Die Aufrechterhaltung der Geschäftskontinuität während und nach einem Cyberangriff ist zu einem der wichtigsten strategischen Ziele geworden, nicht nur für die Cybersicherheit von Unternehmen, sondern auch für die IT- und Unternehmensführung. Eine effektive Identity Threat Detection & Response (ITDR), einschließlich eines dokumentierten Active Directory-Backup- und Wiederherstellungsplans, ist für eine starke betriebliche Widerstandsfähigkeit entscheidend.
Die Identitätsinfrastruktur - in den meisten Unternehmen Active Directory, oft in Kombination mit Entra ID, Okta oder einem anderen Cloud-basierten Verzeichnisdienst - spielt eine grundlegende Rolle bei Zugriff und Authentifizierung. Kurz gesagt: Wenn Active Directory ausfällt, ist auch Ihr Unternehmen betroffen. Erfahren Sie, warum ein Backup- und Wiederherstellungsplan für Active Directory sowohl für die Cyber- als auch für die Geschäftssicherheit unerlässlich ist und wie Sie das Beste aus Ihrem Active Directory-Backup herausholen können.
Sehen Sie die Auswirkungen einer effektiven Lösung zur Sicherung und Wiederherstellung von Active Directory
Warum brauchen Sie eine Active Directory-Sicherung?
Mehr als zwei Jahrzehnte nach seiner Einführung ist Active Directory nach wie vor ein wesentlicher Bestandteil der IT-Infrastruktur von Unternehmen. Eine Active Directory-Implementierung besteht aus:
- Domänen: Eine Sammlung von Objekten, die Ressourcen wie Benutzer und Geräte im Netzwerk darstellen
- Bäume: Eine Reihe von Domänen, die durch Vertrauensbeziehungen verbunden sind
- Wälder: Eine Gruppe von Bäumen
- Domänencontroller: Ein Server, auf dem die Active Directory Domain Services (AD DS) laufen, die Informationen über Objekte wie Namen und Passwörter speichern und autorisierten Benutzern den Zugriff auf diese Informationen ermöglichen.
Wenn Active Directory kompromittiert wird, müssen Unternehmen es schnell wiederherstellen. Angesichts der Anzahl der Anwendungen, die in einem typischen Unternehmen mit AD integriert sind, kann die Unfähigkeit, Active Directory wiederherzustellen, katastrophale Folgen haben. Ausfallzeiten kosten Geld und schaden dem Ruf.
In den vergangenen Jahren waren die Hauptbedrohungen für Active Directory Naturkatastrophen und Bedienungsfehler. Heute jedoch müssen sich Unternehmen mit einer Bedrohungslandschaft auseinandersetzen, die Ransomware-Banden und andere Angreifer umfasst, die es auf Active Directory abgesehen haben:
- Privilegien eskalieren
- Ausdauer beibehalten
- Daten zu stehlen oder zu kompromittieren
Eine schnelle Wiederherstellung nach einem Cyberangriff hängt von einem Active Directory-Backup ohne Malware ab. Vielen Unternehmen fehlt jedoch ein spezieller Plan für die Sicherung und Wiederherstellung von AD, unabhängig von ihren anderen Systemen.
Herausforderungen bei der Sicherung von Active Directory
Microsoft APIs unterstützen zwei Arten von Backups:
- Ein Systemstatus-Backup kopiert die Betriebssystemdateien und alle Rollen, die auf dem Server installiert sind.
- Eine Bare Metal Recovery (BMR) umfasst eine Wiederherstellung des Systemzustands und alle anderen an den Server angeschlossenen Volumes.
Ein Systemstatus- oder BMR-Backup von Active Directory muss auf derselben Hardwarekonfiguration installiert werden, auf der der Dienst vor dem Cyber-Ereignis lief. Beide Backup-Typen enthalten eine wesentliche Betriebssystemkomponente, die als Hardware-Abstraktionsschicht (HAL) bekannt ist. Die HAL ist die Schnittstelle zwischen dem Betriebssystem und den speziellen Hardwaretreibern, die für die Arbeit mit der spezifischen Hardwareplattform des Servers erforderlich sind.
So schlägt beispielsweise der Versuch fehl, ein Systemstatus-Backup einer virtuellen VMware-Maschine auf einer virtuellen Hyper-V-Maschine wiederherzustellen. Die wiederhergestellten VMware-Treiber funktionieren nicht in einer Hyper-V Hypervisor-Infrastruktur.
Unternehmen können außerdem zwischen inkrementellen und vollständigen Backups wählen. Bei inkrementellen Backups werden nur die Änderungen gesichert, die seit dem letzten vollständigen Backup vorgenommen wurden.
Dieser Ansatz hat den Vorteil, dass er weniger Speicherplatz benötigt, da er sich nur auf die Änderungen konzentriert, die an den Objekten vorgenommen wurden. Allerdings können inkrementelle Backups bei der Wiederherstellung mehr Arbeit bedeuten. Wir empfehlen daher, dass Unternehmen immer vollständige Active Directory-Backups durchführen.
Die größte Einzeldatei in einem Active Directory-Backup ist die Datenbankdatei NTDS.DIT, die bei jedem Backup als geändert markiert wird. Die Verwendung inkrementeller Backups verlangsamt die Wiederherstellung, da Sie jedes inkrementelle Backup mounten müssen, anstatt nur das letzte Backup zu mounten. Wenn inkrementelle Backups verloren gehen, sind auch die Änderungen verloren.
Nehmen wir zum Beispiel an, Sie müssen Active Directory am Donnerstag wiederherstellen. Wenn Sie sonntags vollständige Backups und jeden zweiten Tag inkrementelle Backups durchführen, müssen Sie eine vollständige Wiederherstellung der Umgebung am Sonntag durchführen und dann jedes inkrementelle Backup mounten.
Viele Unternehmen wählen den einfachsten Weg: die Verwendung von Windows Server Backup. Nach der Installation kann es so konfiguriert werden, dass es nach einem von Ihnen festgelegten Zeitplan automatisch Sicherungen durchführt. Einige Produkte von Drittanbietern verfügen ebenfalls über eine Zeitplanungsfunktion. Bei diesem Ansatz wird jedoch das Active Directory als Teil der Serversicherung gesichert.
Bewährte Verfahren zur Sicherung von Active Directory
Die Fähigkeit, Active Directory wiederherzustellen, beginnt mit der Befolgung von Best Practices für Active Directory-Backups. Hier sind einige Tipps für die Durchführung des Prozesses.
Bewährte Methode Nr. 1: Entkoppeln Sie Ihr Active Directory-Backup von Betriebssystem- und Datensicherungen
Wenn Ihre Domänencontroller-Backups den Systemstatus enthalten, stehen die Chancen sehr gut, dass diese Backups Malware enthalten, denn die Lebensdauer von AD-Backups ist kurz und die Verweildauer von Malware ist lang. Dies ist auch ein mögliches Problem bei BMR-Backups, die Boot- oder Betriebssystemdateien enthalten.
Datensicherungslösungen können die Dateien und Daten auf Ihren Domänencontrollern sichern. Die erfolgreiche Wiederherstellung einer Active Directory-Gesamtstruktur erfordert jedoch viel mehr als das.
Bewährte Praxis #2: Sichern Sie mindestens zwei Domänencontroller pro Domäne
Das Sichern von zwei Domänencontrollern pro Domäne in Ihrer Active Directory-Gesamtstruktur bietet Redundanz. Speichern Sie Active Directory-Backups sicher und offline, oder kopieren Sie Backup-Images auf Azure- oder AWS-Blob-Storage.
Best Practice #3: Verwenden Sie keine Checkpoints, um Active Directory auf einer virtuellen Maschine zu sichern
Es spricht nichts dagegen, Active Directory auf virtuellen Maschinen in einer VMware- oder Hyper-V-Umgebung einzusetzen. Vermeiden Sie jedoch die Versuchung , sich bei der Wiederherstellung von Active Directory auf Snapshots des Domänencontrollers zu verlassen , und zwar aus mehreren Gründen:
- Ein Forest, der aus Snapshots wiederhergestellt wurde, wird wahrscheinlich Probleme mit der Datenkonsistenz verursachen.
- Wenn zum Zeitpunkt der Erstellung des Snapshots Malware auf einem Domänencontroller vorhanden ist, wird die Malware zusammen mit dem Domänencontroller wiederhergestellt. (Dies gilt für jedes Backup.)
Bewährte Praxis #4: Sichern Sie Active Directory regelmäßig
Wie oft sollten Sie ein Backup von Active Directory erstellen? Die Antwort hängt vom Wiederherstellungsziel (Recovery Point Objective, RPO) Ihres Unternehmens ab. Ihr RPO ist die Zeitspanne, die vergehen kann, bevor das Unternehmen eine inakzeptable Menge an Informationen verloren hat.
Nehmen wir zum Beispiel an, Ihr RPO beträgt 30 Tage. In diesem Fall sollten Ihre Sicherungsdaten nie älter als 30 Tage sein. Die meisten Unternehmen erstellen alle 24 Stunden ein Active Directory-Backup.
Bewährte Praxis #5: Testen Sie Ihr Active Directory-Backup
Überlassen Sie die Wiederherstellung von Active Directory nicht dem Zufall. Stellen Sie sicher, dass Ihr Notfallwiederherstellungsplan regelmäßige Tests Ihres AD-Backup- und Wiederherstellungsprozesses umfasst. (Dies ist besonders wichtig, wenn Sie planen, AD manuell wiederherzustellen, was ein komplizierter, zeitaufwändiger Prozess ist).
Wie Semperis helfen kann, AD-Backups zu sichern
Die ITDR-Experten von Semperis haben Active Directory Forest Recovery ( ADFR) entwickelt, um schnelle, malwarefreie Active Directory-Backups und -Wiederherstellungen zu ermöglichen. ADFR nutzt ein patentiertes Verfahren, um Ihre Active Directory-Struktur zu sichern und gleichzeitig die Gefahr einer erneuten Malware-Infektion zu beseitigen. Die Analysten von Forrester berichten, dass ADFR die Backup- und Wiederherstellungszeiten um 90% verkürzt.
Die Zeitersparnis bei der Sicherung und Wiederherstellung von Active Directory und die Eliminierung der Persistenz von Malware kann einem Unternehmen fast 4 Millionen Dollar an angriffsbedingten Arbeits- und Umsatzverlusten ersparen. Und für hybride Identitätsumgebungen, die sowohl Active Directory als auch Entra ID verwalten, bietet Semperis Disaster Recovery für Entra ID. DRET sichert die Zugriffsrichtlinien von Entra ID sowie Benutzer-, Gruppen- und Rollenobjekte auf einem nach SOC 2 (Typ II) zertifizierten, sicheren, verwalteten Speicher und ermöglicht so eine schnellere Wiederherstellung einer hybriden Active Directory-Umgebung.