Active Directory (AD) ist ein hochkarätiges Ziel für Angreifer, die häufig versuchen, es zu kompromittieren, um ihre Berechtigungen zu erweitern und ihren Zugriff auszuweiten. Leider muss AD aufgrund seiner betrieblichen Notwendigkeit für Benutzer im gesamten Unternehmen leicht zugänglich sein, was seine Sicherung bekanntermaßen schwierig macht. Microsoft hat angegeben, dass täglich mehr als 95 Millionen AD-Konten angegriffen werden, was die Schwere des Problems unterstreicht.
Der Schutz von AD ist zwar eine Herausforderung, aber keineswegs unmöglich – es erfordert lediglich die richtigen Tools und Taktiken. Im Folgenden finden Sie zehn Tipps, mit denen Unternehmen AD wirksamer gegen einige der heute gängigsten Angriffstaktiken schützen können.
1. Verhindern und Erkennen der Aufzählung von privilegierten, delegierten Administrator-, Dienst- und Netzwerksitzungen
Sobald ein Angreifer die Perimeter-Abwehr durchbrochen und sich im Netzwerk etabliert hat, führt er eine Erkundung durch, um potenziell wertvolle Ressourcen zu identifizieren – und um herauszufinden, wie er an diese herankommen kann. Eine der besten Möglichkeiten hierfür ist es, AD ins Visier zu nehmen, da dies als normale Geschäftsaktivität getarnt werden kann und kaum entdeckt wird.
Die Fähigkeit, die Aufzählung von Privilegien, delegierten Administratoren und Dienstkonten zu erkennen und zu verhindern, kann Verteidiger frühzeitig im Angriffszyklus auf die Anwesenheit eines Angreifers aufmerksam machen. Die Bereitstellung von täuschenden Domänenkonten und Anmeldedaten auf Endpunkten kann Angreifer ebenfalls ausbremsen und es Verteidigern ermöglichen, sie zu Ködern umzuleiten, um sie zu beschäftigen.
2. Identifizieren und Beheben von Schwachstellen privilegierter Konten
Benutzer speichern Anmeldedaten häufig auf ihren Arbeitsplätzen. Manchmal tun sie dies versehentlich, manchmal aber auch absichtlich – in der Regel aus Bequemlichkeit. Angreifer wissen das und greifen diese gespeicherten Anmeldedaten an, um sich Zugang zur Netzwerkumgebung zu verschaffen. Die richtigen Anmeldedaten können viel bewirken, und Eindringlinge werden immer versuchen, ihre Berechtigungen zu erweitern und weiteren Zugriff zu erlangen.
Unternehmen können verhindern, dass Angreifer leicht in das Netzwerk eindringen können, indem sie gefährdete privilegierte Konten identifizieren, Fehlkonfigurationen beheben und gespeicherte Anmeldedaten, freigegebene Ordner und andere Schwachstellen entfernen.
3. Schützen und erkennen Sie "Golden Ticket"- und "Silver Ticket"-Angriffe
Pass-the-Ticket (PTT)-Angriffe gehören zu den wirkungsvollsten Techniken, mit denen Angreifer sich lateral im Netzwerk bewegen und ihre Privilegien ausweiten können. Das zustandslose Design von Kerberos macht es leicht, das System zu missbrauchen, sodass Angreifer problemlos Tickets innerhalb des Systems fälschen können. "Golden Ticket" und "Silver Ticket" sind zwei der schwerwiegendsten Arten von PTT-Angriffen, mit denen Angreifer Domänen kompromittieren und sich dauerhaft in Domänen einnisten können.
Um dieses Problem zu beheben, müssen anfällige Kerberos-Ticket-Granting-Tickets (TGT) und Computer-Dienstkonten erkannt und Fehlkonfigurationen, die zu PTT-Angriffen führen könnten, identifiziert und gemeldet werden. Darüber hinaus kann eine Lösung wie Singularity Identity die Verwendung gefälschter Tickets an den Endpunkten verhindern.
4. Schutz vor Kerberoasting-, DCSync- und DCShadow-Angriffen
Ein "Kerberoasting"-Angriff ist eine einfache Möglichkeit für Angreifer, sich privilegierten Zugriff zu verschaffen, während DCSync- und DCShadow-Angriffe die Domänenpersistenz innerhalb eines Unternehmens aufrechterhalten.
Verteidiger müssen in der Lage sein, eine kontinuierliche Bewertung von AD durchzuführen, die eine Echtzeitanalyse von AD-Angriffen liefert und gleichzeitig auf Fehlkonfigurationen hinweist, die zu diesen Angriffen führen. Darüber hinaus kann eine Lösung, die die Präsenz von Endpunkten nutzt, um zu verhindern, dass Angreifer Konten entdecken, die sie angreifen können, deren Fähigkeit zur Durchführung dieser Angriffe einschränken.
5. Verhindern Sie das Sammeln von Anmeldedaten aus Domänenfreigaben
Angreifer zielen häufig auf Klartext- oder reversible Passwörter ab, die in Skripten oder Gruppenrichtliniendateien gespeichert sind, die sich in Domänenfreigaben wie Sysvol oder Netlogon befinden.
Eine Lösung wie Singularity Identity Posture Management kann dabei helfen, diese Passwörter zu erkennen, sodass Verteidiger die Schwachstellen beheben können, bevor Angreifer sie ausnutzen können. Mechanismen wie die in der Singularity Identity können auch irreführende Sysvol-Gruppenrichtlinienobjekte in der Produktions-AD bereitstellen, um Angreifer weiter zu stören, indem sie sie von den Produktionsressourcen wegleiten.
Singularität™ Identität
Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.
Demo anfordern6. Identifizieren Sie Konten mit versteckten privilegierten SID
Mithilfe der Windows Security Identifier (SID)-Injection-Technik können Angreifer das SID-Attribut "History" ausnutzen, um sich lateral innerhalb der AD-Umgebung zu bewegen und ihre Privilegien weiter zu erweitern.
Um dies zu verhindern, müssen Konten erkannt werden, die mit bekannten privilegierten SID-Werten im SID-Verlaufsattribut und in Berichten festgelegt sind.
7. Erkennen Sie gefährliche Zugriffsrechtsdelegierungen für kritische Objekte
Die Delegierung ist eine AD-Funktion, mit der ein Benutzer- oder Computerkonto die Identität eines anderen Kontos annehmen kann. Wenn ein Benutzer beispielsweise eine auf einem Webserver gehostete Webanwendung aufruft, kann die Anwendung die Anmeldedaten des Benutzers nachahmen, um auf Ressourcen zuzugreifen, die auf einem anderen Server gehostet werden. Jeder Domänencomputer, auf dem eine uneingeschränkte Delegierung aktiviert ist, kann die Anmeldedaten eines Benutzers für jeden anderen Dienst in der Domäne imitieren. Leider können Angreifer diese Funktion ausnutzen, um Zugriff auf verschiedene Bereiche des Netzwerks zu erhalten.
Die kontinuierliche Überwachung von AD-Schwachstellen und Delegierungsrisiken kann Verteidigern dabei helfen, diese Schwachstellen zu identifizieren und zu beheben, bevor Angreifer sie ausnutzen können.
8. Identifizieren Sie privilegierte Konten mit aktivierter Delegierung
Apropos Delegierung: Privilegierte Konten, die mit uneingeschränkter Delegierung konfiguriert sind, können direkt zu Kerberoasting- und Silver-Ticket-Angriffen führen. Unternehmen müssen in der Lage sein, privilegierte Konten mit aktivierter Delegierung zu erkennen und zu melden.
Eine umfassende Liste privilegierter Benutzer, delegierter Administratoren und Dienstkonten kann Verteidigern helfen, potenzielle Schwachstellen zu erfassen. In diesem Fall ist die Delegierung nicht automatisch schlecht. Sie ist oft aus betrieblichen Gründen notwendig, aber Verteidiger können ein Tool wie Singularity Identity verwenden, um Angreifer daran zu hindern, diese Konten zu entdecken.
9. Identifizieren Sie nicht privilegierte Benutzer in AdminSDHolder ACL
Active Directory-Domänendienste (AD DSs) verwenden das AdminSDHolder Objekt und den SDProp-Prozess (Security Descriptor Propagator), um privilegierte Benutzer und Gruppen zu schützen. Das AdminSDHolder-Objekt verfügt über eine eindeutige Zugriffssteuerungsliste (ACL), die die Berechtigungen von Sicherheitsprinzipalen steuert, die Mitglieder integrierter privilegierter AD-Gruppen sind. Um eine laterale Bewegung zu ermöglichen, können Angreifer dem AdminSDHolder Konten hinzufügen und ihnen denselben privilegierten Zugriff wie anderen geschützten Konten gewähren.
Unternehmen können diese Aktivität mit einem Tool wie Singularity Identity Posture Management verhindern, das ungewöhnliche Konten innerhalb der AdminSDHolder-ACL erkennt und meldet.
10. Identifizieren Sie aktuelle Änderungen an der Standarddomänenrichtlinie oder der Standarddomänencontrollerrichtlinie
Innerhalb von AD verwenden Unternehmen Gruppenrichtlinien, um verschiedene Betriebskonfigurationen zu verwalten, indem sie für die jeweilige Umgebung spezifische Sicherheitseinstellungen definieren. Diese konfigurieren häufig Verwaltungsgruppen und umfassen Start- und Abschaltskripte. Administratoren konfigurieren sie, um die vom Unternehmen definierten Sicherheitsanforderungen auf jeder Ebene festzulegen, Software zu installieren und Datei- und Registrierungsberechtigungen festzulegen. Leider können Angreifer diese Richtlinien ändern, um eine Domänenpersistenz innerhalb des Netzwerks zu erreichen.
Die Überwachung von Änderungen an Standardgruppenrichtlinien kann Verteidigern helfen, diese Angreifer schnell zu erkennen, Sicherheitsrisiken zu mindern und privilegierten Zugriff auf AD zu verhindern.
Verringern Sie das Identitätsrisiko in Ihrer gesamten Organisation
Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.
Demo anfordernDie richtigen Tools einsetzen
Das Verständnis der gängigsten Taktiken, mit denen Angreifer AD ins Visier nehmen, kann Unternehmen dabei helfen, sich zu verteidigen. Bei der Entwicklung von Tools wie Singularity Identity Posture Management und Singularity Identity haben wir viele Angriffsvektoren berücksichtigt und ermittelt, wie diese am besten erkannt und abgewehrt werden können.
Mit diesen Tools können Unternehmen heute Schwachstellen effektiv identifizieren, böswillige Aktivitäten frühzeitig erkennen und Sicherheitsvorfälle beheben, bevor Angreifer ihre Berechtigungen ausweiten und einen kleinen Angriff zu einer größeren Sicherheitsverletzung eskalieren lassen können. Der Schutz von AD ist eine Herausforderung, aber dank der heutigen AD-Schutztools keine unüberwindbare.
"Häufig gestellte Fragen zu Best Practices für die Active Directory-Sicherheit
Active Directory-Sicherheit umfasst eine Reihe von Maßnahmen und Vorgehensweisen, mit denen Sie Ihre Microsoft Active Directory-Umgebung vor Cyberbedrohungen schützen können. Sie steuert, wer auf welche Ressourcen in Ihrem Netzwerk zugreifen kann, indem Benutzerkonten, Computer und Berechtigungen von einem zentralen Ort aus verwaltet werden. Im Grunde genommen ist sie der Torwächter, der überprüft, ob Benutzer die sind, für die sie sich ausgeben, und entscheidet, was sie tun dürfen, sobald sie Zugang erhalten haben.
Dazu gehören Authentifizierung, Autorisierung, Zugriffskontrollen und Überwachung, um zu verhindern, dass unbefugte Benutzer Ihre Systeme und Daten manipulieren.
Die Sicherheit von Active Directory ist von entscheidender Bedeutung, denn wenn Angreifer in Ihr AD eindringen, haben sie im Grunde genommen die Schlüssel zu Ihrem gesamten Reich in der Hand. Ihr AD kontrolliert den Zugriff auf alle Systeme, Anwendungen und sensiblen Daten in Ihrem Netzwerk. Ein kompromittiertes AD kann zu massiven Datenverletzungen, Systembeschädigungen und sogar zu vollständigen Netzwerkausfällen führen.
Derzeit gibt es jährlich 25 Milliarden Azure AD-Angriffe. Wenn Sie diesen zentralen Knotenpunkt nicht sichern, können Angreifer ihre Berechtigungen erweitern, sich lateral durch Ihr Netzwerk bewegen und Ransomware einsetzen oder Anmeldedaten stehlen. Der Schaden kann Ihren Geschäftsbetrieb lahmlegen und zu erheblichen finanziellen Verlusten führen.
Sie sollten die Anzahl der Benutzer mit erhöhten Rechten auf ein Minimum beschränken und Gruppen verwenden, um Zugriffsrechte zuzuweisen, anstatt einzelne Berechtigungen zu vergeben. Wenden Sie strenge Passwortrichtlinien mit modernen Anforderungen an und erzwingen Sie die Multi-Faktor-Authentifizierung für alle Administratorkonten. Deaktivieren Sie unnötige Dienste wie den Druckspooler, deaktivieren Sie SMBv1 und beschränken Sie NTLM, wo immer dies möglich ist. Führen Sie regelmäßige Sicherheitsbewertungen durch, um inaktive Konten zu finden und zu entfernen, bevor sie zu Angriffsvektoren werden.
Überwachen Sie Ihr AD kontinuierlich auf verdächtige Aktivitäten, insbesondere im Zusammenhang mit Änderungen an privilegierten Gruppen und fehlgeschlagenen Anmeldeversuchen. Sorgen Sie für die physische Sicherheit der Domänencontroller und halten Sie geeignete Sicherungs- und Wiederherstellungspläne bereit.
MFA macht Ihr AD wesentlich sicherer, indem es zusätzliche Verifizierungsschritte über die reinen Passwörter hinaus hinzufügt. Selbst wenn Angreifer Ihre Anmeldedaten durch Phishing oder Brute-Force-Angriffe stehlen, können sie ohne den zweiten Faktor wie eine mobile App oder einen Hardware-Token nicht eindringen. MFA blockiert über 99,9 % aller automatisierten Angriffe und reduziert das Risiko von Sicherheitsverletzungen um 98,56 %, selbst wenn Anmeldedaten gestohlen wurden.
Sie können verschiedene Methoden wie Microsoft Authenticator, FIDO2-Schlüssel, Biometrie und Plattformen wie SentinelOne einsetzen, um es Angreifern zu erschweren, Konten zu kompromittieren. MFA bietet außerdem bessere Prüfpfade für forensische Analysen, falls etwas schiefgeht.
Ihre AD-Sicherheitscheckliste sollte mit der Überprüfung des aktuellen Sicherheitsstatus und der Identifizierung veralteter Konten beginnen, die entfernt werden müssen. Sie überprüft und verstärkt Passwortrichtlinien und implementiert dann Richtlinien zur Kontosperrung, um Brute-Force-Angriffe zu verhindern. Ein weiterer Punkt ist die Bereitstellung einer Multi-Faktor-Authentifizierung für alle privilegierten Konten und die Einrichtung sicherer Zugriffskontrollrichtlinien auf der Grundlage des Prinzips der geringsten Privilegien. Richten Sie ein regelmäßiges Patch-Management ein, führen Sie Schwachstellenanalysen durch und führen Sie AD-Audits durch, um Konfigurationsprobleme zu erkennen.
Aktivieren Sie eine ordnungsgemäße Protokollierung und Überwachung kritischer Ereignisse, insbesondere im Zusammenhang mit Änderungen an der Domänenadministratorengruppe und fehlgeschlagenen Authentifizierungen. Dokumentieren Sie Ihre Sicherheitsrichtlinien, schulen Sie Ihre Mitarbeiter in bewährten Verfahren und testen Sie Ihre AD-Wiederherstellungsprozesse regelmäßig.
Sie müssen bestimmte Ereignis-IDs in Ihren Sicherheitsprotokollen überwachen, insbesondere fehlgeschlagene Anmeldungen (4625), Kontosperrungen (4740) und Versuche der Rechteausweitung (4672). Achten Sie auf unbefugte Änderungen an privilegierten Gruppen wie Domänenadministratoren und Unternehmensadministratoren, da diese oft auf Sicherheitsverletzungen hindeuten. Richten Sie Echtzeit-Warnmeldungen für ungewöhnliche Anmeldemuster ein, z. B. mehrere fehlgeschlagene Anmeldeversuche von einer einzigen IP-Adresse oder Anmeldungen außerhalb der normalen Arbeitszeiten.
Überwachen Sie Änderungen an Gruppenrichtlinien, Passwortzurücksetzungen für Administratorkonten und alle Änderungen an den Einstellungen des Domänencontrollers. SentinelOne kann Ihnen dabei helfen, diese Aktivitäten zu verfolgen und automatisierte Erkennung und Warnmeldungen zu unterstützen
