Bösartige AD-Änderungen verfolgen und beseitigen

Active Directory-Änderungsüberprüfung & Rollback

Überprüfen und beheben Sie bösartige Änderungen in Active Directory und Azure Active Directory.

Stoppen Sie schnell voranschreitende Active Directory-Angriffe

Raffinierte Ransomware-as-a-Service (RaaS)-Gruppen zielen mit Angriffen, die sich mit erstaunlicher Geschwindigkeit durch Netzwerke bewegen, auf Active Directory, den zentralen Identitätsdienst für 90 % der Unternehmen weltweit. Um Angriffe zu stoppen, müssen Unternehmen böswillige Änderungen in Echtzeit verfolgen und Änderungen schnell wieder rückgängig machen.

Semperis Bericht:
73%
der Unternehmen sind NICHT zuversichtlich, dass sie Azure AD-Angriffe verhindern können
Pen-Testern gelingt es, das AD in
82%
ihrer Versuche, nach Angaben von Enterprise Management Associates
Microsoft Digital Defense Report:
1 Stunde, 42 Minuten
benötigt ein Angreifer durchschnittlich, um sich nach der Kompromittierung eines Geräts lateral im Netzwerk auszubreiten
7 Minuten
Die Zeit, die der NotPetya-Angriff 2017 brauchte, um das Maersk-Netzwerk lahmzulegen; die Wiederherstellung von Active Directory dauerte 9 Tage

Verteidigen Sie AD mit fortschrittlicher Änderungskontrolle und -behebung

Die Überprüfung und Beseitigung von böswilligen Änderungen in Active Directory erfordert Lösungen, die speziell für ausgeklügelte Angriffe entwickelt wurden, die sowohl auf das lokale AD als auch auf Azure AD abzielen. Der erste Schritt ist die Implementierung von Überwachungstools, die Änderungen in der gesamten hybriden AD-Umgebung erkennen können, einschließlich Änderungen an Benutzerkonten, Gruppenrichtlinien und Domänencontrollern (DCs). Diese Tools können auch Aufschluss darüber geben, wer die Änderungen vorgenommen hat und wann sie aufgetreten sind. Sobald die Änderungen entdeckt wurden, müssen Sie schnell und präzise reagieren. In vielen Fällen bewegen sich die Angriffe zu schnell durch die Netzwerke, als dass ein menschliches Eingreifen möglich wäre, so dass automatisierte Abhilfemaßnahmen von entscheidender Bedeutung sind.

Augapfel-Symbol
Monitor

Überwachen Sie AD und Azure AD kontinuierlich auf bösartige Änderungen.

Audit

Prüfen Sie Änderungen, die die AD-Infrastruktur durchlaufen.

Checklisten-Symbol
Beseitigen Sie

Machen Sie bösartige Änderungen in On-Prem AD und Azure AD rückgängig.

Verfolgung von Änderungen in AD und Azure AD

Das Azure AD Sicherheitsparadigma ist anders

Viele Unternehmen setzen auf hybride Identitätsumgebungen und implementieren sowohl Active Directory vor Ort als auch Azure AD. Obwohl die Flexibilität von hybriden Identitätsumgebungen enorme Vorteile mit sich bringt, ist dieser Ansatz auch mit einem erhöhten Risiko verbunden. Genau wie das lokale AD hat auch Azure AD seine Schwächen, und der hybride Mix schafft zusätzliche Möglichkeiten für Angreifer. Wie bei den Angriffen auf Kaseya und SolarWinds nutzen Cyberkriminelle Sicherheitsschwächen in hybriden Identitätssystemen aus, indem sie sich in der Cloud Zugang verschaffen und in das lokale System wechseln - oder umgekehrt. Die Überprüfung und Behebung von böswilligen Änderungen in Azure AD erfordert einen völlig anderen Ansatz als das AD-Sicherheitsmanagement vor Ort.

  • Das neue Authentifizierungsmodell bedeutet, dass vertraute Konzepte wie Gesamtstrukturen und Gruppenrichtlinien-Objekte in der Azure AD-Umgebung nicht mehr gelten.
  • Entscheidungen wie die, ob On-Prem AD und Azure AD mit Azure Connect zusammengeführt werden sollen, können erhebliche Auswirkungen auf die Sicherheit haben.
  • Das Konzept des traditionellen Netzwerkrands existiert in Azure AD nicht, so dass IT- und Sicherheitsteams sich gegen eine endlose Reihe potenzieller Eintrittspunkte verteidigen müssen.
  • Die Umstellung auf Azure AD bringt erhebliche Änderungen des Berechtigungsmodells mit sich: In einer hybriden AD-Umgebung werden die Identitäten in der Cloud gespeichert und sind damit potenziell anfällig für ähnliche Angriffe wie die von SolarWinds und Kaseya.
  • Mangelnder Einblick in potenziell bösartige Änderungen in der hybriden AD-Umgebung kann die Sicherheit gefährden.
Mehr erfahren
Die Überprüfung von Änderungen in Azure AD und On-Prem AD ist schwierig

Mangelnde Transparenz in der hybriden AD-Umgebung bedeutet, dass Angriffe über Azure AD eindringen und in das lokale AD gelangen können oder umgekehrt. Unternehmen benötigen Lösungen, die ihnen helfen, Angriffe zu prüfen und zu beheben, unabhängig davon, ob sie aus der Cloud oder aus der lokalen Identitätsumgebung stammen.

  • Ein einziger Überblick über Änderungen in Azure AD und On-Premise AD kann Angriffe aufklären, die sich durch die Umgebung bewegen.
  • Die Echtzeit-Überprüfung von Azure AD-Änderungen kann helfen, bösartige Änderungen zu überwachen.
  • Die Möglichkeit, Änderungen sowohl im lokalen AD als auch im Azure AD zurückzunehmen, hilft bei der Reaktion auf sich schnell verändernde Angriffe in der hybriden AD-Umgebung.
Mehr erfahren

Überprüfen von AD-Änderungen, die SIEMs umgehen

Fortgeschrittene Angriffe können der Verfolgung entgehen

Die Fähigkeit, Angreifer zu erkennen, die in Ihr Identitätssystem eindringen, sich darin bewegen oder - schlimmer noch - es verwalten, ist der Schlüssel zu einer schnellen Reaktion. Angesichts der langen Verweildauer von Malware ist es offensichtlich, dass Cyberkriminelle sehr gut im Verborgenen arbeiten. Um fortgeschrittene Angriffe zu erkennen, die sich protokoll- oder ereignisbasierten Systemen entziehen, benötigen Sie eine Lösung, die verschiedene Taktiken einsetzt, um AD- und Azure AD-Sicherheitsbedrohungen zu verfolgen.

  • Verwendet mehrere Datenquellen, einschließlich des AD-Replikationsstroms, um Änderungen wie Gruppenrichtlinienänderungen, Änderungen an Gruppenmitgliedschaften von Domänenadministratoren und andere Änderungen, die vielen Überwachungssystemen entgehen, zu überprüfen.
  • Verwendet eine manipulationssichere Nachverfolgung, um Änderungen auch dann zu erfassen, wenn die Sicherheitsprotokollierung ausgeschaltet wird, Protokolle gelöscht werden, Agenten deaktiviert werden oder nicht mehr funktionieren oder Änderungen direkt in AD eingespeist werden.
  • Bietet forensische Analysen zur Identifizierung verdächtiger Änderungen, zur Isolierung von Änderungen, die von kompromittierten Konten vorgenommen wurden, und zum Aufspüren anderer Quellen und Details von Vorfällen.
  • Benachrichtigung in Echtzeit, wenn betriebliche und sicherheitsrelevante Änderungen an AD vorgenommen werden.
Mehr erfahren

Beseitigen Sie bösartige AD- und Azure AD-Änderungen

AD-Angriffe stoppen erfordert schnelles Handeln

AD-bezogene Cyberangriffe können den Geschäftsbetrieb innerhalb von Minuten lahmlegen. Um Angriffe zu stoppen, benötigen Unternehmen Lösungen, die unerwünschte Änderungen automatisch korrigieren.

  • Die automatische Rückgängigmachung bösartiger Änderungen stoppt Angriffe, die sich zu schnell durch Netzwerke bewegen, als dass ein Mensch eingreifen könnte.
  • Sofortige Suchfunktionen helfen Unternehmen, unerwünschte Änderungen an AD-Objekten und -Attributen innerhalb von Minuten zu beheben.
  • Granulare Rollback-Funktionen helfen IT- und Sicherheitsteams, Änderungen an einzelnen Attributen, Gruppenmitgliedern, Objekten und Containern zu einem beliebigen Zeitpunkt rückgängig zu machen.
Unsere Vision findet bei Branchenführern Anklang
Gartner Peer Insights

Wir nehmen viele Änderungen an unserer Active Directory-Umgebung vor, zum Beispiel fügen wir Linux-Server hinzu. [Directory Services Protector] hilft uns, gefährliche Änderungen mit einem Mausklick zu überwachen und rückgängig zu machen.

Rezension lesen IT-Teammitglied, Enterprise Organization
El Al Israel Airlines

Semperis stellt hochwertige Technologien bereit und Directory Services Protector ist eine große Bereicherung für jedes Unternehmen, das Active Directory verwendet.

Mehr erfahren Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines
Gesundheitswesen

Wir verwenden Directory Services Protector , um uns über Änderungen der Gruppenrichtlinien zu informieren. Dadurch konnten wir stärkere interne Änderungskontroll- und Verbesserungsprozesse einführen, um unseriöse IT-Aktivitäten zu verhindern, die zwar für uns bequem, aber nicht sicher sind.

Chief Technology Officer Orthopädische Facharztpraxis
Gartner Peer Insights

Directory Services Protector ist außergewöhnlich mit Berichten, Echtzeit-Überwachung und Abhilfe, aktiver Berichterstattung und sofortigen Benachrichtigungen, wenn Objekte modifiziert oder geändert werden.

Rezension lesen Senior Windows Systemadministrator Unternehmensorganisation

Häufig gestellte Fragen zu AD-Änderungsüberprüfung und Rollback

Was ist eine Active Directory-Überprüfung?

Mit Active Directory Auditing überwachen Sie AD auf Schwachstellen und häufige Konfigurations- und Verwaltungsfehler, die zu einer Kompromittierung der Sicherheit führen können. In vielen Unternehmen entstehen im Laufe der Zeit veraltete AD-Umgebungen mit Dutzenden oder Hunderten von Fehlkonfigurationen. Aufgrund begrenzter Ressourcen und mangelnder AD-Kenntnisse der Mitarbeiter wird die kontinuierliche Überprüfung von AD und Azure AD auf Sicherheitslücken oft außer Acht gelassen. Cyberkriminelle wissen, dass viele gängige AD-Sicherheitslücken nicht behoben werden. Daher ist AD das Ziel Nummer 1 für Cyberangriffe: Laut Forschern von Mandiant betreffen 9 von 10 aller Angriffe AD in irgendeiner Form. Um die AD-Sicherheitsschwachstellen in Ihrem Unternehmen zu verstehen, laden Sie Purple Knight herunter. Mit diesem kostenlosen AD-Sicherheitsbewertungstool, das die AD-Umgebung auf Hunderte von Gefährdungsindikatoren (Indicators of Exposure, IOEs) und Kompromottierungsindikatoren (Indicators of Compromise, IOCs) durchsucht erhalten Sie eine Gesamtsicherheitsbewertung und von AD-Sicherheitsexperten empfohlene priorisierte Abhilfemaßnahmen.

Wie können Sie Änderungen an Gruppenrichtlinien überprüfen?

Das Überwachen von Gruppenrichtlinienänderungen ist ein wichtiger Bestandteil der Härtung der Active Directory-Sicherheit und stellt eine Herausforderung dar, da herkömmliche ereignisbasierte Überwachungslösungen in der Regel keine Details zu Änderungen innerhalb einer Gruppenrichtlinie enthalten. Ein Beispiel, Wenn ein Angreifer eine bösartige Änderung mit Ryuk Ransomware, wird das einzige Signal sein dass ein Konto mit Zugriff auf die Gruppenrichtlinie eine Änderung vorgenommen hat, was wahrscheinlich keinen Alarm auslösen wird. Um bösartige Änderungen an Gruppenrichtlinien zu erkennen, benötigen Sie eine Lösung, die mehrere Datenquellen, einschließlich des AD-Replikationsstroms, nutzt, um zusätzlichen Kontext zu erhalten, der auf einen potenziellen Angriff hinweist. Um ein Verständnis der Sicherheitslücken in Ihrem AD im Zusammenhang mit Fehlkonfigurationen der Gruppenrichtlinien zu erlangen, laden Sie Purple Knight herunter, ein kostenloses AD-Sicherheitsbewertungstool, das die AD-Umgebung auf Hunderte von Indicators of Exposure (IOEs) und Kompromittierungen (IOCs) scannt. Purple Knight scannt auf verschiedene Fehlkonfigurationen der Gruppenrichtlinien, einschließlich Änderungen der ausführbaren SYSVOL-Datei, GPO-Verknüpfungsdelegierung auf AD-Standortebene und umkehrbare Passwörter in GPOs.

Wie kann ich Änderungen in Active Directory verfolgen?

Um Änderungen in Active Directory zu verfolgen, müssen Sie die AD-Umgebung kontinuierlich auf Gefährdungsindikatoren (Indicators of Exposure, IOEs) und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) im Zusammenhang mit der Sicherheit von Active Directory-Konten, AD-Delegierung, Gruppenrichtlinien, Kerberos, Azure AD-Sicherheit und AD-Infrastruktur-Sicherheit überwachen. Ransomware-Gruppen entwickeln ständig neue Methoden, um AD zu kompromittieren, das für 90 % der Unternehmen weltweit der primäre Identitätsspeicher ist. Mit privilegiertem Zugriff auf AD können Cyberkriminelle auf das gesamte Netzwerk zugreifen und so den Geschäftsbetrieb zum Erliegen bringen. Für eine Momentaufnahme von AD-Sicherheitslückenladen Sie Purple Knight herunter. Dieses kostenlose Tool zur Bewertung der AD-Sicherheit überprüft die AD-Umgebung auf Hunderte von IOEs and IOCs und stellt eine Gesamtsicherheitsbewertung sowie von AD-Sicherheitsexperten empfohlene priorisierte Abhilfemaßnahmen bereit. Um Änderungen in AD und Azure AD kontinuierlich zu verfolgen, schauen Sie sich Directory Services Protector an. Mit dieser Lösung zur Erkennung und Überwachung von AD-Bedrohungen können Sie Änderungen in AD und Azure AD verfolgen und ein automatisches Rollback böswilliger AD-Änderungen durchführen.

Wie kann ich Sicherheitsschwachstellen in Azure AD aufspüren?

Sie können das kostenlose AD-Sicherheitsbewertungstool verwenden Purple Knight verwenden, um Ihre Azure AD-Umgebung auf verschiedene IOEs und IOCs zu scannen, einschließlich inaktiver Gastkonten, falsch konfigurierter Richtlinien für bedingten Zugriff und privilegierter Benutzer in Azure AD, die auch privilegierte Benutzer in On-Prem AD sind, was zu einer Gefährdung beider Umgebungen führen kann. Sie können Directory Services Protector verwenden, um Azure AD-Änderungen in Echtzeit zu verfolgen. Weitere Informationen finden Sie unter "5 neue Möglichkeiten zur Sicherung von AD und Azure AD".

Wie kann ich Änderungen an Active Directory wie DCShadow überprüfen?

DCShadow ist eine der wenigen Arten von Angriffen, die keine Spuren hinterlassen. Beweise von bösartige Aktivitäten hinterlassen, so dass sie mit herkömmlichen ereignis- oder protokollbasierten Systemen nur schwer zu erkennen sind. Diese Angriffstechnik umgeht die traditionelle SIEM-basierte Protokollierung. Stattdessen werden die Änderungen direkt in den Replikationsstrom der Produktions-Domänencontroller eingespeist. Um sich vor Angriffen zu schützen, die die herkömmliche Überwachung umgehen, benötigen Unternehmen Lösungen, die mehrere Datenquellen nutzen, darunter auch den AD-Replikationsstrom. Für eine umfassende Erkennung von und Reaktion auf AD-Bedrohungen, einschließlich der Möglichkeit, AD auf Angriffe zu überprüfen, die SIEMs und andere herkömmliche Überwachungstools umgehen, sehen Sie sich Directory Services Protector.

Prüfen und beseitigen Sie bösartige Änderungen in Active Directory

Verpassen Sie keine AD- oder Azure AD-Bedrohungen

Prüfen Sie Directory Services Protector

Weitere Ressourcen

Erfahren Sie mehr darüber, wie Sie bösartige Änderungen in Active Directory und Azure AD überprüfen und rückgängig machen können.