Analyse der Angriffswege

Identifizieren und Schließen von Pfaden zu Tier 0 Active Directory Assets

Entdecken und verwalten Sie die Wege, die Bedrohungsakteure nutzen, um die Kontrolle über Ihre kritische Active Directory-Infrastruktur zu erlangen, durch eine Tier 0-Angriffspfadanalyse.

Mehr erfahren

Sparen Sie Zeit bei der Verwaltung von AD-Angriffspfaden

Nur wenige Angreifer erlangen sofort die Kontrolle über Active Directory. Stattdessen beginnen sie mit kompromittierten nicht privilegierten Benutzeranmeldeinformationen für den anfänglichen Zugriff auf kritische Ressourcen. Dann bewegen sie sich von System zu System und nutzen Fehlkonfigurationen und Schwachstellen, um mögliche Angriffswege zu entdecken, bis sie ihre Privilegien ausweiten können, um Ihr wichtigstes Gut zu kontrollieren: Ihr Active Directory. Indem Sie sich auf die Assets konzentrieren, die Ihren Tier 0-Assets am nächsten sind, können Sie Zeit bei der Identifizierung und Reduzierung der Wege sparen, die Angreifer nehmen, um die Kontrolle über Ihr Active Directory zu erlangen.

Microsoft Digital Defense Report 2024

7000/s

durchschnittliche Rate der blockierten Passwortangriffe im letzten Jahr

Microsoft Digital Defense Report 2024

600M+

Identitätsangriffe werden jeden Tag beobachtet, wobei die meisten davon auf Passwörtern basieren.

Enterprise Management Associates:

86%

von Großunternehmen haben mindestens einen Verstoß gegen die Identitätsbestimmungen erlebt, wobei die meisten davon AD oder Entra ID betrafen

Reduzierung des Angriffswegs der Stufe 0 - von innen nach außen

Helfen Sie Ihrem Sicherheitsteam, Ihre Tier 0 Active Directory-Assets (die Schlüssel zum Königreich) zu erkennen, wer darauf zugreifen kann und wie Sie diese Zugriffspfade minimieren können.

Entdecken Sie

Verwenden Sie kostenlose Tools wie Forest Druid , um Ihre tatsächliche Tier 0-Grenze und die potenziellen Angriffspfade, die zu ihr führen, zu verstehen.

Beseitigen Sie

Nutzen Sie die Ergebnisse von Purple Knight und die bewährten Praktiken für die Sicherheit von Microsoft AD, um Angriffspfade auf Stufe 0 zu beseitigen, einschließlich unerwarteter potenzieller Angriffsvektoren.

Monitor

Überwachen Sie kontinuierlich die "Konfigurationsabweichung", die neue potenzielle Angriffswege mit Directory Services Protector

Entdecken Sie Ihre wahre Tier 0-Grenze

Es geht um mehr als nur Ihre Domain-Controller

Das britische National Cybersecurity Centre definiert Tier 0 als „die Vertrauensbasis, auf der alle anderen Verwaltungsaufgaben beruhen“. Für Active Directory umfasst dies privilegierte Konten (wie z. B. Domänenadministratoren) und Domänencontroller (DCs). Eine mittelalterliche Analogie für Tier 0 ist der Burgfried eines Königreichs, in dem der König und seine vertrauten Berater sicher residieren. Wenn ein Angreifer die Kontrolle über eine Tier-0-Ressource erlangt, hat er die Kontrolle über Active Directory (oder potenziell über das Königreich). Doch Tier 0 in AD umfasst mehr als nur Domänenadministratoren und DCs. Wie sieht es mit der Möglichkeit aus, Berechtigungen für die AD-Container zu ändern, die privilegierte Konten oder DCs enthalten? Wie steht es um die Kontrolle über Policy (GPOs), die mit einem privilegierten Objekt oder Container verknüpft sind oder verknüpft werden können? Was ist mit dem Entra Connect-Server und dem Dienstkonto, das Benutzer mit Entra ID synchronisiert? Jedes dieser Elemente ist ein potenzieller Angriffsvektor – und es gibt noch weitere Cyberbedrohungen für Ihr Active Directory.

Mehr erfahren

Konzentrieren Sie sich auf die wichtigen Angriffswege

Herkömmliche AD-Angriffspfad-Analysetools gehen von außen nach innen vor und analysieren die gesamte Umgebung, um die kleine Teilmenge der Pfade zu Tier 0 zu entdecken. Forest Druid, ein kostenloses Tool, das von den Identitätssicherheitsexperten von Semperis entwickelt wurde, nähert sich der Tier 0-Angriffspfad-Analyse aus der anderen Richtung. Warum sollten Sie sich die Mühe machen, jede Straße und jeden Weg im Königreich zu analysieren, wenn es Ihnen nur um den Schutz des Bergfrieds geht? Das ist der Ansatz, den Forest Druid verfolgt. Zunächst präsentiert Forest Druid eine Standardanalyse der Stufe 0. Dann analysieren Sie alle Objekte, die Pfade zu Tier 0 haben, und:

Fügen Sie sie zu Tier 0 hinzu (z.B. den integrierten Container, der die privilegierten Gruppen enthält)
Notieren Sie sie bei Bedarf, aber überwachen Sie den Pfad sorgfältig (z.B. bei einer alten Geschäftsanwendung)
Oder schließen Sie den Pfad (einen unnötigen oder nicht autorisierten potenziellen Angriffspfad)

Herunterladen Forest Druid

Unsere Vision findet bei Branchenführern Anklang

Heute verwende ich Forest Druid zum ersten Mal und ich bin sehr beeindruckt. Zum Erlernen von Bloodhound hat mir immer die Zeit gefehlt. Daher weiß ich es zu schätzen, dass ich das Tool nur starten muss und mit ein paar Klicks in der GUI Probleme finden kann.
SOC Ingenieur Einzelhandels- und Konsumgüterunternehmen

Fortgeschrittene Akteure greifen lokale Identitätsbereitstellungen an, um einen systemischen Einbruch zu bewirken und den Zugang zu Cloud-Administratoren zu überbrücken. Unternehmen in hybriden Active Directory-Umgebungen benötigen identitätsbasierte Sicherheit, um ihre AD- und Entra ID-Systeme vor Angriffen zu schützen. Dies erfordert eine kontinuierliche Überwachung und Bewertung der AD- und Entra ID-Sicherheitslage, um identitätsbasierte Angriffe in Zusammenarbeit mit herkömmlichen Sicherheitsteams abzuwehren.
Alex Weinert Chief Product Officer, Semperis

Das beste Tool für die Wiederherstellung von AD im Falle eines Ransomware-Angriffs!
Rezension lesen Director of Directories & IAM Solutions, IT Security & Risk Management Geschäftsbank

Häufig gestellte Fragen zur Tier 0-Angriffspfadanalyse

Was sind Vermögenswerte der Stufe 0?

Tier 0-Assets sind die Konten, Gruppen und anderen Assets, die direkte oder indirekte administrative Kontrolle über eine Active Directory-Gesamtstruktur, Domänen und Domänencontroller haben. Mit Zugriff auf diese Tier 0-Assets können Angreifer die Kontrolle über das gesamte Netzwerk übernehmen.

Was sind Verwaltungsebenen?

Microsoft hat das mehrstufige Verwaltungsmodell für Active Directory entwickelt, um es Bedrohungsakteuren zu erschweren, ihre Rechte zu erweitern, d.h. von der Workstation zu den Servern zu springen und die AD-Domäne zu beherrschen. Dieses Modell hat drei Ebenen:

Tier 2 besteht aus der Domäne angeschlossenen Clients, Druckern, mobilen Geräten und den Konten, die sie verwalten.
Tier 1 enthält die Server und Anwendungen sowie deren administrative Konten.
Ebene 0 umfasst die Server (z. B. Domänencontroller), AD-Strukturen (wie das Policy ) und privilegierte Konten, die den Active Directory-Dienst selbst unterstützen.

Diese Hierarchie wird so durchgesetzt, dass der Zugriff auf Anmeldeinformationen höherer Ebenen von niedrigeren Ebenen aus nicht möglich ist (z. B. ein Domänenadministratorkonto, das sich bei einem Client-PC anmeldet, wo diese privilegierten Anmeldeinformationen anschließend von Malware wie Mimikatz abgegriffen werden könnten). Für hybride Umgebungen wurde dieses Modell erweitert, um ihrer zusätzlichen Komplexität Rechnung zu tragen, und wird als Enterprise Access Model bezeichnet.

Warum ist der Schutz von Vermögenswerten der Stufe 0 wichtig für die Identitätssicherheit?

Tier 0-Assets haben die administrative Kontrolle über Active Directory. Wenn eines dieser Assets kompromittiert wird, kann ein Bedrohungsakteur die Kontrolle über Active Directory und damit über jedes Asset - Server, Anwendungen, Datenbanken, Clients, andere Active Directory-Konten - innerhalb von Active Directory erlangen, um seine Ziele zu erreichen.

Warum ist die Definition des Tier 0-Perimeters so wichtig?

Aufgrund von Fehlkonfigurationen, die sich im Laufe der Zeit ansammeln, gibt es in vielen Unternehmen Konten und Gruppen, die privilegierten Zugriff haben - d.h. es handelt sich um Aktiva der Stufe 0 - aber diese übermäßigen Privilegien werden entweder übersehen oder die IT- und Sicherheitsteams haben nicht die Ressourcen, um sie zu überprüfen. Das Aufspüren dieser Assets kann eine Herausforderung sein. Forest Druid Das kostenlose Community-Tool von Semperis bringt Licht ins Dunkel der sensiblen Konten, so dass die IT-/Sicherheitsteams sie als "Tier 0" markieren und entsprechende Schutzmaßnahmen ergreifen können, einschließlich der Sperrung von Privilegien oder der vollständigen Löschung unnötiger Konten.

Was sind Angriffswege?

Angriffspfade sind die Wege, die ein Bedrohungsakteur vom ersten Zugriff auf die Umgebung (z. B. einen Client-PC) über Zwischenschritte bis hin zur Dominanz der Tier 0-Domäne nehmen kann.

Gibt es Tools, die die Reduzierung von Active Directory-Angriffspfaden erleichtern?

Semperis stellt ein kostenloses Tool zur Erkennung von Tier 0-Angriffspfaden namens Forest Druid zur Verfügung, das Sie dabei unterstützt, anfällige Tier 0-Ressourcen aufzudecken, übermäßige Privilegien zu sperren und die gefährlichsten Pfade - nicht nur die häufigsten - schnell zu erkennen und zu beseitigen.(Klicken Sie hier, um mehr über Forest Druid zu erfahren).