Ist Ihr Active Directory auf Angriffe vorbereitet?

Im Kampf gegen Tools wie Bloodhound, Mimikatz & Co. Ist Ihr Active Directory auf Angriffe vorbereitet?

09.12.2022 Von Thomas Joos

Anbieter zum Thema

Angriffe mit Malware nehmen ständig zu und auch die Zahl „herkömmlicher“ Cyberangriffen steigt ständig an. Hier stellt sich für alle Admins von AD-Umgebungen die Frage, ob ihre Umgebung auf solche Angriffe vorbereitet ist. Dieser Beitrag gibt einige Hilfestellungen dazu.

PingCastle ist ein wertvolles Tool, um Sicherheitslücken in Active Directory zu erkennen und zu schließen.
(Bild: PingCastle)

Im Beitrag „Diese Tools nutzen Hacker für AD-Angriffe“ haben wir bereits gezeigt, wie leicht es Angreifer oft haben mit kostenlosen Tools Netzwerke anzugreifen. Active-Directory-Umgebungen benötigen einen besonderen Schutz, da die Übernahme von Authentifizierungsdaten den Angreifern die Möglichkeit gibt auf Ressourcen zuzugreifen, Identitäten zu fälschen oder Daten zu stehlen und zu vernichten. Es ist daher höchste Zeit, sich einen Überblick darüber zu verschaffen, ob die Objekte richtig abgesichert sind.

PingCastle & Co.: Die Sicherheit mit günstigen Tools verbessern

Im Beitrag „Diese Tools sorgen für mehr AD-Sicherheit“ zeigen wir verschiedene Tools, mit denen sich AD-Umgebungen absichern lassen. Besonders interessant ist an dieser Stelle das Tool PingCastle, das dabei hilft das Active Directory von unbenutzten Konten zu befreien oder Sicherheitslücken zu identifizieren. Dazu kommen Hilfestellungen, wie sich die Sicherheitsprobleme beheben lassen. Wir haben das Tool auch im Beitrag „Aufräumen im Active Directory“ behandelt.

Bildergalerie

Microsoft 365 Defender ist ein wichtiger Schutz, um Angriffe auf das eigene Netzwerk über Phishing und andere kriminelle Aktionen zu minimieren.

Microsoft stellt Gruppenrichtlinienvorlagen zur Verfügung, mit denen sich Domänencontroller und Mitgliedsserver absichern lassen.

Privileged Access Management ist ein wichtiger Faktor für die Verbesserung des Schutzes in Active Directory.

Die Microsoft-Sicherheitsbewertung in Microsoft 365 ist auch wichtig für die zugrundeliegenden Netzwerke und für Active Directory.

Bildergalerie mit 5 Bildern

Härtungsmaßnahmen und erweiterte Verwaltungsmodelle nutzen

Standardsicherheits-Maßnahmen oder Zusatztools reichen in vielen Fällen aber nicht aus, um ein Active Directory vor Angriffen zu schützen. Dazu sind erweiterte Möglichkeiten wie Verwaltungsmodelle, Tier-Unterteilung oder auch der Schutz der lokalen Adminkonten notwendig. Wie das geht, zeigen wir im Beitrag „Härtungsmaßnahmen für das Active Directory“. Es ist sehr sinnvoll die Anleitungen in diesen Beiträgen zu beachten. Grundsätzlich sollten Admins auch nicht dauerhaft mit maximalen Rechten arbeiten. Wir haben im Beitrag „Admin auf Zeit in Active Directory“ gezeigt, wie mit Bordmitteln sichergestellt werden kann, dass Angreifer nicht ohne Weiteres Adminkonten übernehmen können.

Einfallstore von Malware, Hackern und Ransomware eindämmen

Die meisten Angriffe von Hackern und Malware basieren auf Phishing oder anderweitigem einschleusen von Schadcode in ein Netzwerk. Um Angriffe zu verhindern, sollte das Active Directory daher maximal abgesichert sein, wie in den vorhergehenden Abschnitten besprochen. Es ist aber genauso wichtig, zu verhindern, dass Malware, Ransomware oder Cyberkriminelle überhaupt erst in das Netzwerk gelangen. Daher sollten auch die Eingangswege per E-Mail abgesichert werden. Ein probates Mittel in diesem Bereich ist Microsoft 365 Defender, wenn Unternehmen auf Microsoft 365 setzen. Aber auch für andere Lösungen sollte sichergestellt werden, dass möglichst keine Angreifer ohne Weiteres in das Netzwerk gelangen können.

Microsoft bietet hier mit Microsoft 365 Threat Intelligence auch Simulationen für Phishing-Angriffe an, mit denen die Mitarbeiter im Unternehmen auf die Angriffe vorbereitet werden und im Ernstfall wissen, wie sie reagieren sollen. Im Beitrag „Verwaltung von mobilen Endgeräten mit Microsoft 365“ haben wir darüber hinaus noch gezeigt, wie auch Smartphones und Tablets zuverlässig abgesichert werden können.

Updates zeitnah installieren

An jedem zweiten Dienstag im Monat veröffentlicht Microsoft Updates für seine Produkte. Hier sind sehr oft Sicherheitspatches für Windows-Server dabei, die auch für Active Directory eine wesentliche Rolle spielen. Es ist sehr empfehlenswert sich mit dem Thema auseinanderzusetzen und Updates für Domänencontroller, aber auch für Mitgliedsserver zu installieren – möglichst automatisiert. Im Beitrag „Best Practices zur AD-Sicherheit“ sind weitere Hinweise dazu zu finden.

Desaster Recovery vorbereiten

Es kann trotz aller Vorbereitungen jederzeit ein Angriff das Active Directory lahmlegen und auch andere Server können betroffen sein. Daher sollten sich Unternehmen darauf vorbereiten, was zu tun ist, wenn bestimmte Bereiche im Netzwerk nicht mehr funktionieren, zum Beispiel das Active Directory oder Server im Netzwerk. Hier spielen auch Datensicherung und Wiederherstellung eine wichtige Rolle. Dazu kommen Maßnahmen, um möglichst schnell wieder produktiv arbeiten zu können. Dazu ist ein Plan notwendig, der genau festlegt, wie der Betrieb bei einem Totalausfall wiederhergestellt werden kann. Im Beitrag „Disaster Recovery im Überblick“ gehen wir auf dieses Thema ausführlicher ein.

Privileged Access Workstations zur Verwaltung nutzen

Besonders kritisch wird ein Cyberangriff auf eine Active-Directory-Umgebung, wenn Angreifer Zugriff auf Anmeldedaten von Administratoren erhalten. Hier spielen die bereits erwähnten Sicherheitsfunktionen in den Beiträgen „Admin auf Zeit in Active Directory“ und „Härtungsmaßnahmen für das Active Directory“ eine wichtige Rolle. Dazu kommt der Einsatz von besonders abgesicherten Arbeitsstationen zur Verwaltung von Active Directory. Diese tragen die Bezeichnung Privileged Access Workstations (PAW).

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Bei PAW handelt es sich um besonders gut abgesicherte Arbeitsstationen, die nur zur Verwaltung der Umgebung dienen. Eine PAW bietet einen besonders abgesicherten Zugang zum Netzwerk und ist daher von außen nicht angreifbar. Hinzu kommen Sicherheitsoptionen, die über Gruppenrichtlinien gesetzt werden und darüber hinausgehen, was Microsoft mit den beschriebenen Security-Baseslines ermöglicht.