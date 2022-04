Microsofts Active Directory (AD) ist der am meisten genutzte Verzeichnisdienst in Unternehmen, um Firmenressourcen zu verwalten – obwohl er von Hause aus nicht besonders sicher konfiguriert ist und mit Rechten bisweilen zu freizügig umgeht. Für Kriminelle ist das AD eine Fundgrube an wertvollen Informationen, die dabei helfen, ins Unternehmensnetz vorzudringen, sich dort auszubreiten, Daten zu stehlen oder zu manipulieren und gefährliche Malware wie die verbreiteten Verschlüsselungstrojaner einzuschleusen.

Mit den richtigen Stellschrauben Pass the Hash & Co. verhindern

Auf 172 Seiten beschäftigt sich das iX kompakt "Sicheres Active Directory" umfassend mit der Sicherheit des Verzeichnisdienstes – wie er überhaupt funktioniert, was ihn so angreifbar macht und wie man ihn auf verschiedenen Ebenen absichert. Versteht man die grundlegenden Konzepte, die Struktur des AD und die eingesetzten Protokolle, kann man nachvollziehen, wie Fehlkonfigurationen, mangelnde Härtung oder zu großzügige Rechtevergabe Angriffe wie Golden Ticket, DCSync, PetitPotam, Pass the Hash und viele mehr ermöglichen.

Mit den richtigen Stellschrauben lassen sich solche Angriffe verhindern oder mindestens erschweren. Dazu sollten Administratoren ihr AD gut kennen, um nicht erforderliche Funktionen abzuschalten, Zugriffe auf Ressourcen nur bei Bedarf zu erlauben und Benutzer nur mit den allernötigsten Rechten auszustatten. Vor allem mit Letzterem, einem rigiden Rechtemanagement, steht und fällt die Sicherheit des Active Directory.

Das iX kompakt behandelt überdies weitere Aspekte zum Absichern eines AD, etwa die richtige Passwortstrategie, die Basisabsicherung nach IT-Grundschutz, neue Sicherheitsansätze wie Zero Trust, forensische Nachvollziehbarkeit von Angriffen und die Unterstützung durch Produkte bei der Prävention und nach etwaigen Angriffen. Eine neue Taktik besteht darin, durch eigens aufgesetzte und entsprechend präparierte Systeme dem Angreifer Fallen zu stellen. Diese Honey Pots bewirken zum einen, dass Angriffe schneller erkannt werden, zum anderen kann man dank ihnen das Verhalten von Cyberkriminellen beobachten und analysieren.

Eine eigene Welt: Azure Active Directory

Eine eigene Rubrik widmet sich dem immer häufiger genutzten Azure AD, Microsofts cloudbasiertem Identitäts- und Zugriffsverwaltungsdienst. Er wird oft auch in Kombination mit dem lokalen AD im Hybridbetrieb eingesetzt. Das schafft zu den schon bekannten Einfallstoren neue Angriffsmöglichkeiten. Auch hier gilt es zunächst die grundlegenden Konzepte zu verstehen, die wenig mit denen des lokalen Verzeichnisdienstes gemeinsam haben. Erst dann kann man durch die richtigen Konfigurationen und Härtungsmaßnahmen verhindern, dass Angreifer einzelne Identitäten, Ressourcen oder gar das komplette Azure AD kompromittieren können.

(ur)