Was ist ein Active Directory?
Active Directory ist der von Microsoft Windows verwendete Verzeichnisdienst und die zentrale Komponente zur Verwaltung von Windows-basierten Netzwerken. Informationen zu Geräten, Ressourcen und Einstellungen werden in einer hierarchischen Datenbank verwaltet. Mit dem Active Directory ist es möglich, Änderungen zentral durchzuführen oder Informationen für verschiedene Applikationen zur Verfügung zu stellen.
IT-Administratoren nutzen Microsoft Active Directory-Dienste für verschiedenste tägliche Abläufe, wie Domain Control Workflows. Wenn sich beispielsweise ein Benutzer bei einem an die Domäne gebundenen Gerät anmeldet, authentifizieren die Domain Controller den Benutzernamen und das Kennwort. Ist der Benutzer ein Systemadministrator, erteilen die Domain Controller möglicherweise zusätzliche Berechtigungen.
Schwachstellen im Active Directory
Die beste Lösung zur Überwachung von Kompromittierungen im Active Directory ist ein Überwachungssystem für Ereignisprotokolle. Laut dem Verizon Data Breach Investigations Report 2021 gab es bei 84 % der Unternehmen, die einen Angriff verzeichneten, Hinweise auf die Kompromittierung in den Ereignisprotokollen. Die Überwachung der Aktivitäten in diesen Protokollen ermöglicht also die Aufdeckung der Kompromittierungen, bevor es zu Schäden kommt.
Bei der Überwachung der Ereignisprotokolle sollten Unternehmen nach Anzeichen für folgende verdächtige Aktivitäten Ausschau halten:
-
Aktivitäten privilegierter Konten
Häufig nutzen Angreifer eine Berechtigungsschwachstelle aus und versuchen eine Rechteausweitung vorzunehmen. Das heißt also, die Berechtigungen eines kompromittierten Benutzerkontos werden erweitert. Alternativ dazu machen sich die Angreifer durch Aktivitäten eines privilegierten Benutzerkontos außerhalb der Betriebszeiten oder durch einen plötzlichen Anstieg an Datenzugriffen des Benutzerkontos bemerkbar.
-
Anmeldungsfehler
Wiederholte Fehler bei der Anmeldung bei einem Konto können ein Hinweis darauf sein, dass Bedrohungsakteure Zugriff erlangen wollen.
-
Remote-Anmeldungen
Häufig versuchen böswillige Benutzer, per Fernzugriff auf Unternehmens-Systeme zuzugreifen. Solltest Du eine Anmeldung über eine IP-Adresse sehen, die von einem anderen Land oder Standort stammt, kann dies darauf hindeuten, dass Dein Active Directory kompromittiert wurde.
So wie es viele verschiedene Anzeichen für eine Active Directory-Kompromittierung geben kann, gibt es auch viele Arten von Schwachstellen. Bedrohungsakteure kennen häufige Konfigurationsprobleme genau und werden versuchen, diese auszunutzen, sobald sie sich Zugang zu Deinem Unternehmen verschafft haben. Hat ein Angreifer das Active Directory erst einmal unter seine Kontrolle gebracht, verfügt er gewissermaßen über den Schlüssel zu der gesamten Umgebung von Unternehmen und kann dadurch auf jedes mit dem Netzwerk verbundene Gerät oder System zugreifen. Wenn das Active Directory dann noch als Identity Provider (IdP) zum Einsatz kommt, könnte sich eine Kompromittierung auf die SSO-Lösung (Single Sign-On) von Unternehmen auswirken. Angreifer hätten dadurch noch mehr Zugang zu weiteren Konten, für die ein Benutzer möglicherweise konfiguriert wurde.
In Verbindung mit dem Active Directory sind in den meisten Unternehmen Konfigurations- und allgemeine Sicherheitsprobleme die beiden größten Risiken. Zudem können auch organisatorische Herausforderungen auftreten. In vielen Unternehmen werden Active Directory-Bereitstellungen beispielsweise von IT-Administratoren verwaltet, wobei ihre Cybersecurity-Kolleg:innen für den Schutz verantwortlich sind. Viele Firmen müssen zudem mit begrenzten IT- und Sicherheitsbudgets auskommen und gerade von Sicherheitsexpert:innen wird oft erwartet, dass sie sich in mehreren Bereichen auskennen. Das führt dazu, dass Expertenwissen zum Thema Active Directory – und den vielen Feinheiten einer ordnungsgemäßen Implementierung – häufig Mangelware ist.
Secure Workplace Team
Genau weil wir diese Probleme kennen, haben wir eine Solution-Einheit gebildet.
Unser Ziel ist es, die Hürden für Angreifer so hoch wie möglich zu bauen und den Impact zu minimieren.
Wir stehen Dir beratend zur Seite. Vereinbare gerne direkt einen Termin.
