Anzeige

Active Directory

Die Sicherung des Active Directory (AD) sollte ein zentrales Element in jeder Sicherheitsstrategie sein, da die Gefährdung eines einzelnen Kontos verheerende Wirkung haben und zu großen Datenverlusten führen kann.

Und auch wenn Angriffe über AD nicht neu sind, so lässt sich seit Monaten ein deutlicher Anstieg dieses Angriffsvektors feststellen. Dies liegt vor allem daran, dass Microsoft als Betriebssystem sehr weit verbreitet ist und AD eine zentrale Position innerhalb der Informationssysteme innehat. Um sich hiergegen erfolgreich verteidigen zu können, muss man zunächst um die Gefahren und Risiken wissen.

Jedes Unternehmen einer gewissen Größe verfügt über unzählige Schlüssel für das Gebäude, die einzelnen Büros, aber auch für die Garage oder gar Tresore. Also um das zu schützen, was schützenswert ist, und Unbefugte draußen zu halten. Um den nötigen, berechtigten Zugang für die Mitarbeiter sicherzustellen, etwa für den Fall, dass der Schlüsselinhaber krank oder im Urlaub ist, werden Ersatzschlüssel an einem zentralen Ort aufbewahrt. Meist handelt es sich dabei um einen speziellen Schlüsselschrank, zu dem nur ein paar besonders vertrauenswürdige Mitarbeiter den Schlüssel haben. Für Einbrecher sind natürlich genau diese ein ausgesprochen interessantes Ziel, bieten sie doch ungehinderten Zugang in alle Bereiche des Unternehmens. Wenn sie also an diesen Schlüsselschrank-Schlüssel gelangen, stehen ihnen buchstäblich alle Türen offen. 

In der digitalen Welt sind das Äquivalent dieses Schlüssels die Anmeldeinformationen des Active Directory-Administrators des Unternehmens (man spricht in diesem Zusammenhang nicht ohne Grund vom „goldenen Ticket“). Damit erhalten Angreifer die Möglichkeit, auf alles und jedes im Netzwerk eines Unternehmens zuzugreifen: auf Dateien, Logins, Systemeinstellungen und so weiter. Wie in der realen Welt ist ein solcher Zugriff zwar (noch) selten, aber potenziell katastrophal für ein Unternehmen. Doch auch wenn die Angreifer „nur“ auf einer niedrigeren Ebene Zugriff auf das Active Directory erhalten, können sie sich durch das System arbeiten und ihre Privilegien so lange ausweiten, bis sie schließlich auf eine Goldader treffen. Das Active Directory ist für jeden Schritt in der Cyber-Kill-Kette von der Aufklärung über den Denial-of-Service bis hin zur Datenexfiltration von entscheidender Bedeutung.  

 

Die eigenen Schwächen kennen

Active Directory verwendet Kerberos als primären Authentifizierungsmechanismus. Hierbei verwendet Kerberos Tickets (Ticket Granting Tickets / TGTs), um Benutzer zu authentifizieren. Obwohl Kerberos durch starke Kryptographie und Ticket-Autorisierung durch Dritte einen unglaublich leistungsstarken Schutz bietet, gibt es immer noch eine Reihe von Schwachstellen, die Angreifer ausnutzen können, um auf Active Directory zuzugreifen.  Neben dem bereits erwähnten Angriff mit dem „goldenen Ticket“ gibt es noch weitere wirkungsvolle Angriffsmethoden auf das Active Directory wie Pass the Hash, Pass the Ticket oder das „silberne Ticket“. Viele der Schwachstellen von Active Directory sind auf die fast archaische NTLM-Verschlüsselung zurückzuführen, die nach heutigen Standards sehr schwach ist. Beispielsweise nutzen Cyberkriminelle bei Pass the Hash-Angriffen Brute Force-Techniken, um das Passwort eines NTLM-Hashes zu ermitteln und sich damit bei Active Directory zu authentifizieren.

Neben diesen technischen Schwachstellen nutzen Angreifer – wie auch bei anderen Attacken – Social Engineering oder Phishing, um an die wertvollen Anmeldedaten zu gelangen. Und auch wenn die Adressaten als technisch versierte Mitarbeiter sich dieser Gefahren bewusst sind, also durchaus über eine besondere Awareness verfügen, so sind Angreifer auch hier immer wieder erfolgreich. So zeigte Dr. Zinaida Benenson in einer Studie der Friedrich-Alexander-Universität (FAU) Erlangen, dass „mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier.“

 

Proaktive Sicherheit

Was kann man also tun, um zu verhindern, dass Cyberkriminelle auf das Active Directory zugreifen und damit die „Schlüssel zum Königreich“ stehlen? Zunächst sollte man sich ein genaues Bild über die Verwendung des Active Directory im Unternehmen machen: Wie sehen die Namenskonventionen aus? Über welche Sicherheitsrichtlinien verfügen wir? Wer sind die Benutzer? Und so weiter. Wissen ist auch hier Macht, und mit diesem Wissen haben Sicherheitsverantwortliche die Macht, Active Directory besser zu schützen.

Eine einmalige Überprüfung reicht dabei jedoch nicht aus. Die entscheidenden Informationen müssen durch regelmäßiges Monitoring auf dem neuesten Stand gehalten werden, damit ungewöhnliche Anmeldungen oder Änderungen (insbesondere auch Privilegien-Eskalationen) erkannt und darauf reagiert werden kann. Eine manuelle Überwachung, die alle wesentlichen Punkte nahezu in Echtzeit umfasst, ist allerdings nahezu unmöglich. Mittels Automatisierung kann jedoch verdächtiges Verhalten schnell identifiziert und ein entsprechender Alarm ausgelöst werden. 

Darüber hinaus sollten Sicherheitsverantwortliche in Betracht ziehen, die Domänencontroller auf einem Server zu betreiben, der nicht direkt mit dem Internet verbunden ist. Dies macht es Angreifern deutlich schwerer, sich lateral fortzubewegen und Privilegien zu eskalieren. Das Thema Privilegien ist grundsätzlich ein Schlüsselelement: Unternehmen sollten hier einen Least-Privilege-Ansatz verfolgen. Auf diese Weise erhalten Mitarbeiter nur Zugang zu den Dateien, Ordnern und Diensten, die sie auch tatsächlich für ihre Arbeit benötigen. Auch dies schränkt die Möglichkeiten für Angreifer deutlich ein, da jedes (kompromittierte) Konto in seinen Zugriffsmöglichkeiten eingeschränkt ist.

 

Mehrschichtiger Sicherheitsansatz

Keine Sicherheitslösung ist unüberwindbar und jede Kette ist so schwach wie ihr schwächstes Glied. Diese Binsenweisheiten gelten selbstverständlich auch für Angriffe auf das Active Directory. Angreifer zielen auch hier auf die Mitarbeiter als vermeintliche Schwachstelle. Entsprechend müssen diese immer wieder geschult und sensibilisiert werden, auch wenn sie (zumindest theoretisch) um die Risiken wissen. Hierbei sollte auch auf die Erstellung sicherer (und vor allem einmaliger) Passwörter sowie die Merkmale eines Phishing-Angriffs eingegangen werden.

Als weitere Verteidigungsebene sollten Systemadministratoren über ein Konto für die tägliche Nutzung und ein Konto speziell für die Durchführung von Systemänderungen verfügen. Solche Administratorkonten sollten auf zugewiesene, genau definierte und begrenzte Systeme beschränkt werden. Dadurch wird verhindert, dass ein kompromittiertes Konto den Angreifern Zugriff auf das gesamte Netzwerk ermöglicht.

Zudem sollten auch technische Lösungen zum Einsatz kommen, die in der Lage sind, verdächtige Änderungen im Active Directory zu erkennen und in Zusammenhang mit anderen Aktivitäten zu setzen, um damit potenzielle Angriffe zu identifizieren und zu stoppen. Active Directory-Angriffe sind oftmals schwer aufzuspüren und bleiben lange unentdeckt. Durch den intelligenten Einsatz von maschinellem Lernen und die Herstellung des richtigen Kontextes kann man ihnen jedoch auf die Spur kommen. Es bedarf eines ganzheitlichen, mehrschichtigen Ansatzes, der von den Mitarbeitern bis zu fortschrittlichen Technologien reicht, um sicherstellen, dass Cyberkriminelle bei ihren Bemühungen, auf das Active Directory zuzugreifen, nicht auf Gold stoßen.

 

Michael Scheffler, Country Manager DACH von Varonis Systems www.varonis.com/de/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Microsoft
Aug 06, 2020

Microsofts Milliarden-Dollar Geschäfte

Der Tech-Riese Microsoft erwägt eine Übernahme der Geschäfte des sozialen Netzwerks…
Phishing
Aug 06, 2020

Mögliche Gefahr durch KI-generiertes Spear Fishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das…
Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…

Weitere Artikel

Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!