Mobile-Menu

Im Kampf gegen wie Bloodhound, Mimikatz & Co. Ist Ihr Active Directory auf Angriffe vorbereitet?

Von Thomas Joos

Anbieter zum Thema

Angriffe mit Malware nehmen ständig zu und auch die Zahl „herkömmlicher“ Cyberangriffen steigt ständig an. Hier stellt sich für alle Admins von AD-Umgebungen die Frage, ob ihre Umgebung auf solche Angriffe vorbereitet ist. Dieser Beitrag gibt einige Hilfestellungen dazu.

PingCastle ist ein wertvolles Tool, um Sicherheitslücken in Active Directory zu erkennen und zu schließen.
PingCastle ist ein wertvolles Tool, um Sicherheitslücken in Active Directory zu erkennen und zu schließen.
(Bild: PingCastle)

Im Beitrag „Diese Tools nutzen Hacker für AD-Angriffe“ haben wir bereits gezeigt, wie leicht es Angreifer oft haben mit kostenlosen Tools Netzwerke anzugreifen. Active-Directory-Umgebungen benötigen einen besonderen Schutz, da die Übernahme von Authentifizierungsdaten den Angreifern die Möglichkeit gibt auf Ressourcen zuzugreifen, Identitäten zu fälschen oder Daten zu stehlen und zu vernichten. Es ist daher höchste Zeit, sich einen Überblick darüber zu verschaffen, ob die Objekte richtig abgesichert sind.

PingCastle & Co.: Die Sicherheit mit günstigen Tools verbessern

Im Beitrag „Diese Tools sorgen für mehr AD-Sicherheit“ zeigen wir verschiedene Tools, mit denen sich AD-Umgebungen absichern lassen. Besonders interessant ist an dieser Stelle das Tool PingCastle, das dabei hilft das Active Directory von unbenutzten Konten zu befreien oder Sicherheitslücken zu identifizieren. Dazu kommen Hilfestellungen, wie sich die Sicherheitsprobleme beheben lassen. Wir haben das Tool auch im Beitrag „Aufräumen im Active Directory“ behandelt.

Bildergalerie
Bildergalerie mit 5 Bildern

Härtungsmaßnahmen und erweiterte Verwaltungsmodelle nutzen

Standardsicherheits-Maßnahmen oder Zusatztools reichen in vielen Fällen aber nicht aus, um ein Active Directory vor Angriffen zu schützen. Dazu sind erweiterte Möglichkeiten wie Verwaltungsmodelle, Tier-Unterteilung oder auch der Schutz der lokalen Adminkonten notwendig. Wie das geht, zeigen wir im Beitrag „Härtungsmaßnahmen für das Active Directory“. Es ist sehr sinnvoll die Anleitungen in diesen Beiträgen zu beachten. Grundsätzlich sollten Admins auch nicht dauerhaft mit maximalen Rechten arbeiten. Wir haben im Beitrag „Admin auf Zeit in Active Directory“ gezeigt, wie mit Bordmitteln sichergestellt werden kann, dass Angreifer nicht ohne Weiteres Adminkonten übernehmen können.

Einfallstore von Malware, Hackern und Ransomware eindämmen

Die meisten Angriffe von Hackern und Malware basieren auf Phishing oder anderweitigem einschleusen von Schadcode in ein Netzwerk. Um Angriffe zu verhindern, sollte das Active Directory daher maximal abgesichert sein, wie in den vorhergehenden Abschnitten besprochen. Es ist aber genauso wichtig, zu verhindern, dass Malware, Ransomware oder Cyberkriminelle überhaupt erst in das Netzwerk gelangen. Daher sollten auch die Eingangswege per E-Mail abgesichert werden. Ein probates Mittel in diesem Bereich ist Microsoft 365 Defender, wenn Unternehmen auf Microsoft 365 setzen. Aber auch für andere Lösungen sollte sichergestellt werden, dass möglichst keine Angreifer ohne Weiteres in das Netzwerk gelangen können.

Microsoft bietet hier mit Microsoft 365 Threat Intelligence auch Simulationen für Phishing-Angriffe an, mit denen die Mitarbeiter im Unternehmen auf die Angriffe vorbereitet werden und im Ernstfall wissen, wie sie reagieren sollen. Im Beitrag „Verwaltung von mobilen Endgeräten mit Microsoft 365“ haben wir darüber hinaus noch gezeigt, wie auch Smartphones und Tablets zuverlässig abgesichert werden können.

Updates zeitnah installieren

An jedem zweiten Dienstag im Monat veröffentlicht Microsoft Updates für seine Produkte. Hier sind sehr oft Sicherheitspatches für Windows-Server dabei, die auch für Active Directory eine wesentliche Rolle spielen. Es ist sehr empfehlenswert sich mit dem Thema auseinanderzusetzen und Updates für Domänencontroller, aber auch für Mitgliedsserver zu installieren – möglichst automatisiert. Im Beitrag „Best Practices zur AD-Sicherheit“ sind weitere Hinweise dazu zu finden.

Desaster Recovery vorbereiten

Es kann trotz aller Vorbereitungen jederzeit ein Angriff das Active Directory lahmlegen und auch andere Server können betroffen sein. Daher sollten sich Unternehmen darauf vorbereiten, was zu tun ist, wenn bestimmte Bereiche im Netzwerk nicht mehr funktionieren, zum Beispiel das Active Directory oder Server im Netzwerk. Hier spielen auch Datensicherung und Wiederherstellung eine wichtige Rolle. Dazu kommen Maßnahmen, um möglichst schnell wieder produktiv arbeiten zu können. Dazu ist ein Plan notwendig, der genau festlegt, wie der Betrieb bei einem Totalausfall wiederhergestellt werden kann. Im Beitrag „Disaster Recovery im Überblick“ gehen wir auf dieses Thema ausführlicher ein.

Privileged Access Workstations zur Verwaltung nutzen

Besonders kritisch wird ein Cyberangriff auf eine Active-Directory-Umgebung, wenn Angreifer Zugriff auf Anmeldedaten von Administratoren erhalten. Hier spielen die bereits erwähnten Sicherheitsfunktionen in den Beiträgen „Admin auf Zeit in Active Directory“ und „Härtungsmaßnahmen für das Active Directory“ eine wichtige Rolle. Dazu kommt der Einsatz von besonders abgesicherten Arbeitsstationen zur Verwaltung von Active Directory. Diese tragen die Bezeichnung Privileged Access Workstations (PAW).

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Bei PAW handelt es sich um besonders gut abgesicherte Arbeitsstationen, die nur zur Verwaltung der Umgebung dienen. Eine PAW bietet einen besonders abgesicherten Zugang zum Netzwerk und ist daher von außen nicht angreifbar. Hinzu kommen Sicherheitsoptionen, die über Gruppenrichtlinien gesetzt werden und darüber hinausgehen, was Microsoft mit den beschriebenen Security-Baseslines ermöglicht.

Active Directory im Fokus
Bildergalerie mit 55 Bildern

(ID:48801200)