Active Directory-Sicherheit 101

Veröffentlicht: 2022-09-19

Die meisten Unternehmen verlassen sich heute auf Microsoft Active Directory (AD), um ihren Betrieb am Laufen zu halten. Aber was genau ist AD?

AD ist im Wesentlichen das Gateway, das Mitarbeiter mit ihren Ressourcen in einem Unternehmensnetzwerk verbindet (z. B. E-Mail oder Netzwerkdateifreigaben). Es wird von Administratoren verwendet, um die Berechtigungen der einzelnen Benutzer zu verwalten, sie bei der Anmeldung zu authentifizieren und festzulegen, auf welche Ressourcen sie zugreifen können.

AD hat viele Vorteile. Es ist einfach zu bedienen, seit vielen Jahren im Einsatz und äußerst zuverlässig. Doch viele Unternehmen wissen einfach nicht um die Sicherheitsrisiken, die damit einhergehen.

Eine kurze Geschichte der AD

Vor der Einführung von AD im Jahr 2000 ließen sich Microsoft IT-Verzeichnisserver nicht skalieren, um die Anforderungen mittlerer und großer Unternehmen angemessen zu unterstützen, und so viele Server waren erforderlich. Ein Unternehmen mit ungefähr 1.000 Mitarbeitern hätte beispielsweise 200 verschiedene Server benötigt.

Dies war ein großer Schmerzpunkt für Unternehmen. All diese einzelnen Server waren nicht nur schwer zu verwalten, da jeder eindeutige Anmeldeinformationen erforderte, sondern erschwerten auch Aktivitäten wie die gemeinsame Nutzung von Dateien, da sie nicht einfach miteinander kommunizieren konnten.

AD hat diese Herausforderung gelöst. Durch die einfache Integration in Anwendungen und die Bereitstellung von Single-Sign-On-Funktionen in einer gesamten Geschäftsumgebung veränderte es das Netzwerkerlebnis und wurde schnell allgegenwärtig.

Seine Prävalenz hat sich in zwei Jahrzehnten nicht verändert. Anstatt zu verschwinden, ist diese fast ein Vierteljahrhundert alte Technologie heute wichtiger denn je und dient als Grundlage für die meisten Cloud-Identitätssysteme, die von Unternehmen weltweit verwendet werden.

Obwohl AD für die meisten Unternehmen weltweit immer noch unerlässlich ist, ist es auch zu einem Sicherheitsproblem geworden.

Warum AD heute ein Problem ist

AD ist aus mehreren Gründen anfällig.

Erstens wurde es nicht für den Umgang mit komplexen Sicherheitsbedrohungen entwickelt. Es wurde in einer Ära vor Ransomware, ausgeklügelten, von Nationalstaaten unterstützten Cyber-Outfits und der weit verbreiteten Einführung von Cloud Computing veröffentlicht. Es ist eine Technologie aus einer anderen Zeit und kann daher vielen der fortschrittlichen Bedrohungen, denen wir heute gegenüberstehen, nicht effektiv begegnen.

Zweitens wurde AD so konzipiert, dass es offen ist, um die Benutzerfreundlichkeit zu erleichtern. Es vertraut den Benutzern, die in einem Netzwerk angemeldet sind, um eine nahtlose Benutzererfahrung zu priorisieren. Doch diese Offenheit ist heute eine knifflige Herausforderung für Verteidiger und stellt erfolgreiche Infiltratoren nur wenige Hindernisse dar.

Drittens bedeutet sein Alter, dass es in vielen Fällen mehr als 20 Jahre lang schlechte Sicherheitsentscheidungen beherbergt hat, die ursprünglich aus Gründen der Zweckmäßigkeit getroffen wurden und sich zu einem massiven Ziel angesammelt haben, das selbst Amateurangreifer nur schwer verfehlen würden.

Aus diesem Grund sind etwa 90 % aller Unternehmen Sicherheitsverletzungen aufgrund von AD-Schwachstellen ausgesetzt, und neun von zehn aller Cyberangriffe betreffen in irgendeiner Weise AD.

Solche Statistiken sind wirklich erschreckend, ebenso wie die Einfachheit der Angriffsmethoden, die verwendet werden, um AD anzugreifen. Schauen wir uns den Prozess Schritt für Schritt an…

  1. Ein Angreifer kompromittiert einen PC durch Phishing – Ein Angreifer sendet eine betrügerische Nachricht oder E-Mail, die darauf abzielt, sein Ziel dazu zu bringen, vertrauliche Informationen preiszugeben, wie z. B. seine Anmeldeinformationen für AD.
  2. Sie arbeiten dann daran, Berechtigungen auf diesem lokalen Computer zu erhalten Angreifer können ihre Rechte auf dem Computer auf verschiedene Weise erhöhen und Schwachstellen auf dem Gerät ausnutzen.
    Sie verwenden AD, um andere Geräte zu finden Die Angreifer verwenden dann AD, um andere Computer zu finden, und ordnen alle Computer zu, die mit diesem Netzwerk verbunden sind und verwendet werden.
  3. Als nächstes zielen Angreifer auf weitere Geräte – Von hier aus bewegen sich Angreifer durch ein Netzwerk, führen schwer zu erkennende Erkundungen durch und greifen viele Computer an, um einen zu finden, der über AD-Administratorrechte verfügt.
  4. Und schließlich sicherer Zugriff auf ein privilegiertes Konto – Schließlich erhalten sie Zugriff auf die Anmeldeinformationen eines privilegierten oder Administratorkontos. Sobald sie das haben, haben sie die volle Kontrolle über AD und alles, was davon abhängt.

Ein Beispiel für einen beliebten AD-Angriff ist der sogenannte Golden-Ticket-Angriff. Wir alle kennen das goldene Ticket aus dem Roman „Charlie & die Schokoladenfabrik“ von Roald Dahl. In der digitalen Welt bieten Golden Tickets auch Zugang zur IT-Umgebung Ihres Unternehmens. Ein Golden-Ticket-Angriff gibt Bedrohungsakteuren uneingeschränkten Zugriff auf Netzwerkressourcen und die Möglichkeit, sich unbegrenzt in Netzwerken aufzuhalten, getarnt als Benutzer mit Anmeldeinformationen auf Administratorebene.

Skizzierung der Bedrohung

AD ist nicht einfach ein Problem, weil es leicht angreifbar ist. Ebenso sind die Belohnungen für Angreifer beträchtlich.

AD hält im Wesentlichen die Schlüssel zu Ihrem Königreich. Stellen Sie sich einen Safe vor, in dem Sie die physischen Schlüssel zu Ihrem Büro aufbewahren – AD ist genau so ein Safe. Es ist die zentrale Anlaufstelle für den Zugriff auf Ihre kritischen Systeme – Ihre Computer, Softwareanwendungen und andere Ressourcen.

Es ist gefährlich, weil es sowohl einfach als auch lukrativ ist. Im Jahr 2021 zahlte ein Unternehmen ein Lösegeld von bis zu 40 Millionen US-Dollar, um wieder Zugang zu seinem Netzwerk zu erhalten.

Gleichzeitig sinken die Eintrittshürden für Angreifer. Dank eines boomenden Ransomware-as-a-Service (RaaS)-Marktes müssen sie nicht mehr technisch versiert sein. Stattdessen kaufen sie einfach Tools und Dienstleistungen von denen, die es sind.

Es ist ein verheerender Kreislauf. Die Belohnungen für Angreifer steigen, während das erforderliche technische Wissen weiter abnimmt, wodurch sich die Angriffslandschaft exponentiell erweitert.

Es ist daher leicht zu verstehen, warum die Ransomware-Studie 2021 einer International Data Corporation kürzlich enthüllte, dass mehr als ein Drittel (37 %) der globalen Organisationen im Jahr 2021 Opfer eines Ransomware-Angriffs wurden. Tatsächlich stehen die Chancen eindeutig zugunsten der Angreifer .

Wie können Unternehmen reagieren?

Unternehmen müssen reagieren, um diese steigende Flut zu wenden.

Um Ihre Schwachstellen zu minimieren, müssen Sie zunächst wissen, wo Sie anfällig sind. Für viele Unternehmen kann der Versuch, dieses Verständnis zu erlangen, überwältigend sein – insbesondere für diejenigen, die wenig oder gar keine Kenntnisse über Cybersicherheit haben. Seien Sie jedoch versichert, dass es Lösungen und Unterstützung gibt, die Ihnen helfen können.

Purple Knight ist ein guter Ausgangspunkt. Ein kostenloses Active Directory-Sicherheitsbewertungstool, das von einer führenden Gruppe von Microsoft-Identitätsexperten entwickelt und verwaltet wird, kann Ihnen dabei helfen, Schwachstellen in Ihrem Active Directory zu erkennen, bevor es Angreifer tun, und häufige Schwachstellen hervorheben, die behoben werden sollten.

Eine ganze Reihe potenzieller Schwachstellen sind im neuesten Purple Knight-Bericht aufgeführt. Aber für den Anfang sind einige gängige Beispiele:

  • Konfigurationsdrift – Konfigurationsdrift ist das Ergebnis jahrelanger schlechter AD-Praktiken. Apps müssen in AD konfiguriert werden, damit sie funktionieren, aber das braucht Zeit. Eine schnelle Lösung besteht darin, der Anwendung zu viele Administratorrechte zu erteilen – etwas, das Unternehmen in der Vergangenheit getan haben, um ihr glänzendes neues Tool so schnell wie möglich zum Laufen zu bringen. Infolgedessen beginnen sich administrative Konten in AD anzusammeln. Doch es genügt, wenn einer von ihnen angegriffen wird, um katastrophale Folgen zu haben.
  • Ältere Administratorkonten – Ältere Administratorkonten werfen ähnliche Probleme auf. Sie sind Skelette im Schrank. Wenn es einem Angreifer gelingt, auf diese privilegierten Konten zuzugreifen, werden sie zurückkommen, um Sie zu verfolgen.
  • Schwache oder häufig verwendete Passwörter – Angreifer versuchen auch weiterhin, auf mehrere Konten zuzugreifen, indem sie eine Reihe häufig verwendeter Passwörter ausprobieren. Dies wird als Kennwortsprühen bezeichnet – eine Technik, die leicht vereitelt werden kann, indem die Verwendung schwacher oder gebräuchlicher Kennwörter in Ihrem Netzwerk eliminiert wird.

Das Identifizieren und Beheben dieser Schwachstellen ist natürlich nur ein kleiner Teil des Puzzles. Um die wachsende Bedrohung durch Cyberkriminalität langfristig wirksam zu bekämpfen, müssen Unternehmen aktiv eine Reihe von Best Practices anwenden.

Diese können alles umfassen, von der Durchführung regelmäßiger interner Sicherheitsüberprüfungen und prägnanter betrieblicher Verbesserungen bis hin zur Durchführung regelmäßiger Mitarbeiterschulungen zu Phishing und Investitionen in Wiederherstellungsprozesse, um eine schnelle Erholung im Falle eines Angriffs sicherzustellen.

Für Unterstützung oder Anleitung bei der Entwicklung einer starken Abwehr auf ganzer Linie lohnt es sich, engagierte Fachleute zu konsultieren, die auf AD-Sicherheit spezialisiert sind, um die wichtigsten Änderungen zu verstehen, die Sie vornehmen müssen. Angriffe auf Active Directory sind keine Frage mehr des Ob, sondern des Wann. Wenn Unternehmen ihre kritischen AD-Schwachstellen beheben, haben sie eine gute Chance. Wenn nicht, werden sie weiterhin sitzende Enten sein, die auf die schlimmstmöglichen Ergebnisse vorbereitet sind.