Active Directory (AD) ist zu einem primären Ziel für Angreifer geworden, die identitätszentrierte Angriffe durchführen. Glücklicherweise stehen mehrere Tools zur Verfügung, die Sicherheitsteams in Unternehmen dabei unterstützen, mehr Transparenz über ihre Active Directory-Instanzen zu erhalten und entdeckte Schwachstellen zu beheben.
Ein bei Analysten beliebtes Tool sind Attack Path-Grafen, die verwendet werden können, um die möglichen Wege aufzuzeigen, die ein Angreifer nehmen kann, um von einem Standardbenutzer bis hin zu einem hoch privilegierten Konto wie einem Domain Admin zu eskalieren.
Obwohl diese Art der Visualisierung hilfreich sein kann, ist sie kein Ersatz für ein Active Directory Assessment Tool, das nicht nur Schwachstellen schließt, sondern auch Best Practices fördert. Um den Unterschied zu verdeutlichen, vergleichen wir in diesem Beitrag beide Ansätze anhand von zwei Beispielszenarien, die typische Situationen im Unternehmen darstellen.
Fallstudie: Einfache Privilegieneskalation
Im ersten Szenario betrachten wir einen einfachen Attack Path und vergleichen ihn mit den Ergebnissen einer AD-Sicherheitsbewertung für dasselbe Problem.
In unserem ersten Beispiel ist ein kompromittierter Standardbenutzer „Bob“ Mitglied einer größeren Engineering-Gruppe, die wiederum Teil einer CAD Tools-Gruppe ist. Aufgrund schlechter Konfiguration und fehlender Trennung von Berechtigungen ist diese Gruppe auch Mitglied einer Service Installers-Gruppe, die wiederum Mitglied der Domain Admins-Gruppe ist.
Offensichtlich ermöglicht dieses verschachtelte Beziehungsgeflecht einem Angreifer, der Bobs Konto kompromittiert, Domain Admin-Rechte zu erlangen, obwohl Bob eigentlich nur Standardbenutzerrechte haben sollte.
An dieser Stelle wollen wir den Kontext betrachten, den ein AD-Sicherheitsbewertungstool in einer solchen Situation bieten kann, und wie Administratoren diese Informationen nutzen können, um das Problem zu beheben und eine Wiederholung zu verhindern.
Ein AD-Sicherheitsbewertungstool bietet:
- Eine Liste aller Benutzer mit privilegiertem Zugriff. Diese umfasst alle Mitglieder aus den verschachtelten Gruppen aller privilegierten Gruppen.
- Eine Liste der in der privilegierten Gruppe verschachtelten Gruppen, die entfernt werden sollen. Dies ist die Abkürzung, die der Administrator benötigt, um das Problem zu beheben.
- Die Best Practice, keine Gruppen in privilegierte Gruppen zu verschachteln. Dadurch werden Engpässe beseitigt, sodass es schwieriger wird, Mitgliedern unbeabsichtigt privilegierten Zugriff zu gewähren. Dies ist die Anleitung, die der Administrator benötigt, um das Problem zu verhindern.
Die zweite und dritte Maßnahme sind am wichtigsten. Wenn wir einfach die Service Installers-Gruppe aus der Domain Admins-Gruppe entfernen (sowie alle anderen, die ebenfalls verschachtelt sind), wäre das kompromittierte Standardbenutzerkonto kein Domain Admin mehr. Durch das Beheben der Schwachstelle und das Befolgen von Best Practices müssten Administratoren keine Grafiken mehr analysieren und Gruppenmitgliedschaften manuell anpassen, wodurch die Grafik im Grunde irrelevant wird.
Fallstudie: Passwort-Cracking
Betrachten wir einen weiteren einfachen Attack Path.
Im obigen Angriffspfad wurde der Computer eines Benutzers (COMPUTER 1) kompromittiert. Von dort aus gelingt es einem Angreifer, die Zugangsdaten des lokalen Administratorkontos zu knacken. Anschließend verwendet der Angreifer das Passwort dieses lokalen Administratorkontos, um sich an einem anderen Computer (COMPUTER 2) anzumelden, der aus Gründen der einfacheren Verwaltung mit denselben Zugangsdaten (fehl-)konfiguriert wurde. Auf COMPUTER2 knackt der Angreifer den Hash des Domain Admin-Kontos und erhöht so erfolgreich seine Berechtigungen.
Ein Active Directory-Sicherheitsbewertungstool kann dieses Risiko schnell mindern, indem es dem Analysten folgende Informationen liefert:
- LAPS (Local Administrator Password Solution) wurde in Active Directory nicht als konfiguriert erkannt. Wäre dies der Fall gewesen, hätte dies verhindert, dass der Angreifer von COMPUTER1 zu COMPUTER2 mit demselben lokalen Administratorkennwort wechseln kann. Es ist Best Practice, dass jedes lokale Administratorkonto ein anderes, regelmäßig wechselndes Passwort hat. LAPS erfüllt diese Anforderung.
- Ein Domain Admin-Konto hat sich in der Vergangenheit an einer Workstation angemeldet und dabei einen Hash hinterlassen, den der Angreifer nutzen konnte. Die empfohlene Best Practice ist hier, Domain Admin-Konten nur zur Anmeldung an Domänencontrollern zu verwenden und alle Hashes auf Workstations und Mitgliedsservern zu löschen.
Durch das Befolgen der Maßnahmen und Best Practice-Empfehlungen eines AD-Sicherheitsbewertungstools kann ein Administrator potenzielle Angriffspfade eliminieren und verhindern, dass Angreifer diese Fehlkonfigurationen und Schwachstellen ausnutzen.
Active Directory-Risiken, die Attack Paths übersehen
Attack Paths sind darauf ausgelegt, bekannte Angriffe darzustellen, während das Schließen von Schwachstellen sowohl diese als auch oft unbekannte Angriffsvektoren eliminiert. Daher ist es wichtiger, Schwachstellen zu beseitigen und Best Practices zu befolgen.
Die von Attack Paths gezeichneten Bilder sind eine unvollständige Darstellung der tatsächlichen Active Directory-Sicherheitslage. Grafiken, die zeigen, wie die Organisation verwundbar sein könnte, sind nicht so effektiv wie Tools, die sicherstellen, dass die AD-Infrastruktur nicht exponiert ist und es auch in Zukunft nicht sein wird.
Nachfolgend einige Beispiele für Angriffe, die sich nicht für aufwändige Attack Path-Grafen eignen, deren Erkennung durch eine AD-Sicherheitsbewertung jedoch unerlässlich ist.
- Brute-Force-Passwortangriffe – Eine Bewertung sollte Anmeldedaten erkennen, die allgemein bekannte Passwörter, Wörter aus Wörterbüchern oder Versuche verwenden, jede mögliche Zeichenkombination einzugeben, bis ein Passwort „erraten“ wurde.
- Unbeschränkte Delegations-Exponierungen – Wenn einem AD-Benutzer- oder Computerobjekt eine Delegation an einen beliebigen Dienst mittels Kerberos zugewiesen wurde. Im Falle einer Kompromittierung kann der Angreifer das authentifizierte Konto gegenüber jedem Dienst imitieren.
- Schutz Ihres Active Directory vor AdminSDHolder-Angriffen – Das Hinzufügen von Benutzern oder Gruppen zur AdminSDHolder-Vorlage in Active Directory, die auf jede privilegierte Benutzer- und Gruppenzugriffssteuerungsliste (ACL) „gestempelt“ wird und diesen Konten Rechte verleiht.
Singularity™ Identity Posture Management scannt die Active Directory-Umgebung auf solche und viele weitere Schwachstellen, gibt Administratoren Hinweise zur Behebung und stellt sicher, dass Best Practices zur Prävention eingehalten werden.
Verringern Sie das Identitätsrisiko in Ihrer gesamten Organisation
Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.
Demo anfordernFazit
Auch wenn Attack Paths interessante Grafiken sind, die Administratoren aufzeigen können, wie potenzielle Angriffe im Netzwerk ablaufen könnten, sind sie kein Ersatz für einen proaktiven Ansatz, der bekannte Schwachstellen beseitigt und Best Practices durchsetzt. Singularity Identity Posture Management findet Schwachstellen und leitet Administratoren an, diese zu schließen und dauerhaft zu beseitigen.
Häufig gestellte Fragen zur Active Directory Security Assessment
Eine AD Security Assessment ist eine detaillierte Überprüfung der Konfiguration, Berechtigungen, Gruppenrichtlinien und Kontoeinstellungen Ihrer Domäne, um Schwachstellen zu identifizieren. Sie analysiert die Struktur von Benutzern, Computern und Gruppen, prüft auf fehlerhafte Rechte oder veraltete Objekte und simuliert Angriffsszenarien. Die Ergebnisse können genutzt werden, um AD zu härten, bevor Angreifer Schwachstellen ausnutzen.
Eine AD Security Assessment zielt darauf ab, Fehlkonfigurationen und riskante Berechtigungen aufzudecken, die Angreifern laterale Bewegungen, Privilegieneskalation oder das Auslesen von Anmeldeinformationen ermöglichen könnten. Durch die Abbildung von Vertrauensbeziehungen, Bewertung von ACLs und das Testen von Angriffswegen können Sie Korrekturen priorisieren und die Angriffsfläche Ihres Unternehmens reduzieren, bevor reale Bedrohungen auftreten.
Attack Path Graphs visualisieren potenzielle Wege, die ein Angreifer basierend auf aktuellen Berechtigungen durch AD nehmen könnte. Eine AD Security Assessment geht darüber hinaus: Sie prüft Konfigurationseinstellungen, kontrolliert die Einhaltung von Sicherheitsstandards und testet diese Wege in der Praxis. Sie kombiniert statische Analyse mit praktischen Tests, um zu validieren, welche Angriffswege tatsächlich ausnutzbar sind.
Das bloße Anzeigen möglicher Angriffswege zeigt nicht, ob Kontrollen wie „deny“-ACEs oder Überwachungsalarme diese blockieren. Eine AD Assessment testet Konfigurationen in Ihrer Live-Umgebung, kennzeichnet veraltete Einstellungen und überprüft, welche Wege tatsächlich funktionieren.
Dieser praktische Nachweis hilft Ihnen, sich auf die Änderungen zu konzentrieren, die reale Angriffe verhindern, anstatt jedem theoretischen Risiko nachzugehen.
In einem Fall deckte eine Assessment ein vergessenes Servicekonto mit Domain-Admin-Rechten auf, das über eine veraltete ACL verknüpft war. Das Entfernen dieser Verbindung verhinderte einen Angreifer-Pivot. In einem anderen Fall fanden Prüfungen verschachtelte Gruppen, die weitreichende Rechte an Auftragnehmer vergaben – das Entfernen dieser Mitgliedschaften schloss Privilegieneskalationswege, die ein Angreifer ausnutzen wollte.
AD Assessments finden zu weitreichende ACLs, unkontrollierte Delegierung, veraltete oder hochprivilegierte Konten, exponierte Service-Tickets, schwache Kerberos-Einstellungen und Lücken in der Gruppenrichtlinien-Sicherheit. Sie erkennen auch fehlendes Patch-Management auf Domänencontrollern, schwache LDAPS/TLS-Konfigurationen und unüberwachte Replikationsverbindungen, die Angreifer häufig für verdeckten Zugriff nutzen.
Assessment-Tools können gehashte Anmeldeinformationen aus LSASS extrahieren, Kerberoasting simulieren, um Service-Tickets anzufordern, und schwache Kerberos-Schlüssel testen. Sie zeigen auf, welche Konten reversible Verschlüsselung verwenden oder gehärtete Service-Principals fehlen. Durch die Identifizierung dieser Ziele können Sie Passwörter zurücksetzen, stärkere Verschlüsselung verlangen und Ticketanforderungen blockieren, die Offline-Cracking ermöglichen.
AD ist zentral für das Vertrauensmodell Ihres Netzwerks – wird es kompromittiert, erhalten Angreifer weitreichenden Zugriff. Transparenz über jede ACL, Delegierungseinstellung und Domänencontroller-Konfiguration zeigt Ihnen, wo Privilegieneskalation oder laterale Bewegungen möglich sind. Ohne dieses klare Bild bleiben Risiken unentdeckt und versteckte Angriffswege werden oft erst zu spät erkannt.
Sie sollten vollständige AD Security Assessments mindestens vierteljährlich oder nach größeren Änderungen wie Migrationen, Domänencontroller-Upgrades oder Fusionen durchführen. Dazwischen sollten Sie monatlich wichtige Bereiche prüfen – Mitgliedschaften privilegierter Gruppen, Änderungen an GPOs und Audit-Logs. Eine regelmäßige Durchführung hilft, neue Fehlkonfigurationen zu erkennen, bevor Angreifer sie ausnutzen.
Aktualisieren Sie regelmäßig Ihre Schwachstellendaten und nutzen Sie fortschrittliche Sicherheitsautomatisierungstools. Aktivieren Sie kontinuierliches Bedrohungsmonitoring, graphbasiertes Monitoring sowie Identitätsmanagement und priorisieren Sie Ihre wichtigsten Assets. Verwenden Sie Threat-Intelligence-Frameworks und erhöhen Sie die Transparenz in Multi-Cloud-Umgebungen durch den Einsatz von SentinelOne’s KI-gestützten Sicherheitslösungen.
