Omri Rubinstien

Auch nach mehr als 20 Jahren ist Active Directory (AD) immer noch eine der wichtigsten Komponenten der IT-Infrastruktur eines typischen Unternehmens. Die AD-Sicherheit ist für die Benutzer leicht als selbstverständlich anzusehen, wenn sie funktioniert. Im Falle eines Angriffs wird jedoch schmerzhaft deutlich, wie wichtig sie für den Geschäftsbetrieb ist.

Bei Sicherheitsangriffen ist jede Sekunde, die verstreicht, bevor die Bedrohung eingedämmt und beseitigt ist und die Systeme wiederhergestellt sind, ein Schlag für das Unternehmen. Je länger die Ausfallzeit ist, desto größer ist die Störung des Betriebs. Schnelligkeit ist wichtig, aber auch die erfolgreiche Wiederherstellung von AD ist wichtig, ebenso wie die Sicherstellung, dass alle Bedrohungsakteure ausgeschaltet wurden und dass es keine Einfallstore für zukünftige Angriffe gibt.

Der erste Schritt zur Bewältigung dieser Aufgabe nach einem Angriff ist die Einrichtung einer isolierten Wiederherstellungsumgebung (IRE). Wie beim restlichen Wiederherstellungsprozess muss jedoch ein Gleichgewicht zwischen Geschwindigkeit und Sicherheit gefunden werden. Hier kommen die Funktionen zur automatischen Betriebssystembereitstellung ins Spiel.

Verwandte Lektüre

Den Schmerz aus dem Prozess nehmen

Die Zeiten sind längst vorbei, in denen sich die Sorgen über AD-Ausfälle auf Ereignisse wie Naturkatastrophen und elektrische Probleme im Rechenzentrum konzentrierten. Heutzutage sind Unternehmen mit verschiedenen Szenarien konfrontiert, in denen es notwendig sein kann, einen ganzen Forest wiederherzustellen. Es könnte sein, dass ein Bedrohungsakteur bösartige Änderungen am Active Directory-Schema vorgenommen hat. Vielleicht wurden alle Domänencontroller (DCs) beschädigt, so dass die Dienste nicht mehr verfügbar sind. Unabhängig von der Ursache ist die Folge dieser Ereignisse eine Ausfallzeit, die sich von Stunden auf Tage ausdehnen kann. Je länger die Ausfallzeit, desto größer der Schaden für den Geschäftsbetrieb.

Diejenigen, die den Wiederherstellungsprozess bereits durchlaufen haben, wissen nur zu gut, dass er weitgehend manuell und mühsam sein kann. Bei großen Umgebungen kann es mehrere Tage dauern, bis die volle Funktionalität wiederhergestellt ist, ohne die Hilfe von Drittanbieter-Tools. Automatisierung ist Ihr Freund; die Wiederherstellung von AD ohne sie ist wie eine rekonstruktive Operation ohne chirurgische Werkzeuge.

Nach einem Cyberangriff oder bei einem laufenden Angriff muss ein Unternehmen, das einen kompletten AD Forest wiederherstellen will, ein IRE einrichten und die Bereitstellung des Betriebssystems auf virtuellen Maschinen übernehmen. Das IRE ermöglicht es Unternehmen, den Wiederherstellungsprozess in einer Umgebung zu beginnen, die für Angreifer unzugänglich ist. Dies ist von entscheidender Bedeutung: Häufig leben Angreifer wochenlang im Verborgenen in einer Produktionsumgebung, bevor sie zuschlagen. Wenn sie feststellen, dass sie entdeckt wurden, können sie Maßnahmen ergreifen, die die Wiederherstellung erschweren könnten. IREs ermöglichen es dem Incident Response Team, AD-Änderungen zu testen, ohne befürchten zu müssen, dass die Backups infiziert werden und dadurch erneut Malware in die Produktionsumgebung gelangen könnte.

Die Reproduktion einer Produktionsumgebung kann eine zeitraubende Aufgabe sein, und eine effektive Bereitstellung ist ein Muss. Bei Semperis haben wir ein eigenständiges UI- und PowerShell-basiertes Tool entwickelt, um virtuelle Maschinen für die vollständige Wiederherstellung eines Forest vorzubereiten. Wir haben dieses Tool, das derzeit nur Hyper-V unterstützt, in unsere Active Directory Forest Recovery (ADFR) Lösung hinzugefügt. Es bietet mehrere Funktionen, darunter:

  • Volle Unabhängigkeit für das AD-Team
  • Die Möglichkeit, eine neue VM zu erstellen, die für einen neuen DC (neu promotet), einen sekundären ADFR MS und einen neuen DP verwendet werden kann
  • Eine Ansicht der Backup-Metadaten, wie z.B. eine Liste der im Backup-Set enthaltenen DCs und der Status jedes DCs zum Zeitpunkt des Backups
  • Bereitstellungskonfiguration, bei der Sie eine Vorlage pro Windows-Betriebssystem auswählen und die Standard-Hardware- und Netzwerkeinstellungen festlegen können, die auf die DCs in der Sicherung angewendet werden sollen
  • Ermöglicht es Ihnen, die Einstellungen für einzelne DCs zu bearbeiten (und die Standardeinstellungen zu überschreiben), bevor Sie das Betriebssystem eines Computers bereitstellen
  • Automatische Installation des Agenten ADFR

Semperis ADFR gibt Benutzern die Möglichkeit, AD auf jeder Hardware vor Ort oder in der Cloud wiederherzustellen. Es vereinfacht auch den Prozess der Erstellung einer Kopie der Produktions-DCs in einem virtuellen Labor, wodurch der Zeitaufwand für die Wartung von Entwicklungs-/Test-, Staging-, Schulungs- und Support-Umgebungen erheblich reduziert wird. Zur weiteren Unterstützung der Sicherheit können Unternehmen mit den forensischen Funktionen von ADFRnach der Wiederherstellung feststellen, ob ein Angriff im Gange war, als ein Umgebungs-Backup erstellt wurde, und alle Änderungen identifizieren, die von Bedrohungsakteuren während eines bestimmten Angriffsfensters vorgenommen wurden.

Es ist einer der wichtigsten Aspekte der AD-Wiederherstellung, Angreifer daran zu hindern, die Persistenz aufrechtzuerhalten. IREs bieten sichere, abgeschottete Orte, an denen AD-Änderungen getestet werden können, ohne das Risiko einzugehen, die Organisation weiter zu gefährden. Da die Uhr tickt, wird der Druck groß sein, AD schnell und sicher wieder online zu bringen, und die Beseitigung eines Teils der Zeit, die für die Einrichtung eines IRE mit automatischer Betriebssystembereitstellung benötigt wird, wird bei diesen Bemühungen helfen.

Hier ist eine kurze Demo, die Ihnen die kommenden Verbesserungen von ADFR OS Provisioning zeigt:

Haben Sie Fragen oder Anregungen? Wir würden uns freuen, von Ihnen zu hören. Kontaktieren Sie uns unter customersuccess@semperis.com.