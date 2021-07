Inhaltsverzeichnis Netzwerksicherheit im Active Directory: So enttarnen Sie Angreifer durch Logs Protokollierung, aber was, wie und wie viel? Der größte Pool: Windows-Ereignisprotokolle Wo sollen die Logs gespeichert werden? Dem Angreifer auf der Spur via Password Spraying, DCSync und PowerShell Fazit Artikel in iX 8/2021 lesen

Jenseits der in den Artikeln "Wie Administratoren ihr Active Directory absichern" und "Active-Directory-Härtungsmaßnahmen jenseits von Group Policies" behandelten Härtungsmaßnahmen stellt dieser Artikel der Reihe zu AD-Sicherheit mit Logs ein weiteres Werkzeug für Administratoren vor. Er beschreibt, wieso die Protokollierung und die Überwachung genauso wichtig sind wie ein Malwarescanner auf jedem System und zum Einmaleins einer jeder Verteidigung gehören. Weiter erläutert er die wichtigsten Logquellen und zeigt, wie sie sich gegen Angreifer einsetzen lassen.

In der Informationssicherheit arbeitet man oft unter der Annahme, dass hartnäckige Gegner mit genügend Zeit und Ressourcen mit dem Eindringen in ein System oder Netzwerk erfolgreich sein werden – unabhängig davon, wie gut die Härtungs- und Schutzmaßnahmen sind. Komplexe Systeme wie Netzwerke und Computer weisen immer wieder neue Schwachstellen auf, sei es aufgrund von Bugs oder Konfigurationsfehlern.

Einer der am häufigsten ausgenutzten Fehler ist mangelndes Sicherheitsbewusstsein kombiniert mit der Neugierde der Mitarbeiter. Ein klassisches Beispiel: Ein Mitarbeiter wird per E-Mail über ein Gewinnspiel informiert, als Preis winkt ein neues iPhone 12. Für die Teilnahme muss er sich über einen Link anmelden. Auf diese Weise gewährt der Mitarbeiter den Angreifern im dümmsten Fall direkten Zugang zum Unternehmensnetzwerk. Ein hartnäckiger Angreifer, der ein Unternehmen gezielt attackieren will, wird die Zeit und das Wissen haben, diese Fehler zu entdecken und auszunutzen.