identität mit zwei verschiedenen Faktoren überprüfen müssen: etwas, das sie kennen (wie ein Passwort), und etwas, das sie besitzen (wie ein Token oder ein mobiles Gerät). Dadurch wird es für Angreifer schwieriger, Zugang zu erhalten, selbst wenn es ihnen gelingt, einen Faktor zu kompromittieren.

Universelle Gruppen in Active Directory sind Gruppen, die Benutzer, Gruppen und Computer aus jeder Domäne innerhalb ihrer AD-Gesamtstruktur enthalten können. Dieses Attribut macht sie ideal für eine umfangreiche Zugriffsverwaltung über mehrere Domänen hinweg. Fehlkonfigurationen oder eine übermäßige Verwendung können jedoch den Replikationsverkehr innerhalb der Gesamtstruktur erhöhen, was die Leistung beeinträchtigen kann.

Dieser PowerShell-Befehl entsperrt ein AD-Konto, das gesperrt wurde. Ein Missbrauch könnte dazu führen, dass ein Angreifer Konten entsperrt, die aufgrund von verdächtigen Aktivitäten gesperrt waren.

Eine USN ist eine 64-Bit-Nummer in Active Directory, die sich bei Änderungen an Objekten oder Attributen erhöht. Sie wird verwendet, um die Replikation dieser Änderungen im gesamten AD Forest zu steuern.

UAC ist zwar kein AD-Begriff im eigentlichen Sinne, aber eine Windows-Sicherheitsfunktion, die mit AD interagieren kann. Sie kontrolliert die Privilegien eines Benutzerkontos und fordert eine Bestätigung an, wenn eine Änderung administrative Rechte erfordert. Wenn die UAC-Einstellungen nicht angemessen konfiguriert sind, kann sie unbefugte Änderungen oder die Verbreitung von Malware ermöglichen.

In Active Directory Services Interface (ADSI) hat jedes Objekt einen eindeutigen Bezeichner, der als UID bezeichnet wird. Sie wird häufig bei der Interaktion mit AD über Skripte oder Programmiersprachen verwendet und dient als eindeutiger Zeiger auf ein Objekt im Verzeichnis.

In Active Directory ist ein Benutzerobjekt ein bestimmter Satz von Attributen, die einen Netzwerkbenutzer repräsentieren. Es enthält Informationen wie den Benutzernamen, das Kennwort und verschiedene andere Details über den Benutzer. Die Sicherheit von Benutzerobjekten ist von größter Bedeutung, um den Datenschutz zu gewährleisten und unbefugten Zugriff zu verhindern.

Ein Anmeldename im Internet-Stil für ein Benutzerobjekt, basierend auf dem Internet-Standard RFC 822. Der UPN ist kürzer als der Distinguished Name und leichter zu merken. Er vereinfacht den Anmeldevorgang, insbesondere in Umgebungen mit Vertrauensbeziehungen. Konventionell sollte dieser Name der E-Mail-Adresse des Benutzers entsprechen, damit er leichter zu merken ist.

Ein virtuelles Verzeichnis ist ein Verzeichnisname, auch Pfad genannt, der verwendet wird, um auf das physische Verzeichnis (oder die Verzeichnisse) zu verweisen, in dem/denen die Dateien tatsächlich gespeichert sind. Dieses Konzept ist in AD wichtig, da es die effektive Lokalisierung und Verwaltung von Ressourcen ermöglicht, ohne dass die zugrunde liegende Komplexität ihrer physischen Speicherorte direkt bearbeitet werden muss.

Ein VLAN ist eine logische Unterteilung eines Netzwerks, die eine Reihe von Geräten zusammenfasst, die so kommunizieren können, als befänden sie sich im selben physischen Netzwerk, auch wenn sie es nicht sind. Aus einer AD-Perspektive können VLANs das Design und die Leistung der AD-Replikation sowie die Anwendung von Richtlinien beeinflussen.

Ein VPN ist eine sichere Netzwerkverbindung, die Verschlüsselung und andere Sicherheitsmechanismen verwendet, um sicherzustellen, dass nur autorisierte Benutzer auf das Netzwerk zugreifen können und dass die Daten nicht abgefangen werden können. Dies hat Auswirkungen auf Active Directory, da es einen sicheren Fernzugriff auf das Netzwerk eines Unternehmens ermöglicht, in dem sich AD-Ressourcen befinden.

Der Prozess der Erstellung einer virtuellen Version von etwas, einschließlich, aber nicht beschränkt auf eine Hardwareplattform, ein Betriebssystem, ein Speichergerät oder Netzwerkressourcen. Im AD-Kontext können Domänencontroller virtualisiert werden, um Hardwarekosten zu sparen oder um eine Notfallwiederherstellung zu ermöglichen. Die Virtualisierung von AD-Komponenten muss jedoch sorgfältig verwaltet werden, da falsche Konfigurationen (z.B. wenn ein virtueller Domänencontroller seine eigene Zeit behält) zu erheblichen Problemen führen können.

Ein Virus ist ein bösartiges Programm, das sich selbst repliziert und auf andere Computer überträgt. Er kann Active Directory beeinträchtigen, wenn er Systeme infiziert, die mit AD interagieren, oder wenn er speziell auf AD-Komponenten abzielt. Virenschutz und rechtzeitiges Eingreifen sind entscheidend für die Aufrechterhaltung der Integrität und Verfügbarkeit der AD-Umgebung.

VBScript ist eine von Microsoft entwickelte, leichtgewichtige Skriptsprache, die häufig für serverseitiges Scripting in Active Directory-Umgebungen verwendet wird. Trotz seines Alters haben viele AD-Administratoren alte VBScripts in ihrer Umgebung oder verwenden VBScript für schnelle, einfache Aufgaben.

Dies ist ein Windows-Dienst, der manuelle oder automatische Backups von Computerdateien und Volumes ermöglicht. Es handelt sich im Wesentlichen um das Windows-eigene Backup-Tool, das in bestimmten Intervallen oder bei Auslösung durch ein Systemereignis "Schattenkopien" erstellen kann. VSS kann verwendet werden, um eine Active Directory-Datenbank zu sichern, während sie noch läuft, und spielt eine wichtige Rolle bei der Systemwiederherstellung und Datenwiederherstellung.

Diese Sicherheitstechnik wird verwendet, um Sicherheitsschwachstellen in einem Computersystem zu identifizieren. Im Zusammenhang mit Active Directory kann das Scannen auf Schwachstellen Probleme wie ungepatchte Software, falsche Sicherheitskonfigurationen oder die Verwendung schwacher Passwörter aufdecken. Regelmäßige Schwachstellen-Scans sind ein wichtiger Bestandteil der Aufrechterhaltung der Sicherheit einer Active Directory-Umgebung.

Der Wannacry-Ransomware-Wurm nutzte die EternalBlue-Sicherheitslücke aus und griff 2017 gezielt Windows-basierte Computer an. Microsoft veröffentlichte kurz vor Beginn der Angriffe ein Sicherheits-Patch für EternalBlue, aber viele Windows-Nutzer aktualisierten ihre Systeme nicht sofort oder verwendeten veraltete Windows-Versionen. Infolgedessen infizierte Wannacry mehr als 200.000 Computer in 150 Ländern und verursachte Schäden in Höhe von 8 Milliarden Dollar.

Ein Dienstprogramm für die Eingabeaufforderung, mit dem Administratoren oder Backup-Operatoren ein Betriebssystem (OS), ein Volume, eine Datei, einen Ordner oder eine Anwendung sichern und wiederherstellen können. Wbadmin ersetzte NT-Backup, das Tool zur Erstellung von Backups in Systemen vor Windows Server 2008.

Im Bereich SSL/TLS ist ein Wildcard-Zertifikat ein Zertifikat, das alle Unterdomänen einer Domäne sichern kann. Zum Beispiel kann ein einziges Wildcard-Zertifikat für *.semperis.com www.semperis.com, mail.semperis.com usw. sichern. Im AD kann ein Wildcard-Zertifikat verwendet werden, um mehrere Dienste zu sichern, ohne dass mehrere Zertifikate erforderlich sind.

Auch bekannt als Azure Active Directory (AAD). Dies ist der Active Directory-Domänendienst in der Windows Azure-Cloud.

Windows Defender ist das integrierte Echtzeit-Sicherheitssystem von Windows, das Schutz vor einer Vielzahl von Bedrohungen wie Malware, Spyware und Viren bietet. Es spielt eine entscheidende Rolle bei der Sicherung der Geräte, die Teil des Active Directory sind.

Eine Windows-Anwendung, mit der Administratoren detaillierte Aufzeichnungen über Betriebssystem-, Sicherheits- und Anwendungsbenachrichtigungen einsehen können. Wird von Administratoren verwendet, um Systemprobleme zu diagnostizieren und zukünftige Probleme vorherzusagen.

Ein Windows-basierter Dienst, der NetBIOS-Namen von Computern in IP-Adressen auflöst. WINS wurde entwickelt, um die Probleme zu lösen, die bei der Auflösung von NetBIOS-Namen in gerouteten Umgebungen auftreten.

Eine in Microsoft Windows-Betriebssysteme integrierte Infrastruktur, die es ermöglicht, Verwaltungsdaten und Betriebsparameter von jedem Gerät, das an das System angeschlossen ist, abzurufen und zu konfigurieren. Es bietet eine einheitliche Möglichkeit für Software, Systeminformationen abzufragen und Systemkomponenten lokal oder aus der Ferne zu verwalten. WMI kann für Aufgaben wie die Abfrage von Systemeinstellungen, die Einstellung von Systemeigenschaften oder das Auslösen bestimmter Aktionen auf Systemen verwendet werden.

Windows PowerShell ist eine aufgabenbasierte Befehlszeilenshell und Skriptsprache, die speziell für die Systemverwaltung entwickelt wurde. PowerShell basiert auf dem .NET Framework und unterstützt IT-Experten bei der Steuerung und Automatisierung der Verwaltung des Windows-Betriebssystems und der unter Windows ausgeführten Anwendungen. Administratoren können PowerShell zum Beispiel verwenden, um die Erstellung von Benutzern in Active Directory zu automatisieren.

Ein sprachunabhängiger Scripting-Host für Windows Script-kompatible Scripting-Engines. Er bietet eine Reihe von Objekten und Diensten, die Skripting auf Systemebene ermöglichen. So können beispielsweise in JScript oder VBScript geschriebene Skripts administrative Aufgaben automatisieren oder direkt mit dem Windows-Betriebssystem interagieren. WSH-Skripte können direkt vom Desktop oder der Eingabeaufforderung aus ausgeführt oder in eine Webseite eingebettet werden und bieten so eine vielseitige Plattform für die Automatisierung von Routineaufgaben.

Windows Server ist eine von Microsoft entwickelte Gruppe von Betriebssystemen, die Verwaltung, Datenspeicherung, Anwendungen und Kommunikation auf Unternehmensebene unterstützt. Active Directory ist einer der wichtigsten Dienste, die auf Windows Server laufen und eine Vielzahl von Verzeichnisdiensten bereitstellen.

WSUS ist eine Windows-Serverrolle, die Updates, Patches und Hotfixes für Windows-Betriebssysteme und andere Microsoft-Software planen, verwalten und verteilen kann.

Der Windows-Zeitdienst sorgt dafür, dass alle Computer in einer Active Directory-Domäne eine gemeinsame Zeit haben. Dies ist von entscheidender Bedeutung, da ein Zeitunterschied, der den zulässigen Schwellenwert (standardmäßig 5 Minuten) überschreitet, aufgrund der Zeitsensitivität des Kerberos-Protokolls zu Authentifizierungsfehlern führen kann.

Der Windows NT Namespace Provider, der die Windows NT SAM-Kontodatenbank unterstützt.

Wireshark wird häufig bei der Fehlersuche in Netzwerken und bei der Protokollanalyse eingesetzt. Es ist ein legitimes Tool zur Erfassung von Netzwerken, das von Angreifern verwendet werden kann, um den Netzwerkverkehr zu erfassen und zu analysieren und so möglicherweise sensible Daten aufzudecken, die im Klartext übertragen werden.

Eine SQL-ähnliche Sprache, die zum Filtern und Abfragen von Informationen aus dem Windows Management Instrumentation (WMI) Framework verwendet wird. Sie wird verwendet, um Abfragen zu schreiben, die spezifische Informationen aus der riesigen Menge an Daten zurückgeben, die WMI liefern kann, wie z.B. die Abfrage von Ereignissen oder Datenobjekten, der Aufruf von Methoden oder der Zugriff auf oder die Änderung von Systemeigenschaften. WQL bietet ein robustes Toolset für Administratoren, um Aufgaben zu automatisieren, Fehler zu beheben oder Systeminformationen in einer Windows-Umgebung zu sammeln.

Im Zusammenhang mit Active Directory bezieht sich eine Workstation normalerweise auf einen Computer, der mit dem Netzwerk verbunden ist und unter der Kontrolle von AD steht. Auf Workstations können Richtlinien angewendet werden, Benutzer können sich mit ihren AD-Anmeldedaten anmelden und auf der Grundlage ihrer AD-Benutzerrechte und -Berechtigungen auf Ressourcen zugreifen.

Ein beschreibbarer Domänencontroller ist ein Server, der eine beschreibbare Kopie der AD-Datenbank hostet. Dies steht im Gegensatz zu einem schreibgeschützten Domänencontroller (RODC). WDCs erlauben Änderungen an der Datenbank, die dann auf andere DCs repliziert werden. Jede Kompromittierung eines WDC kann erhebliche Auswirkungen haben, da er in der Lage ist, Verzeichnisdaten zu ändern.

Eine Reihe von Computernetzwerkstandards, die einen Verzeichnisdienst für verteilte Computersysteme definieren. Er dient als globales Adressbuch, das die gemeinsame Nutzung von Informationen über Benutzer, Systeme, Netzwerke, Dienste und Anwendungen im gesamten Netzwerk erleichtert. Das LDAP-Protokoll basiert auf einer Teilmenge dieser Standards und macht X.500 zu einem wichtigen Bestandteil der Grundlage für moderne Verzeichnisdienste wie Microsofts Active Directory.

Zero Trust ist ein Sicherheitskonzept, das davon ausgeht, dass Assets oder Benutzerkonten kein implizites Vertrauen allein aufgrund ihres physischen oder Netzwerkstandorts gewährt wird. Zero Trust setzt voraus, dass alle Benutzer authentifiziert und autorisiert werden, bevor sie Zugriff auf Anwendungen und Daten erhalten. Die Identitätssicherheit ist das Herzstück erfolgreicher Zero Trust-Initiativen. 

Eine Sicherheitslücke in der Kryptographie des Microsoft Netlogon-Prozesses kann einen Angriff auf Active Directory (AD) ermöglichen. Zerologon ermöglicht es Cyberangreifern, sich als ein beliebiger Computer auszugeben und die Kontrolle über einen Domänencontroller zu übernehmen, einschließlich des Root-Domänencontrollers. Um dies zu erreichen, ändern oder entfernen Cyberangreifer das Kennwort für ein Dienstkonto auf dem Controller und verursachen dann eine Dienstverweigerung (DoS) oder übernehmen die Kontrolle über das gesamte Netzwerk.

Zonentransfers kommen in Domain Name System (DNS) Protokollen vor, bei denen ein DNS-Server eine Kopie eines Teils seiner Datenbank (eine Zone) an einen anderen DNS-Server weitergibt. In einem Active Directory-Kontext ist dies eine wesentliche Komponente des AD-integrierten DNS-Zonen-Replikationsprozesses. Aus Sicherheitsgründen können ungesicherte Zonentransfers sensible Informationen über Netzwerkressourcen preisgeben. Daher ist es wichtig, sicherzustellen, dass sie so konfiguriert sind, dass sie nur Transfers an autorisierte Server zulassen.