:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit im Netzwerk Best Practices für die Absicherung von Active Directory
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Active Directory steht oft im Fokus von Hackern oder von Malware. Daher sollten sich Admins vorbereiten und das Active Directory möglichst zuverlässig vor Angriffen schützen. Wir zeigen in diesem Beitrag verschiedene Möglichkeiten.
Die Absicherung und Härtung von Active Directory ist ein elementarer Bestandteil zum sicheren Betreiben von Netzwerken. Denn in vielen Fällen fokussieren sich Angreifer und Malware vor allem auf das Active Directory, weil hier die Chancen groß sind, an Berechtigungen im Netzwerk zu kommen. Sobald Anmeldedaten vorliegen, können sich Hacker einfach anmelden und Malware kann Berechtigungen ausbauen, um Ressourcen im Netzwerk zu übernehmen.
Ein großer Teil der Hackerangriffe nutzt ungeschützte Benutzerkonten aus, um sich anzumelden. Hacker hacken daher meistens nicht, sie melden sich einfach an. Nach der erfolgreichen Anmeldung an Active Directory versuchen die Angreifer an Benutzerkonten mit höheren Rechten zu gelangen. Sobald das funktioniert, können sie in der Berechtigungshierarchie immer weiter nach oben gelangen, bis sie schlussendlich Admin-Rechte haben und damit umfassenden Zugriff auf das Active Directory.
:quality(80)/p7i.vogel.de/wcms/15/85/1585bceb29914f174cbbb48f8b1312af/0108005735.jpeg "Privileged Access Management in Active Directory aktivieren.")
:quality(80)/p7i.vogel.de/wcms/67/e7/67e770873ee9d092501f2e4ddaa00295/0108005734.jpeg "Festlegen des Zeitraums für das Definieren von PAM in Active Directory.")
:quality(80)/p7i.vogel.de/wcms/14/e1/14e1cca0694a2a043ebeaac49ca3a130/0108005746.jpeg "Berechtigungen in Active Directory mit AD Permissions Reporter auslesen.")
:quality(80)/p7i.vogel.de/wcms/90/55/9055240b5dc70c0b227cfae9a9e649a3/0108005744.jpeg "PingCastle deckt Sicherheitslücken in Active Directory auf.")
Anmeldeinformationen stehen im Fokus von Angreifern
Laut dem Verizon Data Breach Incident Report [PDF] sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen. Tools wie LaZagne, BloodHound und Mimikatz zeigen sehr schnell die Lücken im Sicherheitsnetzwerk. Den Angaben der Identity Defined Security Alliance zufolge haben 79 Prozent der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten erlebt.
Die bekannte Hackerin Alissa Knight sagt dazu: „Sobald ich in einem Netzwerk eine Lücke gefunden habe, mache ich mich zunächst auf die Suche nach Domänenadministrator-Rechten, indem ich Anmeldeinformationen aus dem Speicher der Systeme auslese. Ich suche so lange, bis ich solche Rechte in einem Netzwerk finde. Und das tue ich immer!“.
Tools und Bordmittel für das Härten von Active Directory nutzen
Wir haben uns bereits im Beitrag „Härtungsmaßnahmen für das Active Directory“ mit dem Thema Sicherheit von Domänencontrollern beschäftigt. Im folgenden Beitrag zeigen wir noch mehr Möglichkeiten, um die Sicherheit im Netzwerk zu verbessern. Für das Aufdecken von Sicherheitslücken spielen auch Zusatztools eine Rolle, mit der Active Directory aufgeräumt werden kann.
Wenn keine unnötigen Objekte vorhanden sind, zum Beispiel nicht benötigte Benutzerkonten oder leere Gruppen, sinkt die Gefahr von Angriffen deutlich. Wir haben in den Beiträgen „Aufräumen im Active Directory“ und „Diese Tools sorgen für mehr AD-Sicherheit“ bereits einige Möglichkeiten gezeigt, mit denen die Sicherheit in Active Directory deutlich verbessert werden kann.
Bloodhound ist ein Tool, mit dem sich vor allem Active Directory-Umgebungen angreifen lassen. Das Tool versucht Domänenadmin-Zugänge zu finden und zu übernehmen. Das Tool ist ideal dazu, um zu überprüfen, ob es in Active Directory Schwachstellen gibt, die Angreifer übernehmen können.
Zugriffsrechte mit Identity Management zentral verwalten
In vielen Umgebungen ist es sinnvoll, Benutzerkonten mit einer Identity Management-Lösung zu verwalten. Ein Beispiel dafür ist das IDM-Portal von Firstware. Solche Lösungen stellen sicher, dass die Felder und Attribute der Benutzerkonten richtig und konsistent gepflegt sind. Zugriffsberechtigungen werden über Gruppenmitgliedschaften vergeben, entweder direkt im Profil des Users oder im Gruppenverwaltungsbereich. Wechselt ein Mitarbeiter seine Abteilung oder verlässt das Unternehmen, enden automatisch auch die relevanten Zugriffsrechte. Das IDM-Portal ermöglicht eine umfassende Automatisierung von allen Aufgaben rund um das Identity & Access Management und die Delegierung von Aufgaben in die Fachabteilungen des Unternehmens. Genehmigungs-Workflows bieten eine zusätzliche Stufe an Sicherheit. Weiterhin ist es möglich, PowerShell-Skripte beim Anlegen von Benutzerkonten auszuführen. Hier können auch die Cmdlets zur Pflege der Sicherheitsattribute in Azure AD gepflegt werden.
Ein Identity Management bietet aber noch viel mehr. Das zentrale Management von Berechtigungen und das Setzen von Gruppenmitgliedschaften ist ein weiterer Vorteil, der sich aus der Verwendung des IDM-Portals ergibt. Dadurch ist nicht nur sichergestellt, dass die Benutzerattribute richtig gepflegt sind, sondern auch die Berechtigungen sind jederzeit im Griff. Interessant ist an dieser Stelle, dass sich die Vergabe von Berechtigungen auch automatisieren lässt. Automatisierte und strukturierte Verwaltung von Berechtigungen ist für die Sicherheit einer Umgebung elementar.
Wenn parallel noch Benutzerdaten mit Azure AD synchronisiert werden sollen, kommen Unternehmen kaum um den Einsatz eines Identity Management-Systems herum. Nur dann ist sichergestellt, dass die lokal gepflegten Benutzerdaten richtig sind und auch die richtigen Daten in die Cloud synchronisiert werden.
Privileged Access Management erhöht die Sicherheit in Active Directory
Parallel zu einem System für das Identity Management kann es sinnvoll sein, in Active Directory auch mit Privileged Access Management (PAM) zu arbeiten. Damit ist es möglich, Benutzerkonten für eine fest definierte Zeit erhöhte Rechte zuzuweisen. Ist die Zeit abgelaufen, entfernt Active Directory diese Rechte wieder. Mit der PowerShell lässt sich überprüfen, ob PAM in der Gesamtstruktur bereits aktiviert ist:
Get-ADOptionalFeature "Privileged Access Management Feature" | fl Name,EnabledScopesDie Funktion lässt sich in der PowerShell aktivieren:Enable-ADOptionalFeature -Identity "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target "joos.int"Wir haben im Beitrag „Admin auf Zeit in Active Directory“ das Thema in der Praxis behandelt.
:quality(80)/p7i.vogel.de/wcms/1e/99/1e99adf9cca38b26070ae2823a00d923/0107147004.jpeg "Sehr oft stehen das Active Directory und dort privilegierte Accounts im Fokus von Kriminellen. Thomas Joos zeigt, welche Tools die Angreifer gerne einsetzen, damit Admins sich gezielt auf drohende Gefahren vorbereiten können. (Bild: © tippapatt - stock.adobe.com)")
So gefährden LaZagne, BloodHound und Mimikatz das Active Directory
Diese Tools nutzen Hacker für AD-Angriffe
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8137d305beb86b8f4bb22d66fc6cd/0105074845.jpeg "Das Active Directory wird immer mehr zum Einfallstor für Cyber-Angriffe. Zeit, sich der Sicherheit des AD anzunehmen. (Bild: © Worawut - stock.adobe.com)")
Domänencontroller zuverlässig vor Angriffen schützen
Härtungsmaßnahmen für das Active Directory
:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
(ID:48743088)
:quality(80)/p7i.vogel.de/wcms/f9/66/f966dd73d90da51daabd0f3583b64937/0107147004.jpeg "Sehr oft stehen das Active Directory und dort privilegierte Accounts im Fokus von Kriminellen. Thomas Joos zeigt, welche Tools die Angreifer gerne einsetzen, damit Admins sich gezielt auf drohende Gefahren vorbereiten können. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/20/a420f91e29ad3dee85cc487e2f6d1038/0112775164.jpeg "Reichte beim On-Premises-Einsatz von Active Directory Enhanced Security Admin Environment zur Absicherung aus, muss es bei einer Kombination mit Azure AD jetzt Zero-Trust und eine Privileged-Access-Strategy sein. (Bild: © magele-picture - stock.adobe.com)")