Was ist Active Directory-Sicherheit?
Active Directory (AD) ist ein Verzeichnisdienst von Microsoft Windows, der Administratoren die Konfiguration von Berechtigungen und des Netzwerkzugriffs erleichtert. Microsoft Windows Active Directory besteht aus mehreren Komponenten, darunter die Active Directory-Domänendienste, Active Directory-Zertifikatdienste und Active Directory-Verbunddienste.
IT-Administratoren nutzen Microsoft Active Directory-Dienste für verschiedenste tägliche Abläufe wie Domänencontroller-Workflows. Wenn sich beispielsweise ein Benutzer bei einem an die Domäne gebundenen Gerät anmeldet, authentifizieren die Domänencontroller den Benutzernamen und das Kennwort. Ist der Benutzer ein Systemadministrator, erteilen die Domänencontroller möglicherweise zusätzliche Berechtigungen.
Microsoft Active Directory-Sicherheit ist besonders für Unternehmen wichtig, denn der Dienst stellt den Zugriff auf Systeme, Anwendungen und Ressourcen bereit und ist somit quasi der Schlüssel zur gesamten Unternehmensumgebung. Um das Netzwerk vor Cyberangriffen zu schützen, muss ein Unternehmen seine Schwachstellen kennen und Maßnahmen zur Verbesserung der Active Directory-Sicherheit ergreifen (z. B. Sicherheitstools verwenden oder Best Practices befolgen).
See Crowdstrike Falcon In Action
Ein reibungsloser Ansatz für die Absicherung Ihres wichtigsten Identitätsspeichers.
Jetzt herunterladenWarum Active Directory-Sicherheit entscheidend ist
Active Directory-Sicherheit (oder AD-Sicherheit) spielt bei der allgemeinen Unternehmenssicherheit deshalb eine so wichtige Rolle, weil das Active Directory den gesamten Systemzugriff des Unternehmens steuert. Eine effektive AD-Verwaltung hilft dem Unternehmen, Anmeldedaten, Anwendungen und vertrauliche Daten vor nicht autorisierten Zugriffen zu schützen. Und mit zuverlässigen Sicherheitsmaßnahmen werden böswillige Benutzer daran gehindert, ins Netzwerk einzudringen und Schäden anzurichten.
Risiken durch vernachlässigte AD-Sicherheit
Wenn Sie die Active Directory-Sicherheit vernachlässigen, drohen Ihnen die nachfolgend beschriebenen Cyberangriffe und daraus resultierende Schäden:
- Zu Beginn können böswillige Benutzer mithilfe gestohlener Anmeldedaten oder per Malware Zugriff erlangen und dann Ihre Aktivitäten überwachen.
- Anschließend können sie weitere Konten infiltrieren und sich lateral im System bewegen.
- Dank umfangreichem Zugriff auf Ihr Netzwerk können die böswilligen Benutzer dann entweder Daten stehlen oder das System schädigen.
Herausforderungen für die AD-Sicherheit bei der Wiederherstellung
Bei der Wiederherstellung nach einer Active Directory-Kompromittierung besteht die größte Herausforderung darin, die Quelle der Kompromittierung zu identifizieren, das Ausmaß der Schäden zu ermitteln und wieder eine sichere Umgebung zu schaffen. Laut dem Verizon Data Breach Investigations Report 2021 wurden 98 % der Kompromittierungen von externen Akteuren ausgelöst, wobei 85 % der Kompromittierungen mehrere Wochen oder länger unentdeckt blieben.
Häufig erlangen böswillige Benutzer Zugang zu einem Benutzerkonto und bleiben solange unerkannt, bis sie weitere Teile des Systems kompromittieren. Je länger Hacker unerkannt in Ihrem System verweilen können, desto mehr Schaden können sie anrichten. Zudem ist es mitunter schwierig, alle kompromittierten Bereiche aufzuspüren. Das Patchen der Schwachstellen in einem bestehenden System hat daher möglicherweise wenig Wirkung. Unternehmen mit einer komplexen oder älteren Infrastruktur würden stattdessen eher davon profitieren, wenn sie die wichtigsten Benutzerkonten und Daten auf ein neues, kleineres System übertragen, das sich besser schützen lässt.
Aufgrund der großen Bedeutung der AD-Sicherheit sollten Unternehmen einen Plan zur Notfall-Wiederherstellung entwickeln, damit sie im Falle eines Angriffs auf das Active Directory vorbereitet sind. Mit sorgfältiger Überwachung auf nicht autorisierte Zugriffe und einem Plan stehen die Chancen gut, dass das betroffene Unternehmen einen Angriff stoppen kann, bevor das System beschädigt oder gar unbrauchbar wird.
Schwachstellen im Active Directory
Die beste Lösung zur Überwachung von Kompromittierungen im Active Directory ist ein Überwachungssystem für Ereignisprotokolle. Laut dem Verizon Data Breach Investigations Report 2021 gab es bei 84 % der Unternehmen, die einen Angriffe verzeichneten, Hinweise auf die Kompromittierung in den Ereignisprotokollen. Die Überwachung der Aktivitäten in diesen Protokollen ermöglicht also die Aufdeckung der Kompromittierungen, bevor es zu Schäden kommt.
Bei der Überwachung der Ereignisprotokolle sollten Sie nach Anzeichen für folgende verdächtige Aktivitäten Ausschau halten:
- Aktivitäten privilegierter Konten: Häufig nutzen die Angreifer eine Berechtigungsschwachstelle aus und versuchen, eine Rechteausweitung vorzunehmen, also die Berechtigungen eines kompromittierten Benutzerkontos zu erweitern. Alternativ dazu machen sich die Angreifer durch Aktivitäten eines privilegierten Benutzerkontos außerhalb der Betriebszeiten oder durch einen plötzlichen Anstieg an Datenzugriffen des Benutzerkontos bemerkbar.
- Anmeldungsfehler: Wiederholte Fehler bei der Anmeldung bei einem Konto können ein Hinweis darauf sein, dass Bedrohungsakteure Zugriff erlangen wollen.
- Remote-Anmeldungen: Häufig versuchen böswillige Benutzer, per Fernzugriff auf Ihr System zuzugreifen. Sollten Sie eine Anmeldung über eine IP-Adresse sehen, die von einem anderen Land oder Standort stammt, kann dies darauf hindeuten, dass Ihr Active Directory kompromittiert wurde.
So wie es viele verschiedene Anzeichen für eine Active Directory-Kompromittierung geben kann, gibt es auch viele Arten von Schwachstellen. Nachfolgend werfen wir einen Blick auf die gängigsten Schwachstellen, die böswillige Benutzer ausnutzen können.
Alle Benutzer haben das Recht, Workstations zur Domäne hinzuzufügen
In der Standardeinstellung kann jeder Domänenbenutzer Workstations zur Domäne hinzufügen. Bei dieser Konfiguration besteht die Gefahr, dass die Benutzer auch Privatrechner für den Zugriff auf die Domäne des Unternehmens hinzufügen können. Privatrechner sind nicht immer durch die betriebliche Virenschutz- oder EDR-Lösung (Endpunktbasierte Detektion und Reaktion) geschützt, und für die hinzugefügten Workstations gelten möglicherweise nicht die Einstellungen und Richtlinien des Unternehmens. Zudem werden den Benutzern durch diese AD-Konfiguration lokale Administratorrechte auf ihren Geräten eingeräumt. Diese lokalen Administratorrechte auf Privatgeräten sind ein Sicherheitsrisiko, denn die Benutzer können darüber Aktionen ausführen, mit denen andere Systeme im Netzwerk angegriffen werden.
Um diese Schwachstelle zu minimieren, sollte das Attribut ms-DS-MachineAccountQuota angepasst werden, das das Hinzufügen von Rechnern in Ihre Domäne beschränkt. Stattdessen können Sie die Rechte zur Erstellung von Rechnerkonten an von Ihnen ausgewählte Benutzer oder Benutzergruppen delegieren.
Zu viele Benutzer in privilegierten AD-Gruppen
Das Risiko einer Domänenkompromittierung steigt mit der Anzahl der Benutzer in einer privilegierten AD-Sicherheitsgruppe, z. B. bei Domänenadministratoren oder Unternehmensadministratoren. Ein Domänenadministrator hat die vollständige Kontrolle über die Domäne. Er ist in der Regel ein Mitglied der Administratorengruppe für alle Domänencontroller, alle Domänen-Workstations und alle Domänenmitgliedsserver. Da diese Benutzerkonten umfangreiche Sicherheitsberechtigungen haben, könnte es zur Kompromittierung Ihrer Domäne kommen, wenn die Anmeldedaten solcher Benutzer in die Hände von Bedrohungsakteuren gelangen.
Um diese Schwachstelle zu minimieren, sollten Sie die Zugriffsrechteverwaltung sowie die Einstellungen und Richtlinien der Gruppenrichtlinienverwaltung regelmäßig überprüfen. Achten Sie darauf, dass die Benutzer nur die Berechtigungen haben, die sie zur Ausführung ihrer Tätigkeiten benötigen. Nehmen Sie Benutzer nur dann in diese privilegierten Sicherheitsgruppen auf, wenn es unbedingt nötig ist. Auf diese Weise verhindern Sie, dass die Gruppen zu groß werden.
Schwache Kennwortrichtlinie
Es gibt verschiedene Philosophien über das optimale Verhältnis zwischen Kennwortsicherheit und Benutzerfreundlichkeit. Verpflichtet ein Unternehmen seine Benutzer, komplizierte Kennwörter zu verwenden und diese regelmäßig zu ändern, könnten sie ihre Kennwörter vergessen oder an einem unsicheren Ort aufbewahren. Erlaubt ein Unternehmen die Nutzung einfacher Kennwörter, haben es Hacker möglicherweise leichter, sich Zugriff auf Systeme zu verschaffen.
Um diese Schwachstelle zu minimieren, sollten Unternehmen eine konservative Kennwortrichtlinie festlegen und dafür sorgen, dass es weitere Sicherheitskontrollen gibt, die bei der Kompromittierung eines Kennworts greifen. Wenn Ihre Zugriffsrechteverwaltung beispielsweise eine Kennwortrücksetzung für einen Active Directory-Benutzer veranlassen muss, sollte es zusätzliche Sicherheitskontrollen geben, die die Identität des Benutzers verifizieren.
Die besten Tools für Active Directory-Sicherheit
Mit Sicherheitstools können Sie Ihr Active Directory schützen und die Sicherheit Ihrer Systeme überwachen. Die größten Vorteile von AD-Sicherheitstools sind die Benutzerfreundlichkeit, die Automatisierungsmöglichkeiten und die verbesserte Sicherheit. Viele AD-Tools bieten eine Benutzeroberfläche für administrative Aufgaben, können die Säuberung verwaister Konten sowie andere Aufgaben automatisieren und verbessern die Sicherheit durch Überwachung und Warnungen.
Active Directory ist ein umfangreicher Dienst mit vielen Anwendungsbereichen, weshalb AD-Tools in Zweck und Umfang variieren. Die Palette reicht dabei von kostenlosen Tools, die nach einfachen Anzeichen einer Kompromittierung suchen, bis hin zu robusten Services, die umfassende Bedrohungserkennung und Prävention bieten. Um die Vorteile der verfügbaren AD-Tools zu vergleichen, sollten Sie zunächst Ihr Budget festlegen und sich dann mit den Funktionen befassen, die für Ihr Unternehmen in Frage kommen. Beziehen Sie in Ihre Überlegungen die zeitaufwändigsten und riskantesten Prozesse in Ihrem Unternehmen ein und suchen Sie nach einem Tool, das diesen Anforderungen gerecht wird.
Bei der Wahl des richtigen AD-Sicherheitstools sollten Sie darauf achten, dass die Tools über einige der folgenden Funktionen verfügen:
- Automatisierte Erstellung von Benutzerkonten und Sicherheitsgruppen
- Analyse von Benutzerrechten
- Analyse von Schwachstellen (z. B. verwaiste Konten)
- Überprüfung des Active Directory auf veränderte Parameter
- Kostenlose Testversionen, mit denen Sie prüfen können, ob das Tool für Ihr Unternehmen geeignet ist
Zudem können Sie eine Bewertung technischer Risiken durchführen lassen, um Schwachstellen und unsichere Einstellungen zu identifizieren, die die Sicherheit des Active Directory gefährden. Anhand der Ergebnisse lässt sich dann feststellen, welche Sicherheitsbereiche Sie am dringendsten stärken sollten und welche Tools sich dazu eignen.
Beachten Sie, dass Tools zur umfassenden Bedrohungserkennung für Ihr Unternehmen möglicherweise kostengünstiger sind, wenn dadurch Mitarbeiter für andere Aufgaben frei werden. Bedrohungserkennungstools können automatisch nach verdächtigen Aktivitäten suchen und den Zeitaufwand für die Zwischenfallbehebung verringern. Wenn das Tool den Großteil der Arbeit übernimmt, können sich Ihre Mitarbeiter auf andere Aufgaben konzentrieren, die einen Mehrwert für Ihr Unternehmen bieten.
Best Practices für Active Directory-Sicherheit
Viele böswillige Benutzer dringen mithilfe kompromittierter Anmeldedaten in Ihr System ein. Es ist daher wichtig, Best Practices für AD-Sicherheit zu befolgen, um unnötige Sicherheitsrisiken zu vermeiden. Den besten Schutz Ihres Active Directory bieten die folgenden Sicherheitsmaßnahmen:
- Anpassen der Standardsicherheitseinstellungen an die Bedürfnisse Ihres Unternehmens
- Verwenden von Backup- und Wiederherstellungsprozessen
- Zentrale Sicherheitsverwaltung und -berichte
1. Anpassen der Standardsicherheitseinstellungen
Einige AD-Standardeinstellungen – wie der Parameter, der es allen Benutzern ermöglicht, Workstations zu Ihrer Domäne hinzuzufügen – gewähren den Benutzern Ihres Unternehmens unnötige Berechtigungen. Überprüfen Sie bei der Installation von Active Directory die Sicherheitskonfiguration und passen Sie sie an die Bedürfnisse Ihres Unternehmens an. Zudem sollten Sie alle Benutzerrechte überprüfen, um sicherzustellen, dass nur die geringstmöglichen Zugriffsberechtigungen gewährt werden.
Durch die Einschränkung der Berechtigungen machen Sie es böswilligen Benutzern schwerer, umfassende Zugriffsrechte zu erlangen, und geben Ihren Mitarbeitern weniger Möglichkeiten, Berechtigungen zu missbrauchen. Die Anpassung der Standardsicherheitseinstellungen kann entweder durch die manuelle Änderung der Attributwerte und Rechte oder durch AD-Tools erfolgen, die Ihnen bei der Konfiguration der Einstellungen helfen.
2. Verwenden von Backup und Wiederherstellungsprozessen
Die wichtigste Backup-Maßnahme zum Schutz des Active Directory ist die regelmäßige Erstellung eines Backups, das mindestens alle 60 Tage erfolgen sollte. Die Lebensdauer eines AD-Tombstone-Objekts beträgt 60 Tage. Fehlermeldungen über abgelaufene Tombstone-Objekte lassen sich mit einem AD-Backup verhindern, das weniger als 60 Tage alt ist. Zudem empfiehlt es sich, mehrere Backups an verschiedenen Orten aufzubewahren, für den Fall, dass eines davon ebenfalls kompromittiert wurde.
Die wichtigste Wiederherstellungsmaßnahme zum Schutz des Active Directory ist die Entwicklung eines Notfall-Wiederherstellungsplans. Dieser sollte die Schritte definieren, die Ihr Sicherheitsteam im Falle einer Wiederherstellung nach einer Kompromittierung ergreifen soll. Dazu müssen Sie die Wiederherstellungsreihenfolge und die Abhängigkeiten bedenken, denn ein Domänencontroller muss beispielsweise vor anderen Rechnern wiederhergestellt werden.
3. Zentrale Sicherheitsverwaltung und -berichte
Durch die Zentralisierung der Sicherheitsverwaltung und -berichte steht dem Unternehmen ein dediziertes Team zur Verfügung, das für die AD-Sicherheit verantwortlich ist. Diese Mitarbeiter können sich Fachwissen aneignen und schnell auf einen Angriff reagieren. Zudem kann ein umfassendes Bedrohungserkennungstool Ihrem Sicherheitsteam bei der Überprüfung und Überwachung des Systems helfen, da ein zentrales Programm die schnelle Untersuchung von Warnungen erleichtert.
Bedrohungserkennung mit CrowdStrike
Die Stärkung Ihrer AD-Sicherheit spielt beim Schutz Ihres Unternehmens vor Cyberangriffen eine wichtige Rolle. Da sich die Taktiken und Tools böswilliger Benutzer weiterentwickeln, muss auch das IT-Team stets über die neuesten Bedrohungen informiert sein und kontinuierlich nach Anzeichen einer Kompromittierung Ausschau halten.
CrowdStrike Falcon Identity Threat Detection unterstützt Sie mithilfe künstlicher Intelligenz und Verhaltensanalysen bei der Echtzeit-Erkennung identitätsbasierter Bedrohungen, damit Sie moderne Attacken wie Ransomware-Angriffe stoppen können. Mit diesem Bedrohungserkennungstool hat das IT-Team einen vollständigen Überblick über seine Netzwerkkonten. Zudem kann es verdächtige Aktivitäten identifizieren und schnell auf Bedrohungen reagieren. CrowdStrike bietet Ihnen eine kostenlose Testversion, damit Sie sich davon überzeugen können, ob der Cloud-Sicherheitsservice die richtige Lösung für Sie ist.