:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Lepide Active Directory Auditor: AD überwachen und Angriffe blockieren So prüfen Sie Konfigurations- und Berechtigungsänderungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit dem Lepide Active Directory Auditor können Admins ihre Active Directory-Umgebung überwachen, den Gesundheitszustand überprüfen, und parallel dazu Angriffe rechtzeitig erkennen und bekämpfen. Das geht sogar in Echtzeit.
Active Directory ist bei vielen Unternehmen einer der wichtigsten Bestandteile der Infrastruktur. Das ist auch einer der Gründe, warum Cyberkriminelle immer öfters versuchen, an Anmeldedaten von Benutzern zu kommen, um dann die Infrastruktur angreifen zu können. Daher sollten sich Unternehmen vorbereiten und mit Tools wie Lepide Active Directory Auditor https://www.lepide.com/lepideauditor/active-directory-auditing.html die Umgebung überwachen und eventuell auftretende Angriffe so schnell wie möglich zu identifizieren und zu beheben. Wir gehen in diesem Beitrag vor allem auf die AD-Funktionen ein; der Hersteller bietet aber auch die Möglichkeit zur Überwachung von Microsoft 365, also vor allem von Exchange Online und SharePoint Online. Seine Daten speichert Active Directory Auditor in einer SQL-Datenbank.
Konfiguration von Active Directory prüfen und Änderungen nachverfolgen
Das Tool wurde speziell für die Prüfung von Änderungen an Konfigurationen und Berechtigungen in Microsoft-Ökosystemen entwickelt. Dazu gehört zunächst Active Directory, aber auch lokal betriebene Exchange Server, Gruppenrichtlinien, SQL und SharePoint. Admins erhalten durch das Tool einen guten Überblick zur AD-Umgebung. Außerdem ist Lepide Active Directory Auditor hilfreich, um Sicherheits- und Compliance-Anforderungen zu erfüllen. Admins können in Echtzeit verfolgen, wer welche Änderungen an Konfigurationen und Berechtigungen vornimmt oder vorgenommen hat.
:quality(80)/p7i.vogel.de/wcms/80/07/800726bd2a8b761d3be12279fa1dc59c/0113377770.jpeg "Im Dashboard von Lepide Active Directory Auditor stehen zahlreiche Berichte zur Verfügung, die sich schnell und einfach abrufen lassen.")
:quality(80)/p7i.vogel.de/wcms/a2/04/a2043d30d081b526b1424340dd74f9f2/0113377768.jpeg "Lepide Active Directory Auditor hilft auch dabei, Ransomware frühzeitig zu erkennen.")
:quality(80)/p7i.vogel.de/wcms/39/f4/39f49af699b8bb2c5717e0e9871f98f5/0113377769.jpeg "Änderungen lassen sich schnell anzeigen und das Tool bietet einen guten Überblick auf die AD-Infrastruktur.")
:quality(80)/p7i.vogel.de/wcms/a2/03/a203fbc9c50d93e62750892373e6879b/0113377767.jpeg "Lepide Active Directory Auditor unterstützt beim Bekämpfen von Cyberattacken.")
Das Tool lässt sich 7 Tage lang kostenlos testen. Dabei kann die Installation natürlich im eigenen Rechenzentrum erfolgen. Die Umgebung lässt sich darüber hinaus als Appliance für VMware-Produkte oder als Hyper-V-VM herunterladen. Das macht die Bereitstellung einfacher, vor allem im Testzeitraum. Allerdings muss dabei beachtet werden, dass in diesem Fall der Download schnell größer als 12 GB ist.
Active Directory vor Ransomware schützen
Das schützt Unternehmen auch vor Ransomware-Angriffen. In vielen Fällen laufen diese so ab, dass Angreifer versuchen, an Anmeldedaten zu gelangen, um sich dann unbemerkt an Active Directory anzumelden. Nach der Anmeldung erfolgt die Übertragung der Malware/Ransomware. Solche Angriffe lassen sich nur dann halbwegs zuverlässig verhindern, wenn Lösungen wie Lepide Active Directory Monitor im Einsatz sind, die in Echtzeit Konfigurationsänderungen erkennen, zum Beispiel das Entsperren von gesperrten Benutzerkonten oder Anmeldungen von Konten, die lange Zeit inaktiv waren.
Der BSI-Lagebericht 2022 legt dazu dar: "Die Gefährdungslage im Cyber-Raum ist so hoch wie nie". Nach einem Forschungspaper der Cyber Rescue Alliance aus dem Jahr 2022 sind nahezu alle Unternehmen auf der Welt Ziel von Phishing-Angriffen geworden. Bei 12 Prozent der erfolgreich durchgeführten Attacken konnten Angreifer über ein Jahr vollständigen Zugriff auf die Daten des Unternehmens nehmen, bevor Ransomware die Daten verschlüsselt hat.
Schneller Überblick zum Active Directory und zu Gruppenrichtlinien
In der Verwaltungskonsole von Lepide Active Directory Auditor lassen sich alle wichtigen Bereiche in Active Directory überwachen. Dazu gehören auch die Gruppenrichtlinien. Oben links steht in der Konsole darüber hinaus der Menüpunkt "All Environment Changes" zur Verfügung. Darüber lassen sich die Änderungen der Umgebung schnell überwachen und gegebenenfalls Gegenmaßnahmen ergreifen.
Berichte aus Active Directory erstellen
Zu den Funktionen des Active Directory Auditors gehören auch Berichte, die sich über verschiedene Zeithorizonte aus Active Directory erstellen lassen. Dazu gehören zum Beispiel Berichte zum Status von Active Directory, den Änderungen im ausgewählten Berichtszeitraum und über den Status der Sicherheit. Das lässt sich in größeren Umgebungen auch auf einzelne OUs herunterbrechen.
Als Datenquelle für die Berichte nutzt das Tool auf Anforderung nicht das produktive Active Directory, sondern eine Datensicherung. Das entlastet die produktive Umgebung und sorgt dafür, dass zu jeder Zeit Berichte erstellt werden können, ohne Rücksicht auf die AD-Umgebung nehmen zu müssen.
Hinzu kommt die Möglichkeit, Berichte über Benutzerkonten zu erstellen. Dazu gehören zum Beispiel Listen aller Benutzer oder auch spezifische Berichte, zum Beispiel zu Benutzern, die ihr Kennwort längere Zeit oder noch nie geändert haben. Alle Berichte stehen auf der linken Seite des Menüs zur Verfügung. In der Mitte des Fensters erfolgt die Spezifikation des Berichtes, zum Beispiel die Auswahl des Zeitraums. Nach der Erstellung kann der Bericht auch direkt im Fenster angezeigt werden. Das Gleiche lässt sich für Computerkonten erstellen.
Sicherheitsrelevante Berichte decken Änderungen in Active Directory auf
Bei sicherheitsrelevanten Berichten lassen sich natürlich auch produktive Daten einlesen. Interessant ist das zum Beispiel für den Bericht, der alle Änderungen des aktuellen Tages in Active Directory zusammenfasst und in der Weboberfläche anzeigt (Active Directory Reports -> Active Directory Modifications Report -> All Modifications Report -> Object Modifications).
In großen Umgebungen lassen sich diese Berichte beliebig filtern, zum Beispiel nach Datum der Änderung, wer die Änderung durchgeführt hat, welche Objekte geändert wurden, wo die Änderung durchgeführt wurde und der genaue Zeitraum. Dadurch lassen sich auch sehr schnell Änderung von Gruppenmitgliedschaften herausfinden und wer diese wann und wo durchgeführt hat. Das gilt auch für Änderungen in den Berechtigungen.
Interessant ist an dieser Stelle aber auch das Anmeldeverhalten von Benutzerkonten, Auch das lässt sich nachverfolgen, um zum Beispiel Remotebenutzer und deren Anmeldungen zu überprüfen. Darüber hinaus kann Lepide Active Directory Auditor auch fehlgeschlagene Anmeldeversuche überprüfen und Berichte erstellen. Besonders häufige fehlgeschlagene Anmeldeversuche deuten auf Angriffsversuche hin und sollten besonders sorgfältig überprüft werden.
So lassen sich zum Beispiel Brute-Force-Angriffe erkennen. Außerdem bietet der Active Directory Auditor auch die Möglichkeit, Anmeldungen an Domänencontrollern oder Anmeldungen eines Benutzers an mehreren Computern gleichzeitig zu erkennen. Dabei kann es sich zum Beispiel um ein kompromittiertes Konto handeln, das Cyberkriminelle dazu nutzen Malware im Netzwerk zu verteilen.
Darüber hinaus kann der Auditor umfassende Berichte zum Erstellen, Benutzerkonten und Computerkonten löschen und bearbeiten und Organisationseinheiten erstellen. Genauso lassen sich Berichte erstellen, welche Benutzer in andere OUs verschoben wurden, oder welche Benutzerkonten umbenannt wurden. Auch das kann auf Angriffe hindeuten.
(ID:49692272)
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/28/7e28b814cea7d8d0761d3de4fb88ec1c/0110808188.jpeg "Wenn Cyberkriminelle Zugriff auf Benutzerkennungen und Passwörter eines Unternehmensnetzwerks verschaffen, können sie sich meist ungestört im Netzwerk bewegen und Schaden anrichten. (Bild: thodonal - stock.adobe.com)")