Bösartige AD-Änderungen verfolgen und beseitigen

Active Directory-Änderungsüberprüfung & Rollback

Prüfen und beheben Sie bösartige Änderungen in Active Directory und Entra ID.

Demo anfordern

Stoppen Sie schnell voranschreitende Active Directory-Angriffe

Raffinierte Ransomware-as-a-Service (RaaS)-Gruppen zielen mit Angriffen, die sich mit erstaunlicher Geschwindigkeit durch Netzwerke bewegen, auf Active Directory, den zentralen Identitätsdienst für 90 % der Unternehmen weltweit. Um Angriffe zu stoppen, müssen Unternehmen böswillige Änderungen in Echtzeit verfolgen und Änderungen schnell wieder rückgängig machen.

Microsoft Digital Defense Report 2024

73%

der Anfang 2024 untersuchten Cyber-Vorfälle betrafen Entra ID (Azure AD) und On-Prem AD

Microsoft Digital Defense Report 2024

146%

jährlicher Anstieg von Cloud-Token-Diebstahl und AiTM-Phishing-Angriffen

Sophos

11 Stunden

die durchschnittliche Zeit, die Angreifer benötigen, um Active Directory (AD) nach dem ersten Zugriff zu kompromittieren

Semperis 2025 Ransomware-Risikobericht

83%

der Ransomware-Angriffe betrafen die AD- oder Cloud-Verzeichnisinfrastruktur

Verteidigen Sie AD mit fortschrittlicher Änderungskontrolle und -behebung

Die Überwachung und Behebung böswilliger Änderungen in Active Directory erfordert Lösungen, die speziell darauf ausgelegt sind, komplexe Angriffe abzuwehren, die sowohl auf das lokale AD als auch auf Entra ID abzielen. Der erste Schritt besteht darin, Überwachungstools zu implementieren, die Änderungen in der gesamten hybriden AD-Umgebung erkennen können, darunter Änderungen an Benutzerkonten, Policy sowie Änderungen an Domänencontrollern (DCs). Diese Tools können zudem Aufschluss darüber geben, wer die Änderungen vorgenommen hat und wann diese stattfanden. Sobald Änderungen erkannt wurden, müssen Sie schnell und präzise reagieren. In vielen Fällen bewegen sich Angriffe zu schnell durch Netzwerke, als dass menschliches Eingreifen möglich wäre; daher ist der Einsatz automatisierter Korrekturmaßnahmen von entscheidender Bedeutung.

Monitor

Überwachen Sie AD und Entra ID kontinuierlich auf bösartige Änderungen.

Audit

Prüfen Sie Änderungen, die die AD-Infrastruktur durchlaufen.

Beseitigen Sie

Machen Sie böswillige Änderungen in On-Prem AD und Entra ID rückgängig.

Verfolgung von Änderungen in AD und Entra ID

Das Sicherheitsparadigma von Entra ID ist anders

Viele Unternehmen setzen auf hybride Identitätsumgebungen und implementieren sowohl Active Directory vor Ort als auch Entra ID. Obwohl die Flexibilität von hybriden Identitätsumgebungen enorme Vorteile mit sich bringt, ist dieser Ansatz auch mit einem erhöhten Risiko verbunden. Genau wie das lokale AD hat auch Entra ID seine Schwächen, und der hybride Mix schafft zusätzliche Möglichkeiten für Angreifer. Wie bei den Angriffen auf Kaseya und SolarWinds nutzen Cyberkriminelle Sicherheitsschwächen in hybriden Identitätssystemen aus, indem sie sich in der Cloud Zugang verschaffen und in das lokale System wechseln - oder umgekehrt. Die Überprüfung und Beseitigung bösartiger Änderungen in Entra ID erfordert einen völlig anderen Ansatz als das AD-Sicherheitsmanagement vor Ort.

Das neue Authentifizierungsmodell bedeutet, dass bekannte Konzepte wie Gesamtstrukturen und Policy in der Entra ID-Umgebung nicht mehr gelten.
Entscheidungen wie die, ob On-Prem AD und Entra ID mit Azure Connect zusammengeführt werden sollen, können erhebliche Auswirkungen auf die Sicherheit haben.
In Entra ID gibt es keine traditionelle Netzwerkgrenze, so dass IT- und Sicherheitsteams sich gegen eine endlose Reihe potenzieller Eintrittspunkte verteidigen müssen.
Die Umstellung auf Entra ID bringt erhebliche Änderungen des Berechtigungsmodells mit sich: In einer hybriden AD-Umgebung werden die Identitäten in der Cloud gespeichert und sind damit potenziell anfällig für ähnliche Angriffe wie die von SolarWinds und Kaseya.
Mangelnder Einblick in potenziell bösartige Änderungen in der hybriden AD-Umgebung kann die Sicherheit gefährden.

Mehr erfahren

Die Überprüfung von Entra ID und AD-Änderungen vor Ort ist schwierig

Mangelnde Transparenz in der hybriden AD-Umgebung bedeutet, dass Angriffe über Entra ID in die lokale AD-Umgebung gelangen könnten oder umgekehrt. Unternehmen benötigen Lösungen, die ihnen helfen, Angriffe zu prüfen und zu beheben, unabhängig davon, ob sie aus der Cloud oder aus der lokalen Identitätsumgebung stammen.

Eine einzige Ansicht der Änderungen in Entra ID und On-Premise AD kann Angriffe aufdecken, die sich durch die Umgebung bewegen.
Die Echtzeit-Überprüfung von Entra ID-Änderungen kann helfen, bösartige Änderungen zu überwachen.
Die Möglichkeit, Änderungen sowohl im lokalen AD als auch in Entra ID rückgängig zu machen, hilft bei der Reaktion auf sich schnell verändernde Angriffe in der hybriden AD-Umgebung.

Mehr erfahren

Überprüfen von AD-Änderungen, die SIEMs umgehen

Fortgeschrittene Angriffe können der Verfolgung entgehen

Die Fähigkeit, Angreifer zu erkennen, die in Ihr Identitätssystem eindringen, sich darin bewegen oder - schlimmer noch - es verwalten, ist der Schlüssel zu einer schnellen Reaktion. Angesichts der langen Verweildauer von Malware ist es offensichtlich, dass Cyber-Kriminelle sehr gut im Verborgenen arbeiten. Um fortgeschrittene Angriffe zu erkennen, die sich protokoll- oder ereignisbasierten Systemen entziehen, benötigen Sie eine Lösung, die verschiedene Taktiken einsetzt, um AD- und Entra ID-Sicherheitsbedrohungen zu verfolgen.

Nutzt mehrere Datenquellen, darunter den AD-Replikationsstrom, um Änderungen zu überwachen, wie z. B. Policy , Änderungen an der Gruppenzugehörigkeit von Domänenadministratoren und andere Änderungen, die von vielen Überwachungssystemen nicht erfasst werden.
Verwendet eine manipulationssichere Nachverfolgung, um Änderungen auch dann zu erfassen, wenn die Sicherheitsprotokollierung ausgeschaltet wird, Protokolle gelöscht werden, Agenten deaktiviert werden oder nicht mehr funktionieren oder Änderungen direkt in AD eingespeist werden.
Bietet forensische Analysen zur Identifizierung verdächtiger Änderungen, zur Isolierung von Änderungen, die von kompromittierten Konten vorgenommen wurden, und zum Aufspüren anderer Quellen und Details von Vorfällen.
Benachrichtigung in Echtzeit, wenn betriebliche und sicherheitsrelevante Änderungen an AD vorgenommen werden.

Mehr erfahren

Beseitigen Sie bösartige AD- und Entra ID-Änderungen

AD-Angriffe stoppen erfordert schnelles Handeln

AD-bezogene Cyberangriffe können den Geschäftsbetrieb innerhalb von Minuten lahmlegen. Um Angriffe zu stoppen, benötigen Unternehmen Lösungen, die unerwünschte Änderungen automatisch korrigieren.

Die automatische Rückgängigmachung bösartiger Änderungen stoppt Angriffe, die sich zu schnell durch Netzwerke bewegen, als dass ein Mensch eingreifen könnte.
Sofortige Suchfunktionen helfen Unternehmen, unerwünschte Änderungen an AD-Objekten und -Attributen innerhalb von Minuten zu beheben.
Granulare Rollback-Funktionen helfen IT- und Sicherheitsteams, Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern zu einem beliebigen Zeitpunkt rückgängig zu machen.

Unsere Vision findet bei Branchenführern Anklang

Wir nehmen viele Änderungen an unserer Active Directory-Umgebung vor, zum Beispiel fügen wir Linux-Server hinzu. Directory Services Protector hilft uns, gefährliche Änderungen mit einem Mausklick zu überwachen und rückgängig zu machen.
Rezension lesen IT-Teammitglied, Enterprise Organization

Semperis stellt hochwertige Technologien bereit und Directory Services Protector ist eine große Bereicherung für jedes Unternehmen, das Active Directory verwendet.
Mehr erfahren Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines

Wir nutzen Directory Services Protector uns über Policy zu informieren. Dadurch konnten wir strengere interne Änderungskontroll- und Verbesserungsprozesse einführen, um unbefugte IT-Aktivitäten zu verhindern, die für uns zwar bequem, aber nicht sicher sind.
Chief Technology Officer Orthopädische Facharztpraxis

Directory Services Protector ist außergewöhnlich mit Berichten, Echtzeit-Überwachung und Abhilfe, aktiver Berichterstattung und sofortigen Benachrichtigungen, wenn Objekte modifiziert oder geändert werden.
Rezension lesen Senior Windows Systemadministrator Unternehmensorganisation

Häufig gestellte Fragen zu AD-Änderungsüberprüfung und Rollback

Was ist eine Active Directory-Überprüfung?

Active Directory Auditing ist die Überwachung des AD auf Schwachstellen und häufige Konfigurations- und Verwaltungsfehler, die die Tür zu Sicherheitslücken öffnen können. Viele Unternehmen verfügen über veraltete AD-Umgebungen mit Dutzenden oder Hunderten von Fehlkonfigurationen, die sich im Laufe der Zeit angesammelt haben. Aufgrund begrenzter Ressourcen und mangelnder AD-Kenntnisse der Mitarbeiter wird die kontinuierliche Überprüfung von AD und Entra ID auf Sicherheitslücken oft übersehen. Cyber-Kriminelle wissen, dass viele gängige AD-Sicherheitslücken nicht behoben werden, was AD zum Ziel Nummer 1 für Cyber-Angriffe macht: Mandiant-Forscher berichten, dass 9 von 10 Angriffen in irgendeiner Form AD betreffen. Um die AD-Sicherheitslücken in Ihrem Unternehmen zu verstehen, laden Sie Purple Knight herunter, ein kostenloses AD-Sicherheitsbewertungstool, das die AD-Umgebung auf Hunderte von Indikatoren für die Gefährdung (IOEs) und Kompromittierung (IOCs) scannt, eine Gesamtsicherheitsbewertung liefert und von AD-Sicherheitsexperten priorisierte Anleitungen zur Behebung bietet.

Wie überprüfen Sie Policy ?

Die Überwachung Policy ist ein wesentlicher Bestandteil der Absicherung von Active Directory und stellt eine Herausforderung dar, da herkömmliche ereignisbasierte Überwachungslösungen in der Regel keine Details zu Änderungen innerhalb einer Policy enthalten. Ein Beispiel: wenn ein Angreifer eine böswillige Änderung mit der Ransomware Ryuk , ist das einzige Anzeichen , dass ein Konto mit Zugriff auf die Policy eine Änderung Policy , was wahrscheinlich keinen Alarm auslösen wird. Um böswillige Änderungen an Policy zu erkennen, benötigen Sie eine Lösung, die mehrere Datenquellen nutzt, darunter den AD-Replikationsstrom, um zusätzlichen Kontext zu liefern, der auf einen potenziellen laufenden Angriff hinweist. Um sich einen Überblick über Sicherheitslücken in Ihrem AD im Zusammenhang mit Policy zu verschaffen, laden Sie Purple Knight herunter, ein kostenloses Tool zur Bewertung der AD-Sicherheit, das die AD-Umgebung auf Hunderte von Indikatoren für Gefährdung (IOEs) und Kompromittierung (IOCs) überprüft. Purple Knight nach verschiedenen Policy , darunter Änderungen an SYSVOL-Ausführungsdateien, die Delegierung von GPO-Verknüpfungen auf AD-Standortebene sowie reversible Passwörter in GPOs.

Wie kann ich Änderungen in Active Directory verfolgen?

Um Änderungen im Active Directory zu verfolgen, müssen Sie die AD-Umgebung kontinuierlich auf Indikatoren für Sicherheitsrisiken (IOEs) und Kompromittierung (IOCs) überwachen, die sich auf die Sicherheit von Active Directory-Konten, die AD-Delegierung, Policy, Kerberos, die Entra ID-Sicherheit und die Sicherheit der AD-Infrastruktur beziehen. Ransomware-Gruppen entwickeln ständig neue Methoden, um das Active Directory zu kompromittieren, das für 90 % der Unternehmen weltweit der primäre Identitätsspeicher ist. Mit privilegiertem Zugriff auf AD können Cyberkriminelle Zugriff auf das gesamte Netzwerk erlangen und den Geschäftsbetrieb zum Erliegen bringen. Für eine punktuelle Bewertung von Sicherheitslücken in AD laden Sie Purple Knight herunter, ein kostenloses Tool zur AD-Sicherheitsbewertung, das die AD-Umgebung auf Hunderte von Indikatoren für Gefährdung (IOEs) und Kompromittierung (IOCs) scannt, eine allgemeine Sicherheitsbewertung liefert und priorisierte Anleitungen zur Behebung von Schwachstellen von AD-Sicherheitsexperten bereitstellt. Um Änderungen in AD und Entra ID kontinuierlich zu verfolgen, sehen Sie sich Directory Services Protector, eine Lösung zur Erkennung und Überwachung von AD-Bedrohungen, die Änderungen in AD und Entra ID verfolgt und ein automatisches Rollback böswilliger AD-Änderungen ermöglicht.

Wie kann ich Sicherheitsschwachstellen in Entra ID aufspüren?

Sie können das kostenlose Tool zur Bewertung der AD-Sicherheit verwenden Purple Knight verwenden, um Ihre Entra ID-Umgebung auf verschiedene IOEs und IOCs zu scannen, einschließlich inaktiver Gastkonten, falsch konfigurierter Richtlinien für bedingten Zugriff und privilegierter Entra ID-Benutzer, die auch privilegierte Benutzer im lokalen AD sind, was zu einer Gefährdung beider Umgebungen führen kann. Sie können Directory Services Protector verwenden, um Änderungen an Entra ID in Echtzeit zu verfolgen. Weitere Informationen finden Sie unter "Verbessern Sie den Schutz von AD und Entra ID vor Cyber-Bedrohungen".

Wie kann ich Änderungen an Active Directory wie DCShadow überprüfen?

DCShadow ist eine der wenigen Arten von Angriffen, die keine Spuren hinterlassen. Beweise von bösartige Aktivitäten hinterlassen, so dass sie mit herkömmlichen ereignis- oder protokollbasierten Systemen nur schwer zu erkennen sind. Diese Angriffstechnik umgeht die traditionelle SIEM-basierte Protokollierung. Stattdessen werden die Änderungen direkt in den Replikationsstrom der Produktions-Domänencontroller eingespeist. Um sich vor Angriffen zu schützen, die die herkömmliche Überwachung umgehen, benötigen Unternehmen Lösungen, die mehrere Datenquellen nutzen, darunter auch den AD-Replikationsstrom. Für eine umfassende Erkennung von und Reaktion auf AD-Bedrohungen, einschließlich der Möglichkeit, AD auf Angriffe zu überprüfen, die SIEMs und andere herkömmliche Überwachungstools umgehen, sehen Sie sich Directory Services Protector.