[Aktualisiert am 21. Februar 2024; ursprünglich veröffentlicht am 14. Dezember 2017] Active Directory ist für die meisten Unternehmen das wichtigste Identitätssystem. Das Problem ist, dass sich in den mehr als zwei Jahrzehnten seit der Veröffentlichung von Active Directory die Sicherheitslandschaft in Unternehmen drastisch verändert hat. Dies hat viele Unternehmen anfällig für Angriffe auf Active Directory gemacht.
Doch nur wenige Unternehmen haben ihre Active Directory-Umgebung so angepasst, dass sie besser vor potenziellen Cyberangriffen geschützt sind. Delegationen werden willkürlich gehandhabt. Die Standardberechtigungen für Objekte sind in der Regel für die Erkennung und nicht für die Sicherheit optimiert. Und in ausreichend großen Umgebungen kann es eine Herausforderung sein, genau zu bestimmen, wie ein bösartiger Akteur daran gehindert werden kann, Active Directory anzugreifen.
Außerdem sind die Cyber-Bedrohungen immer raffinierter geworden. Ihr Ziel ist es nicht mehr, einzelne Systeme zu kompromittieren. Jetzt geht es den Angreifern darum, die schnellsten Wege zu Ihren Tier 0-Ressourcen zu finden - einschließlich des Identitätssystems. Was können Sie tun, um ein so wichtiges Gut zu schützen?
Gemeinsame Schwachstellen
Die Verwaltung des privilegierten Zugriffs in Active Directory ist schon seit geraumer Zeit ein offensichtliches Problem. Vor 23 Jahren mag es eine gute Idee gewesen sein, Active Directory mit Lesezugriff für alle authentifizierten Benutzer einzurichten, aber heute ist das eine Einladung zu einem Cyberangriff.
Viele Unternehmen haben sich bei der Umsetzung strenger Richtlinien für Domain-Administratoren verbessert. Aber die nächste Stufe von Benutzern ist für Angreifer noch interessanter.
Diese Benutzergruppe hat auch Zugriff auf sensible Informationen. Die meisten Mitgliedschaften in privilegierten Gruppen sind für authentifizierte Benutzer lesbar, so dass ihre Mitglieder für Angreifer leicht zu entdecken sind. Wenn sich ein Angreifer Zugang zu einem privilegierten Konto verschafft und im Active Directory herumstöbert, kann er nützliche Informationen über den Inhalt des AD aus der Perspektive des privilegierten Zugriffs erfahren.
Mit diesem Zugriff auf privilegierte Konten können Angreifer dann eine Blaupause dieser Active Directory-Umgebung erstellen. Aus diesem Grund ist die Verwaltung privilegierter Zugriffe ein entscheidender Bestandteil des Schutzes vor Active Directory-Angriffen.
Eine weitere Schwachstelle besteht darin, dass nicht-administrativen Benutzern Rechte für privilegierte Aktionen gewährt werden können. Denken Sie nach: Wer hat die Rechte zum Zurücksetzen von Kennwörtern für Ihre Administratorkonten? Ist es der Domänenadministrator oder eine andere Benutzergruppe?
Angreifer können sich Zugriffskontrolllisten (ACLs) ansehen, um herauszufinden, wer Zugriff auf welche Objekte hat, und diese Informationen nutzen, um Active Directory zu kompromittieren. Wenn ein Helpdesk-Mitarbeiter die Passwörter Ihrer privilegiertesten Benutzer zurücksetzen kann und ein Angreifer Zugriff auf das Konto dieses Helpdesk-Mitarbeiters erhält, öffnen Sie sich für eine Ausweitung der Domänenprivilegien durch den Angreifer.
5 gängige Angriffsmethoden für Active Directory
1. Kompromittierung von Zugangsdaten
Die meisten Angreifer verschaffen sich über gestohlene Zugangsdaten Zugang zu Active Directory. Es gibt eine Vielzahl von Methoden, um ein Active Directory-Passwort zu kompromittieren.
Der Diebstahl von Anmeldeinformationen ist eine gängige Methode, um Seitwärtsbewegungen zu erleichtern. Ein "Pass the Hash"-Angriff ist beispielsweise eine Windows-spezifische Variante des Diebstahls von Zugangsdaten, bei der ein Angreifer Zugang zu einem Server oder Dienst erhält, indem er den Hash des Kennworts eines Benutzers anstelle des Klartextkennworts verwendet. Bei dieser Methode wird der Hash des LAN-Managers (LM) oder der Kerberos-Schlüssel eines Benutzers aus dem LSASS-Speicher eines Windows-Systems gestohlen.
2. Mimikatz
Mimikatz, beschrieben als "ein kleines Tool, um mit der Windows-Sicherheit zu spielen", ist wahrscheinlich das vielseitigste und am weitesten verbreitete Tool zur Ausnutzung von Active Directory. Es bietet eine Vielzahl von Methoden, um LM-Hashes, Kerberos-Tickets und so weiter abzugreifen.
3. PowerSploit/PowerView
PowerSploit/PowerView ist ein PowerShell-basiertes Toolkit für Aufklärung, Exfiltration, Persistenz und so weiter.
4. BloodHound
BloodHound ist ein grafisches Tool zum Auffinden von Beziehungen in Active Directory-Umgebungen, die den Weg zu privilegiertem Zugriff beschleunigen.
5. ADFind
ADFind ist ein einfaches Befehlszeilentool zum Durchsuchen von Active Directory und hat sich als AD-Auskundschaftungstool sehr beliebt gemacht.
Maßnahmen zum Schutz von Active Directory
Die gute Nachricht ist, dass Sie trotz des Missbrauchspotenzials viel tun können, um es Angreifern zu erschweren, sich in Active Directory zu bewegen.
- Reduzieren Sie die Offenlegung von Informationen durch privilegierte AD-Benutzer und -Gruppen, GPOs und so weiter. Nutzen Sie ressourcenbasierte eingeschränkte Delegation und integrierte Technologien wie Credential Guard und Remote Credential Guard in Win11 Pro & Enterprise.
- Überwachen, überwachen, überwachen Sie Ihre IT-Umgebung mit einem Active Directory-Überwachungstool. (Dieses großartige Whitepaper dokumentiert seitliche bewegungsbezogene Ereignis-IDs, die für die Überwachung nützlich sein können).
- Schützen Sie privilegierte Gruppen. Zum Beispiel sollte das Mitgliedsattribut nicht für die ganze Welt lesbar sein; nur Verbraucher dieser Gruppe müssen darauf zugreifen können. Die Delegation der vollständigen Kontrolle oder des Schreibens des Gruppenattributs sollte auf andere privilegierte Benutzer der gleichen oder einer höheren Berechtigungsstufe beschränkt sein.
- Schränken Sie privilegierte Benutzer ein. Berechtigungen zum Zurücksetzen des Passworts, zum Übernehmen des Besitzes oder zur vollen Kontrolle sollten für andere Benutzer der gleichen Berechtigungsstufe streng kontrolliert werden.
- Schützen Sie GPOs , die privilegierten Zugriff gewähren. Diese GPOs sollten nicht für die ganze Welt lesbar sein. GPOs, die Sicherheitseinstellungen enthalten, sollten auf Reads beschränkt werden.
- Ziehen Sie in Erwägung, die Zugangsdaten mit Hilfe des Tiered Admin Model einzuschränken, das in Microsofts Pass-the-Hash-Whitepaper oder der neueren Privileged Access Strategy vorgestellt wird.
Tools zur Bekämpfung von Bedrohungen, die Active Directory angreifen
Wenn Sie diese Präventivmaßnahmen ergreifen, wird es für Angreifer schwieriger, Active Directory zu kompromittieren. Aber wenn sich ein Angreifer erst einmal in Ihrer Umgebung versteckt hat, gibt es keine Möglichkeit, ihn daran zu hindern, Active Directory anzugreifen und Ihre Umgebung auszulöschen.
Deshalb ist die Implementierung einer Notfallwiederherstellungslösung für Active Directory der wichtigste Schritt, den Sie zum Schutz Ihrer Identitätsinfrastruktur unternehmen können.
- Semperis Purple Knight und Forest Druid sind kostenlose Community-Tools, die eine Bewertung der Sicherheitslage und eine Analyse der Angriffspfade für Active Directory, Entra ID und Okta bieten.
- Semperis Directory Services Protector verschafft Ihnen einen Überblick über die Sicherheitslage in Ihrem Active Directory und hilft Ihnen, Active Directory zu schützen, bevor ein Angreifer eindringen kann. Dieses Tool überwacht auch alle Änderungen in Ihrem AD, so dass Sie verdächtige Aktivitäten schneller erkennen können.
- Die vollautomatische Lösung von Semperis Active Directory Forest Recovery Lösung von Semperis macht die Wiederherstellung nach einem AD-Angriff so einfach wie drei Mausklicks und verkürzt die Zeit bis zur Wiederherstellung von Wochen auf Stunden.
Bei all den neuen Techniken, die es für Angriffe auf Active Directory gibt, ist AD-Sicherheit von größter Bedeutung. Die Modernisierung Ihrer Identitätsinfrastruktur kann ebenfalls helfen. Stellen Sie sich dennoch auf einen "angenommenen Einbruch" ein, bereiten Sie Ihren AD-Wiederherstellungsplan vor und halten Sie einen zuverlässigen Ansprechpartner für Vorfälle auf Kurzwahl.