Letzten Monat konnte ich mich mit meinem langjährigen Freund Guido Grillenmeier treffen, der derzeit Chief Technologist bei DXC Technology ist. In den Jahren 2007-2008 arbeiteten Guido und ich zusammen an der Entwicklung und Durchführung der "Active Directory Masters of Disaster" Disaster Recovery Workshops auf der Directory Experts Conference. Damals war dies der einzige Ort, an dem IT-Profis praktische Erfahrungen mit der Wiederherstellung eines kompletten Active Directory Forest aus einem Backup sammeln konnten. Guido und ich sprachen darüber, wie moderne Ransomware das Risiko eines Totalausfalls von Active Directory drastisch erhöht hat. Doch der eigentliche Prozess der Wiederherstellung von Active Directory hat sich in 15 Jahren überhaupt nicht verändert.
Damals konzentrierten sich die Diskussionen über die Wiederherstellung von Active Directory (AD) auf die Möglichkeit von Ausfällen, die durch lokal begrenzte Ereignisse verursacht wurden. Die häufigsten Schuldigen in diesen Diskussionen waren Brände, Wirbelstürme und elektrische Probleme im Rechenzentrum. Schlimmstenfalls war es ein fehlgeschlagenes Schema-Update, das die Domänencontroller beschädigte, was aber nur selten vorkam.
Heute hat sich die Bedrohungslandschaft jedoch verändert. Die Verbreitung von Ransomware bedeutet, dass Unternehmen sich mit der realen Möglichkeit auseinandersetzen müssen, dass ein Bedrohungsakteur ihre gesamte IT-Umgebung lahmlegt - alles, einschließlich AD. Die Vorstellung, Active Directory von Grund auf wiederherstellen zu müssen, ist nicht mehr nur theoretisch. Sie muss jetzt ein entscheidender Teil der Planung für die Reaktion auf einen Vorfall sein.
Verwandte Lektüre
Do - Entwickeln Sie einen detaillierten AD-Wiederherstellungsplan
Bei der Wiederherstellungsplanung müssen Unternehmen heute auf Unterbrechungen vorbereitet sein, die durch eine Vielzahl von Szenarien verursacht werden: versehentliches Löschen von AD-Objekten, defekte Domänencontroller, versehentliche Änderung von AD-Attributen und die Wiederherstellung einer Partition oder eines ganzen Forests.
Die Wiederherstellung aus den ersten beiden Szenarien ist relativ einfach. Beispielsweise bietet die Aktivierung der Papierkorbfunktion eine praktische Möglichkeit, versehentlich gelöschte Objekte wiederherzustellen. Die versehentliche Änderung von Attributen lässt sich beheben, indem Sie die Backups identifizieren und nutzen, die die Informationen enthalten, die zur Wiederherstellung der Attribute erforderlich sind. Tools von Drittanbietern können es Benutzern auch ermöglichen, alle Änderungen rückgängig zu machen.
Die schwierigsten Szenarien betreffen die Wiederherstellung einer Partition oder eines Forest. Der Umgang mit dieser Situation erfordert eine detaillierte Planung, die bis zu der Frage reicht, welche einzelnen Befehle auf welchem Rechner ausgeführt werden sollen. Aufgrund der Komplexität des gesamten Prozesses ist eine solche Detailplanung notwendig. Nach einem Angriff ist die Anspannung groß und je weniger spontane Überlegungen angestellt werden müssen, desto besser.
Die Umsetzung von Wiederherstellungsplänen kann in fünf Phasen unterteilt werden:
- Vor der Erholungsphase
- Ursprünglicher Wald
- Aufräumen und Überprüfen
- Skalieren Sie
- Einpacken
In der Phase vor der Wiederherstellung stellen Sie das Wiederherstellungsteam zusammen, implementieren den Kommunikationsplan des Unternehmens, beginnen mit der Zusammenarbeit mit den anderen Teams, mit denen Sie zusammenarbeiten müssen, und überprüfen die Backups, die Sie zur Wiederherstellung verwenden werden, und stellen insbesondere sicher, dass die Backups selbst nicht infiziert sind. Die Phase vor der Wiederherstellung endet mit dem Herunterfahren aller Domänencontroller in der Umgebung.
Die nächste Phase der Wiederherstellung besteht darin, den ursprünglichen Forest aus dem Backup aufzubauen. Dies beinhaltet:
- Wiederherstellung des ersten Domänencontrollers (DC) in der Domäne aus dem Backup.
- Entfernen der Partition des Globalen Katalogs
- Anpassen des RID-Pools
- Die Rollen der FSMO übernehmen
- Bereinigung der Metadaten - Verweise auf Domänencontroller, die nicht mehr existieren
- Anmeldeinformationen und Vertrauensinformationen zurücksetzen
- Wiederholen Sie diese Schritte für die anderen Domänen in der Gesamtstruktur
- Diese Phase endet, wenn Sie die Partition des globalen Katalogs auf den entsprechenden DCs neu erstellt haben und die Replikation, Authentifizierung und Gruppenrichtlinien im gesamten Forest ordnungsgemäß funktionieren.
Sobald genügend DCs vorhanden sind, können die anderen Recovery-Teams damit beginnen, Anwendungen wieder online zu bringen.
Damit ein AD-Wiederherstellungsplan effektiv ist, müssen Unternehmen die Abhängigkeiten der verschiedenen Systeme und Dienste verstehen, die AD in ihrer Umgebung nutzen. Die Kenntnis dieser Informationen ist entscheidend für die Festlegung der Reihenfolge, in der die Wiederherstellung der verschiedenen Anwendungen erfolgen soll. Jeder Computer oder jede Anwendung, die mit einer AD-Domäne verbunden ist, muss während dieses Prozesses berücksichtigt werden. Jeder Fehler kann zum Ausfall von Diensten führen und das Tempo der Wiederherstellung verlangsamen.
Wie jeder andere Plan zur Reaktion auf Vorfälle muss auch dieser regelmäßig geübt werden. IT-Verantwortliche sollten eine Testumgebung auf virtuellen Hosts einrichten und versuchen, AD-Wälder aus Backups wiederherzustellen. Wenn Sie sich mit dem Wiederherstellungsplan vertraut machen, steigen die Chancen, dass die Implementierung im Falle eines tatsächlichen Vorfalls reibungsloser verläuft.
Vergessen Sie nicht, sich um die Grundlagen zu kümmern
Angriffe zu stoppen ist viel besser, als sich von ihnen zu erholen, nachdem Ihre Umgebung angegriffen wurde. Durch die Anwendung bewährter Sicherheitsverfahren wird es für Malware schwieriger, anfällige Systeme auszunutzen und auf einen anderen Rechner zu gelangen. Zu diesen Praktiken gehört vor allem eine gute Patch-Verwaltung. Wenn Sie mit dem Patchen in Verzug geraten, untergräbt das selbst die ausgefeilteste Sicherheitsplanung. Viele Ransomware-Varianten nutzen Schwachstellen aus, um sich ihren Weg durch das Unternehmen zu bahnen. Im Kampf gegen Ransomware ist es ein Muss, die Systeme mit Sicherheits-Patches auf dem neuesten Stand zu halten. Als Unternehmen im Mai 2017 WannaCry entdeckten, stellten sie fest, dass dieser Virus eine Schwachstelle ausnutzte, die Microsoft bereits früher im Jahr gepatcht hatte. Unternehmen, die Patches nur langsam einspielen oder nicht unterstützte Systeme verwenden, riskieren, Angreifern Tür und Tor zu öffnen. Wenn sie erst einmal drin sind, wird das AD mit ziemlicher Sicherheit zum Ziel.
Der nächste Punkt auf der Liste der besten Praktiken sollte die Anwendung des Prinzips der geringsten Privilegien sein. Wenn Sie Benutzern auf ihren Geräten Administratorrechte geben, überwinden kriminelle Hacker eine entscheidende Hürde. Die Ausweitung der Privilegien ist ein entscheidender Schritt, um die Position der Angreifer in der kompromittierten Umgebung zu stärken und AD zu einem attraktiven Ziel zu machen. Die Befolgung von Best Practices für den Schutz von AD, wie z.B. kontinuierliche Überwachung, Implementierung eines administrativen Ebenenmodells und Betrieb von AD DCs als Serverkern, reduziert die Angriffsfläche und senkt das Risiko.
Do-Keep einige Ihrer Backups offline
Wenn ein Ransomware-Angriff erfolgreich ist, ist jedes System, das mit dem Netzwerk verbunden ist, anfällig für eine Verschlüsselung. Im Falle des Angriffs auf Maersk konnte das Unternehmen Berichten zufolge sein AD im Wesentlichen durch Glück wiederherstellen - ein Stromausfall hatte zum Zeitpunkt des Angriffs einen Domänencontroller offline genommen, so dass dem Unternehmen nur ein einziger Domänencontroller zur Verfügung stand, von dem es sich erholen konnte. Es dauerte etwa zwei Wochen, bis das Unternehmen den meisten Mitarbeitern wieder Personalcomputer zur Verfügung stellen konnte.
Wenn Backups auf einem Server gespeichert werden, der nicht mit der Domäne verbunden ist, bietet dies einen sicheren Ausgangspunkt für die Wiederherstellung von AD. Unternehmen sollten einen Teil ihres Storage Area Network (SAN) abtrennen und ihre Sicherungen dort sicher offline kopieren. Eine andere Strategie ist die Verwendung von Tools von Drittanbietern, um Backup-Images auf Azure oder AWS Blob Storage zu kopieren. Wenn Sie die Backups offline halten, haben Sie kein Glück, denn Sie stellen sicher, dass eine unversehrte Kopie von Active Directory vorhanden ist, die dem Unternehmen hilft, die Wiederherstellungszeit zu verkürzen.
Gehen Sie nicht davon aus, dass eine Cyberversicherung Sie retten wird
Zeit ist schließlich Geld, und jeder Moment, in dem das Unternehmen ausfällt, hat seinen Preis. Die Kosten für verpasste Kundenchancen und die Behebung von Vorfällen werden nicht geringer, so dass eine Cyberversicherung für Unternehmen ein Muss ist. Doch während die Kosten für Cyberversicherungsprämien steigen, besteht die Möglichkeit, dass Versicherungsgesellschaften Verluste nicht abdecken. So hat beispielsweise Mondelez International die Zurich Insurance verklagt, nachdem diese sich geweigert hatte, eine von Mondelez eingereichte Forderung in Höhe von 100 Millionen Dollar zu bezahlen, nachdem das Unternehmen mit NotPetya infiziert worden war. Zurich begründete die Entscheidung mit einer „Kriegsausschlussklausel“ und der Behauptung, der Angriff sei das Ergebnis eines Cyberkriegs.
Vergewissern Sie sich, dass die Geschäftsleitung sich nicht auf die Aussicht auf eine Versicherungspolice verlässt, die sie rettet. Cyberversicherungspolicen bieten zwar einen gewissen finanziellen Schutz, aber wirklichen Schutz bieten nur solide Sicherheitspraktiken und eine gute Planung.
Aber warten Sie, es gibt noch mehr
Guido und mir hat diese Diskussion so gut gefallen, dass wir beschlossen haben, ein Webinar zusammenzustellen, in dem diese und viele andere Dos und Don'ts der Active Directory Disaster Recovery im Detail behandelt werden. Sie können es hier finden. Sehen Sie es sich an und sagen Sie mir, was Sie davon halten.
Die Zeiten haben sich geändert. Auch die Ansätze von Unternehmen zur Wiederherstellung von AD müssen sich ändern.