Bösartige AD-Änderungen verfolgen und beseitigen

Active Directory-Änderungsüberprüfung & Rollback

Prüfen und beheben Sie bösartige Änderungen in Active Directory und Entra ID.

Stoppen Sie schnell voranschreitende Active Directory-Angriffe

Raffinierte Ransomware-as-a-Service (RaaS)-Gruppen zielen mit Angriffen, die sich mit erstaunlicher Geschwindigkeit durch Netzwerke bewegen, auf Active Directory, den zentralen Identitätsdienst für 90 % der Unternehmen weltweit. Um Angriffe zu stoppen, müssen Unternehmen böswillige Änderungen in Echtzeit verfolgen und Änderungen schnell wieder rückgängig machen.

Semperis Bericht:
73%
der Unternehmen sind NICHT zuversichtlich, dass sie Entra ID Angriffe verhindern können
Pen-Testern gelingt es, das AD in
82%
ihrer Versuche, nach Angaben von Enterprise Management Associates
Microsoft Digital Defense Report:
1 Stunde, 42 Minuten
benötigt ein Angreifer durchschnittlich, um sich nach der Kompromittierung eines Geräts lateral im Netzwerk auszubreiten
7 Minuten
Die Zeit, die der NotPetya-Angriff 2017 brauchte, um das Maersk-Netzwerk lahmzulegen; die Wiederherstellung von Active Directory dauerte 9 Tage

Verteidigen Sie AD mit fortschrittlicher Änderungskontrolle und -behebung

Für die Überprüfung und Beseitigung bösartiger Änderungen in Active Directory sind Lösungen erforderlich, die speziell für ausgeklügelte Angriffe entwickelt wurden, die sowohl auf das lokale AD als auch auf Entra ID abzielen. Der erste Schritt ist die Implementierung von Überwachungstools, die Änderungen in der gesamten hybriden AD-Umgebung erkennen können, einschließlich Änderungen an Benutzerkonten, Gruppenrichtlinien und Domänencontrollern (DCs). Diese Tools können auch Aufschluss darüber geben, wer die Änderungen vorgenommen hat und wann sie aufgetreten sind. Sobald die Änderungen entdeckt wurden, müssen Sie schnell und präzise reagieren. In vielen Fällen bewegen sich Angriffe zu schnell durch Netzwerke, als dass ein Mensch eingreifen könnte.

Augapfel-Symbol
Monitor

Überwachen Sie AD und Entra ID kontinuierlich auf bösartige Änderungen.

Audit

Prüfen Sie Änderungen, die die AD-Infrastruktur durchlaufen.

Checklisten-Symbol
Beseitigen Sie

Machen Sie böswillige Änderungen in On-Prem AD und Entra ID rückgängig.

Verfolgung von Änderungen in AD und Entra ID

Das Sicherheitsparadigma von Entra ID ist anders

Viele Unternehmen setzen auf hybride Identitätsumgebungen und implementieren sowohl Active Directory vor Ort als auch Entra ID. Obwohl die Flexibilität von hybriden Identitätsumgebungen enorme Vorteile mit sich bringt, ist dieser Ansatz auch mit einem erhöhten Risiko verbunden. Genau wie das lokale AD hat auch Entra ID seine Schwächen, und der hybride Mix schafft zusätzliche Möglichkeiten für Angreifer. Wie bei den Angriffen auf Kaseya und SolarWinds nutzen Cyberkriminelle Sicherheitsschwächen in hybriden Identitätssystemen aus, indem sie sich in der Cloud Zugang verschaffen und in das lokale System wechseln - oder umgekehrt. Die Überprüfung und Beseitigung bösartiger Änderungen in Entra ID erfordert einen völlig anderen Ansatz als das AD-Sicherheitsmanagement vor Ort.

  • Das neue Authentifizierungsmodell bedeutet, dass vertraute Konzepte wie Forests und Gruppenrichtlinien-Objekte in der Entra ID-Umgebung nicht mehr gelten.
  • Entscheidungen wie die, ob On-Prem AD und Entra ID mit Azure Connect zusammengeführt werden sollen, können erhebliche Auswirkungen auf die Sicherheit haben.
  • In Entra ID gibt es keine traditionelle Netzwerkgrenze, so dass IT- und Sicherheitsteams sich gegen eine endlose Reihe potenzieller Eintrittspunkte verteidigen müssen.
  • Die Umstellung auf Entra ID bringt erhebliche Änderungen des Berechtigungsmodells mit sich: In einer hybriden AD-Umgebung werden die Identitäten in der Cloud gespeichert und sind damit potenziell anfällig für ähnliche Angriffe wie die von SolarWinds und Kaseya.
  • Mangelnder Einblick in potenziell bösartige Änderungen in der hybriden AD-Umgebung kann die Sicherheit gefährden.
Mehr erfahren
Die Überprüfung von Entra ID und AD-Änderungen vor Ort ist schwierig

Mangelnde Transparenz in der hybriden AD-Umgebung bedeutet, dass Angriffe über Entra ID in die lokale AD-Umgebung gelangen könnten oder umgekehrt. Unternehmen benötigen Lösungen, die ihnen helfen, Angriffe zu prüfen und zu beheben, unabhängig davon, ob sie aus der Cloud oder aus der lokalen Identitätsumgebung stammen.

  • Eine einzige Ansicht der Änderungen in Entra ID und On-Premise AD kann Angriffe aufdecken, die sich durch die Umgebung bewegen.
  • Die Echtzeit-Überprüfung von Entra ID-Änderungen kann helfen, bösartige Änderungen zu überwachen.
  • Die Möglichkeit, Änderungen sowohl im lokalen AD als auch in Entra ID rückgängig zu machen, hilft bei der Reaktion auf sich schnell verändernde Angriffe in der hybriden AD-Umgebung.
Mehr erfahren

Überprüfen von AD-Änderungen, die SIEMs umgehen

Fortgeschrittene Angriffe können der Verfolgung entgehen

Die Fähigkeit, Angreifer zu erkennen, die in Ihr Identitätssystem eindringen, sich darin bewegen oder - schlimmer noch - es verwalten, ist der Schlüssel zu einer schnellen Reaktion. Angesichts der langen Verweildauer von Malware ist es offensichtlich, dass Cyber-Kriminelle sehr gut im Verborgenen arbeiten. Um fortgeschrittene Angriffe zu erkennen, die sich protokoll- oder ereignisbasierten Systemen entziehen, benötigen Sie eine Lösung, die verschiedene Taktiken einsetzt, um AD- und Entra ID-Sicherheitsbedrohungen zu verfolgen.

  • Verwendet mehrere Datenquellen, einschließlich des AD-Replikationsstroms, um Änderungen wie Gruppenrichtlinienänderungen, Änderungen an Gruppenmitgliedschaften von Domänenadministratoren und andere Änderungen, die vielen Überwachungssystemen entgehen, zu überprüfen.
  • Verwendet eine manipulationssichere Nachverfolgung, um Änderungen auch dann zu erfassen, wenn die Sicherheitsprotokollierung ausgeschaltet wird, Protokolle gelöscht werden, Agenten deaktiviert werden oder nicht mehr funktionieren oder Änderungen direkt in AD eingespeist werden.
  • Bietet forensische Analysen zur Identifizierung verdächtiger Änderungen, zur Isolierung von Änderungen, die von kompromittierten Konten vorgenommen wurden, und zum Aufspüren anderer Quellen und Details von Vorfällen.
  • Benachrichtigung in Echtzeit, wenn betriebliche und sicherheitsrelevante Änderungen an AD vorgenommen werden.
Mehr erfahren

Beseitigen Sie bösartige AD- und Entra ID-Änderungen

AD-Angriffe stoppen erfordert schnelles Handeln

AD-bezogene Cyberangriffe können den Geschäftsbetrieb innerhalb von Minuten lahmlegen. Um Angriffe zu stoppen, benötigen Unternehmen Lösungen, die unerwünschte Änderungen automatisch korrigieren.

  • Die automatische Rückgängigmachung bösartiger Änderungen stoppt Angriffe, die sich zu schnell durch Netzwerke bewegen, als dass ein Mensch eingreifen könnte.
  • Sofortige Suchfunktionen helfen Unternehmen, unerwünschte Änderungen an AD-Objekten und -Attributen innerhalb von Minuten zu beheben.
  • Granulare Rollback-Funktionen helfen IT- und Sicherheitsteams, Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern zu einem beliebigen Zeitpunkt rückgängig zu machen.
Unsere Vision findet bei Branchenführern Anklang
Gartner Peer Insights

Wir nehmen viele Änderungen an unserer Active Directory-Umgebung vor, zum Beispiel fügen wir Linux-Server hinzu. [Directory Services Protector] hilft uns, gefährliche Änderungen mit einem Mausklick zu überwachen und rückgängig zu machen.

Rezension lesen IT-Teammitglied, Enterprise Organization
El Al Israel Airlines

Semperis stellt hochwertige Technologien bereit und Directory Services Protector ist eine große Bereicherung für jedes Unternehmen, das Active Directory verwendet.

Mehr erfahren Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines
Gesundheitswesen

Wir verwenden Directory Services Protector , um uns über Änderungen der Gruppenrichtlinien zu informieren. Dadurch konnten wir stärkere interne Änderungskontroll- und Verbesserungsprozesse einführen, um unseriöse IT-Aktivitäten zu verhindern, die zwar für uns bequem, aber nicht sicher sind.

Chief Technology Officer Orthopädische Facharztpraxis
Gartner Peer Insights

Directory Services Protector ist außergewöhnlich mit Berichten, Echtzeit-Überwachung und Abhilfe, aktiver Berichterstattung und sofortigen Benachrichtigungen, wenn Objekte modifiziert oder geändert werden.

Rezension lesen Senior Windows Systemadministrator Unternehmensorganisation

Häufig gestellte Fragen zu AD-Änderungsüberprüfung und Rollback

Was ist eine Active Directory-Überprüfung?

Active Directory Auditing ist die Überwachung des AD auf Schwachstellen und häufige Konfigurations- und Verwaltungsfehler, die die Tür zu Sicherheitslücken öffnen können. Viele Unternehmen verfügen über veraltete AD-Umgebungen mit Dutzenden oder Hunderten von Fehlkonfigurationen, die sich im Laufe der Zeit angesammelt haben. Aufgrund begrenzter Ressourcen und mangelnder AD-Kenntnisse der Mitarbeiter wird die kontinuierliche Überprüfung von AD und Entra ID auf Sicherheitslücken oft übersehen. Cyber-Kriminelle wissen, dass viele gängige AD-Sicherheitslücken nicht behoben werden, was AD zum Ziel Nummer 1 für Cyber-Angriffe macht: Mandiant-Forscher berichten, dass 9 von 10 Angriffen in irgendeiner Form AD betreffen. Um die AD-Sicherheitslücken in Ihrem Unternehmen zu verstehen, laden Sie Purple Knight herunter, ein kostenloses AD-Sicherheitsbewertungstool, das die AD-Umgebung auf Hunderte von Indikatoren für die Gefährdung (IOEs) und Kompromittierung (IOCs) scannt, eine Gesamtsicherheitsbewertung liefert und von AD-Sicherheitsexperten priorisierte Anleitungen zur Behebung bietet.

Wie können Sie Änderungen an Gruppenrichtlinien überprüfen?

Das Überwachen von Gruppenrichtlinienänderungen ist ein wichtiger Bestandteil der Härtung der Active Directory-Sicherheit und stellt eine Herausforderung dar, da herkömmliche ereignisbasierte Überwachungslösungen in der Regel keine Details zu Änderungen innerhalb einer Gruppenrichtlinie enthalten. Ein Beispiel, Wenn ein Angreifer eine bösartige Änderung mit Ryuk Ransomware, wird das einzige Signal sein dass ein Konto mit Zugriff auf die Gruppenrichtlinie eine Änderung vorgenommen hat, was wahrscheinlich keinen Alarm auslösen wird. Um bösartige Änderungen an Gruppenrichtlinien zu erkennen, benötigen Sie eine Lösung, die mehrere Datenquellen, einschließlich des AD-Replikationsstroms, nutzt, um zusätzlichen Kontext zu erhalten, der auf einen potenziellen Angriff hinweist. Um ein Verständnis für die Sicherheitslücken in Ihrem AD im Zusammenhang mit Fehlkonfigurationen der Gruppenrichtlinien zu erlangen, laden Sie Purple Knight herunter, ein kostenloses AD-Sicherheitsbewertungstool, das die AD-Umgebung auf Hunderte von Indikatoren für die Gefährdung (IOEs) und Kompromittierung (IOCs) scannt. Purple Knight scannt nach verschiedenen Fehlkonfigurationen von Gruppenrichtlinien, einschließlich Änderungen an ausführbaren SYSVOL-Dateien, Delegierung von GPO-Verknüpfungen auf AD-Standortebene und umkehrbare Passwörter in GPOs.

Wie kann ich Änderungen in Active Directory verfolgen?

Um Änderungen in Active Directory zu verfolgen, müssen Sie die AD-Umgebung kontinuierlich auf Indikatoren für die Gefährdung (IOEs) und Kompromittierung (IOCs) in Bezug auf Active Directory-Kontosicherheit, AD-Delegation, Gruppenrichtlinien, Kerberos, Entra ID-Sicherheit und AD-Infrastruktursicherheit überwachen. Ransomware-Gruppen entwickeln ständig neue Methoden, um AD zu kompromittieren, das für 90 % der Unternehmen weltweit der primäre Identitätsspeicher ist. Mit privilegiertem Zugriff auf AD können Cyberkriminelle auf das gesamte Netzwerk zugreifen und so den Geschäftsbetrieb zum Erliegen bringen. Laden Sie Purple Knight herunter, ein kostenloses AD-Sicherheitsbewertungstool, das die AD-Umgebung auf Hunderte von Indikatoren für eine Gefährdung (IOEs) und Kompromittierung (IOCs) untersucht, eine Gesamtsicherheitsbewertung liefert und von AD-Sicherheitsexperten eine Anleitung für priorisierte Abhilfemaßnahmen erhält. Um Änderungen in AD und Entra ID kontinuierlich zu verfolgen, sollten Sie sich Directory Services Protectoreine Lösung zur Erkennung und Überwachung von AD-Bedrohungen, die Änderungen in AD und Entra ID verfolgt und bösartige AD-Änderungen automatisch rückgängig macht.

Wie kann ich Sicherheitsschwachstellen in Entra ID aufspüren?

Sie können das kostenlose Tool zur Bewertung der AD-Sicherheit verwenden Purple Knight verwenden, um Ihre Entra ID-Umgebung auf verschiedene IOEs und IOCs zu scannen, einschließlich inaktiver Gastkonten, falsch konfigurierter Richtlinien für bedingten Zugriff und privilegierter Entra ID-Benutzer, die auch privilegierte Benutzer im lokalen AD sind, was zu einer Gefährdung beider Umgebungen führen kann. Sie können Directory Services Protector verwenden, um Änderungen an Entra ID in Echtzeit zu verfolgen. Weitere Informationen finden Sie unter "Verbessern Sie den Schutz von AD und Entra ID vor Cyber-Bedrohungen".

Wie kann ich Änderungen an Active Directory wie DCShadow überprüfen?

DCShadow ist eine der wenigen Arten von Angriffen, die keine Spuren hinterlassen. Beweise von bösartige Aktivitäten hinterlassen, so dass sie mit herkömmlichen ereignis- oder protokollbasierten Systemen nur schwer zu erkennen sind. Diese Angriffstechnik umgeht die traditionelle SIEM-basierte Protokollierung. Stattdessen werden die Änderungen direkt in den Replikationsstrom der Produktions-Domänencontroller eingespeist. Um sich vor Angriffen zu schützen, die die herkömmliche Überwachung umgehen, benötigen Unternehmen Lösungen, die mehrere Datenquellen nutzen, darunter auch den AD-Replikationsstrom. Für eine umfassende Erkennung von und Reaktion auf AD-Bedrohungen, einschließlich der Möglichkeit, AD auf Angriffe zu überprüfen, die SIEMs und andere herkömmliche Überwachungstools umgehen, sehen Sie sich Directory Services Protector.

Prüfen und beseitigen Sie bösartige Änderungen in Active Directory

Verpassen Sie keine AD- oder Entra ID-Bedrohungen

Prüfen Sie Directory Services Protector

Weitere Ressourcen

Erfahren Sie mehr darüber, wie Sie bösartige Änderungen in Active Directory und Entra ID überprüfen und rückgängig machen können.