Durch die Auto­ma­ti­sie­rung von Cyber­an­grif­fen steigt auch die Gefahr für das Acti­ve Direc­to­ry. Als zen­tra­le Steu­er­ein­heit inner­halb eines Unter­neh­mens stellt es für Ein­dring­lin­ge einen reiz­vol­len Angriffs­punkt dar. Beson­ders da es durch ver­al­te­te Struk­tu­ren oder fal­sche Kon­fi­gu­ra­ti­on in vie­len Fäl­len eine Rei­he bedenk­li­cher Schwach­stel­len gibt.

Micro­soft Acti­ve Directory

Das Acti­ve Direc­to­ry (AD) ist ein Ver­zeich­nis­dienst von Micro­soft für Win­dows-Netz­wer­ke. Es dient dazu, die unter­schied­li­chen Gerä­te und Res­sour­cen eines Netz­wer­kes zu spei­chern. Dar­über hin­aus ist es mög­li­che die­se gespei­cher­ten Objek­te zu ver­wal­ten und zen­tra­le Richt­li­ni­en bereit­zu­stel­len. Das AD stellt somit die zen­tra­le Steu­er­ein­heit inner­halb eines Unter­neh­mens dar und hilft dabei die Struk­tur der Orga­ni­sa­ti­on nachzubilden.

Die Nach­bil­dung der Orga­ni­sa­ti­ons­struk­tur erfolgt über soge­nann­te Domä­nen, die die ein­zel­nen Unter­neh­mens­be­rei­che von­ein­an­der abgren­zen. Inner­halb einer Domä­ne sind aus­schließ­lich Infor­ma­tio­nen gespei­chert, die sie selbst betref­fen­de und nicht auf ande­re Domä­nen über­tra­gen wer­den kön­nen. Außer­dem gel­ten fes­te Sicher­heits­richt­li­ni­en- und einstellungen.

Eine Ver­än­de­rung der Orga­ni­sa­ti­ons­struk­tur in AD kann grund­sätz­lich nur ein Admi­nis­tra­tor vor­neh­men. Die­ser legt ein­deu­ti­ge Namen für die Domä­nen fest, ver­wal­tet die Benut­zer­rech­te für ein­zel­ne Gerä­te oder schal­tet Netz­werk­res­sour­cen für Anwen­der frei.

Acti­ve Direc­to­ry schafft somit eine zen­tra­le, über­sicht­li­che Ver­wal­tung von allen Netz­werk­ob­jek­ten, Rech­ten und Richt­li­ni­en. Es bie­tet ein­fa­che Erwei­te­rungs­mög­lich­kei­ten sowie die Mög­lich­keit auch unter­schied­li­che Orga­ni­sa­ti­ons­struk­tu­ren abzu­bil­den. Auch die Inte­gra­ti­on ande­rer Ver­zeich­nis­diens­te ist möglich.

Sicher­heits­lü­cken sind kei­ne Seltenheit

Ein ein­wand­frei funk­tio­nie­ren­des AD hat für ein Unter­neh­men obers­te Prio­ri­tät. Denn tut es dies nicht, tre­ten in den meis­ten Fäl­len eine Rei­he von Pro­ble­men auf: Benut­zer kön­nen sich nicht mehr anmel­den oder auf wich­ti­ge Daten nicht mehr zugrei­fen, Domä­nen kön­nen nicht mehr hin­zu­ge­fügt wer­den oder gan­ze Sys­tem­diens­te stür­zen ab. Dar­aus resul­tiert nicht nur unwei­ger­lich die Unzu­frie­den­heit der Mit­ar­bei­ter. Zieht sich das Pro­blem über Stun­den oder sogar Tage, kann sich dies auch nega­tiv auf die Pro­duk­ti­vi­tät aus­wir­ken und so Umsatz­aus­fäl­le für das Unter­neh­men bedeuten.

Aus die­sem Grund besteht häu­fig Unsi­cher­heit, wenn es dar­um geht, eine Ver­än­de­rung der bestehen­den Struk­tu­ren des AD vor­zu­neh­men. Die Beden­ken über eine nega­ti­ve Beein­flus­sung der Funk­ti­ons­fä­hig­keit sind groß. Infol­ge­des­sen trau­en sich die Aller­we­nigs­ten Aktua­li­sie­run­gen inner­halb des AD vor­zu­neh­men. Aller­dings ruft die­se Vor­ge­hens­wei­se eben­falls Gefah­ren her­vor, denn im Lauf der Zeit ver­al­te­te Struk­tu­ren, feh­len­de Patches oder fal­sche Kon­fi­gu­ra­tio­nen sind Schwach­stel­len, die einen opti­ma­len Angriffs­punkt für mög­li­che Ein­dring­lin­ge bieten.

Angrif­fe auf das Acti­ve Directory

Die Angrei­fer von heu­te sind sich der Schwach­stel­len im Acti­ve Direc­to­ry der Unter­neh­men bewusst und set­zen immer häu­fi­ger genau dort an, um sich Zugang zu ver­schaf­fen. Beson­ders der ste­tig stei­gen­de Auto­ma­ti­sie­rungs­grad der Angrif­fe hilft ihnen gan­ze Angriffs­ket­ten zu bil­den und ver­schie­dens­te Berei­che des Unter­neh­mens auf Schwach­stel­len zu prü­fen. Hat der Angrei­fer schließ­lich Zugriff auf einen nor­ma­len User Account, ver­sucht er im nächs­ten Schritt eine soge­nann­te Rech­tees­ka­la­ti­on hervorzurufen.

Was bedeu­tet „Rech­tees­ka­la­ti­on“?

Die Rech­tees­ka­la­ti­on (oder auch Rech­teaus­wei­tung) bezeich­net das Aus­nut­zen einer Sicher­heits­lü­cke, z.B. in Form eines Kon­struk­ti­ons- oder Kon­fi­gu­ra­ti­ons­feh­lers einer Soft­ware, die dem (ver­meint­li­chen) User mehr Rech­te ein­räumt als eigent­lich vom Admi­nis­tra­tor vor­ge­se­hen. Die­ser ver­schafft sich dadurch Zugang zu Res­sour­cen, auf die er eigent­lich kei­nen Zugriff haben sollte.

Im schlimms­ten Fall erlangt der Angrei­fer dadurch die Rech­te eines Domä­nen Admins. Sind dar­über hin­aus auch die Netz­wer­ke nicht aus­rei­chend seg­men­tiert, kann der Angrei­fer einen enor­men Scha­den im gesam­ten Unter­neh­men anrichten.

Eine wei­te­re Angriffs­flä­che bie­ten die Ser­vice Accounts. Beson­ders Unma­na­ged Ser­vice Accounts sind ein belieb­tes Ziel der Angrei­fer. Grund dafür ist das Reboot-Pro­blem nach einer erfolg­ten Pass­wor­t­än­de­rung. Da der Ser­ver des­halb nicht mehr von allein neu star­ten kann, wer­den die Pass­wör­ter häu­fig gar nicht geän­dert. Dazu kommt, dass sie meist mit hohen Rech­ten aus­ge­stat­tet sind. Gelingt es einem Angrei­fer sich hier Zugriff zu ver­schaf­fen, ist es für ihn ein Leich­tes Domä­nen Admin zu werden.

Mit Blick auf die Viel­zahl an Angriffs­mög­lich­kei­ten ist es ent­schei­dend für die Sicher­heit eines Unter­neh­mens sein Acti­ve Direc­to­ry auf den neus­ten Stand zu brin­gen und vor allem einen Fokus auf die siche­re Gestal­tung der Berech­ti­gungs­mo­del­le zu legen.

Aktua­li­sie­rung und Optimierung

Eine gute Nach­richt vor­weg: Micro­soft hat den Groß­teil der Angrif­fe, die direkt gegen das AD gehen, auf dem Schirm und kennt eben­so die rich­ti­gen Ant­wor­ten dar­auf. Die Stan­dard- Angriffs­sze­na­ri­en las­sen sich somit ohne Dritt­soft­ware ver­hin­dern. Wich­tig ist es jedoch, die vor­han­de­nen Mit­tel opti­mal zu nutzen.

Für einen wir­kungs­vol­len Schutz sind fol­gen­de Punk­te von beson­de­rer Bedeutung:

Aktua­li­tät gewährleisten

Zunächst gilt es zu über­prü­fen, ob das AD sich auf dem neus­ten Stand der aktu­el­len Tech­nik befin­det. Dazu zählt z.B. die regel­mä­ßi­ge Siche­rung der Domä­nen­con­trol­ler sowie die Prü­fung der Daten auf Kon­sis­tenz. Es emp­fiehlt sich eben­falls einen Prüf­zy­klus ein­zu­rich­ten, der auch für zukünf­ti­ge Aktua­li­tät sorgt.

Schwach­stel­len beseitigen

Das Prü­fen des AD auf Schwach­stel­len ist ein wei­te­rer zen­tra­ler Punkt. Ziel dabei ist es z.B. ver­al­te­te oder nicht mehr genutz­te Kon­ten oder Com­pu­ter im Netz­werk zu iden­ti­fi­zie­ren. Dar­über hin­aus wer­den Berech­ti­gun­gen und gespei­cher­te Kenn­wort- und Grup­pen­richt­li­ni­en untersucht.

Netz­werk­seg­men­tie­rung vornehmen

Die Bil­dung von logi­schen Seg­men­ten im Netz­werk für die unter­schied­li­chen Geschäfts­an­for­de­run­gen ist eben­falls ent­schei­dend für die Sicher­heit. Die­se Iso­la­ti­on der unter­schied­li­chen Seg­men­te ermög­licht den Gerä­ten den Zugriff aus­schließ­lich auf die tat­säch­lich benö­tig­ten Res­sour­cen. Unbe­fug­ter Daten­aus­tausch zwi­schen den Grup­pen wird somit verhindert.

Berech­ti­gungs­mo­dell optimieren

Ein funk­tio­nie­ren­des Berech­ti­gungs­mo­dell bil­det das Fun­da­ment für einen wir­kungs­vol­len Schutz. Hier gilt es indi­vi­du­ell für jedes Unter­neh­men zu ent­schei­den, wie ein ver­nünf­ti­ges Modell auf­ge­baut wird. Grund­sätz­lich gilt jedoch: Je mini­ma­lis­ti­scher das Berech­ti­gungs­mo­dell, des­to gerin­ge ist die Wahr­schein­lich­keit einer Unter­wan­de­rung durch mög­li­che Angreifer.

Fin­den die­se Punk­te bei der Kon­fi­gu­ra­ti­on des AD Berück­sich­ti­gung, ist das Unter­neh­men deut­lich bes­ser geschützt. Eine Unter­wan­de­rung des Berech­ti­gungs­mo­dells sowie die anschlie­ßen­de Rech­tees­ka­la­ti­on durch den Angrei­fer ist kaum mehr möglich.

 

Ist Ihr Acti­ve Direc­to­ry auf dem neus­ten Stand?

Wir unter­stüt­zen Sie ger­ne — egal ob es sich um das Prü­fen von Schwach­stel­len, die Durch­füh­rung einer Netz­werk­seg­men­tie­rung oder die Opti­mie­rung Ihres Berech­ti­gungs­mo­dells han­delt. Schil­dern Sie uns kurz Ihre indi­vi­du­el­len Her­aus­for­de­run­gen über das Kon­takt­for­mu­lar. Wir set­zen uns umge­hend mit Ihnen in Verbindung.