Noch ein Sonntagsthema für Administratoren, die für die Verwendung eines Microsoft Active Directory (AD) im Unternehmen verantwortlich zeichnen. Gerüchteweise hört man, dass sich viele Unternehmen im Geschäftsbetrieb mit ihrer IT auf Microsofts AD verlassen. Das Zeugs ist seit 20 Jahren auf dem Markt und ist wohl auch recht zuverlässig. Nur wie steht es mit der Sicherheit? Laut Sicherheitsanbieter Semperis birgt die 20 Jahre alte AD-Technologie einige Security-Herausforderungen.
Anzeige
Ich fand die Perspektive, die Sean Deuby, Director of Services bei Semperis, eingenommen hat, ganz spannend. In einem Beitrag bestätigt er zwar, dass Active Directory lange Zeit problemlos seinen Dienst in der IT vieler Unternehmen verrichtete. Aber nun weist Sean Deuby darauf hin, dass das AD in einem Netzwerk jetzt zunehmend aus der Sicherheitsperspektive in den Fokus rückt. Wenn ich hier über Sicherheitsvorfälle blogge, in denen etwas mehr über den Angriffsvektor bekannt wird, kommt oft das Thema "Kompromittierung des Active Directory" auf.
Denn ein AD ist im Wesentlichen das Gateway, das Mitarbeiter mit ihren Ressourcen (wie etwa E-Mail oder Netzwerkdateifreigaben) im Unternehmensnetzwerk verbindet. Administratoren nutzen AD, um die Berechtigungen der einzelnen Benutzer zu verwalten, sie bei der Anmeldung zu authentifizieren und festzulegen, auf welche Ressourcen sie zugreifen können. Dies hat viele Vorteile. AD ist einfach zu verwenden, existiert seit vielen Jahren und ist sehr zuverlässig.
Der Haken: Gelingt ein Angriff auf das AD, kann der Angreifer diese Berechtigungen für eigene Zwecke missbrauchen – was ja inzwischen bei Sicherheitsvorfällen häufig beobachtet werden kann. Viele Unternehmen sind sich bisher jedoch nicht den per AD verbundenen Sicherheitsrisiken bewusst.
AD als Problemlösung
Dazu zeichnet Sean Deuby, die Historie nach. Vor der Einführung von AD im Jahr 2000 waren die IT-Directory-Server von Microsoft nicht in dem Maße skalierbar, dass sie die Anforderungen mittlerer und großer Unternehmen erfüllen konnten, so dass viele Server erforderlich waren. Ein Unternehmen mit etwa 1.000 Mitarbeitern benötigte mitunter 200 Server. Dies stellte für die Unternehmen ein großes Problem dar. Dies lag nicht nur daran, dass all diese einzelnen Server schwer zu verwalten waren, da jeder einzelne eindeutige Zugangsdaten erforderte. Zudem waren auch Aktivitäten wie die gemeinsame Nutzung von Dateien erschwert, da diese nicht ohne weiteres miteinander kommunizieren konnten.
Anzeige
AD löste diese Herausforderung. Durch die einfache Integration in Anwendungen und die Bereitstellung von Single Sign-On-Funktionen für die gesamte Unternehmensumgebung veränderte es das Netzwerkerlebnis und wurde schnell allgegenwärtig. Seine Verbreitung hat sich in den letzten zwei Jahrzehnten nicht verändert. Diese fast ein Vierteljahrhundert alte Technologie ist heute wichtiger denn, bildet sie doch die Grundlage für die meisten Cloud-Identitätssysteme, die von Unternehmen auf der ganzen Welt eingesetzt werden. Obwohl AD für die meisten Unternehmen weltweit immer noch unverzichtbar ist, hat es sich auch zu einem Sicherheitsproblem entwickelt.
Warum AD heute ein Problem ist
AD ist aus mehreren Gründen angreifbar. Erstens wurde es nicht für den Umgang mit komplexen Sicherheitsbedrohungen konzipiert. Es wurde in einer Zeit entwickelt, als es noch keine Ransomware, keine ausgeklügelten, von Staaten unterstützten Cyberattacken und keine weit verbreitete Nutzung von Cloud-Computing gab. Es handelt sich um eine Technologie aus einer anderen Zeit – und deshalb kann sie vielen der modernen Bedrohungen, mit denen wir heute konfrontiert sind, nicht wirksam begegnen.
Zweitens wurde AD als offenes System konzipiert, um die Nutzung zu erleichtern. Es vertraut den in einem Netzwerk angemeldeten Benutzern, um ein nahtloses Benutzererlebnis zu ermöglichen. Genau diese Offenheit ist heute jedoch eine schwierige Herausforderung für Verteidiger, da sie erfolgreichen Eindringlingen nur wenige Hindernisse in den Weg stellt.
Drittens bedeutet das Alter des Netzes, dass es in vielen Fällen über 20 Jahre lang schlechte Sicherheitsentscheidungen gab, die ursprünglich aus Gründen der Zweckmäßigkeit getroffen wurden. Diese haben sich zu einem massiven Angriffsziel angesammelt, das selbst Amateure bewältigen können.
Aus diesen Gründen sind etwa 90 Prozent aller Unternehmen Sicherheitsverletzungen ausgesetzt, die auf AD-Schwachstellen zurückzuführen sind, und neun von zehn aller Cyberangriffe betreffen in irgendeiner Form das AD. Solche Statistiken sind nicht gerade beruhigend, ebenso wie die Einfachheit der Angriffsmethoden, mit denen AD ins Visier genommen wird. Der typische Angriffsprozess erfolgt schrittweise:
- Angreifer kompromittieren einen PC durch Phishing. Sie senden betrügerische E-Mails, die darauf abzielen, Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben, z. B. ihre Zugangsdaten für AD.
- Ein Angreifer versucht dann daran, Privilegien auf einem lokalen Rechner zu erhalten. Angreifer können ihre Berechtigungen auf dem Rechner auf verschiedene Weise erhöhen und dabei Schwachstellen des Geräts ausnutzen.
- Sie nutzen dabei AD, um andere Geräte zu finden und alle in diesem Netzwerk angeschlossenen und genutzten Geräte zu erfassen.
- Als nächstes nehmen sie weitere Geräte ins Visier. Von hier aus bewegen sie sich in einem Netzwerk und führen schwer zu entdeckende Erkundungen durch, indem sie viele Computer angreifen, um einen zu finden, der über AD-Administratorrechte verfügt.
- Schließlich verschaffen sie sich Zugang zu den Anmeldeinformationen eines privilegierten oder administrativen Kontos. Sobald sie diese haben, haben sie die volle Kontrolle über AD – und alles, was davon abhängt.
Ein Beispiel für einen beliebten AD-Angriff ist der so genannte „Golden Ticket"-Angriff. Bekannt ist das goldene Ticket aus dem Roman „Charlie und die Schokoladenfabrik" von Roald Dahl. In der digitalen Welt bieten diese goldenen Eintrittskarten ebenfalls Zugang zur IT-Umgebung eines Unternehmens. Ein Golden-Ticket-Angriff verschafft Bedrohungsakteuren ungehinderten Zugang zu Netzwerkressourcen und die Möglichkeit, sich unbegrenzt in Netzwerken aufzuhalten, getarnt als berechtigte Benutzer mit Administratorrechten.
Umfang der Bedrohung
AD ist nicht nur deshalb ein Problem, weil es leicht anzugreifen ist, auch die Profite für Angreifer sind beträchtlich. AD ist im Grunde der Schlüssel zum Königreich. AD ist wie ein Safe, in dem ein Unternehmen die physischen Schlüssel für die Büros aufbewahrt. Es ist der zentrale Knotenpunkt für den Zugriff auf die kritischen Systeme, also Computer, Softwareanwendungen und andere Ressourcen.
Diese Angriffsweise ist gefährlich, weil sie sowohl einfach als auch lukrativ ist. Im Jahr 2021 zahlten Unternehmen Lösegelder von bis zu 40 Millionen US-Dollar, um wieder Zugang zum Netzwerk zu erhalten. Gleichzeitig werden die Einstiegshürden für Angreifer immer niedriger. Dank des boomenden Marktes für Ransomware-as-a-Service (RaaS) müssen sie nicht mehr technisch versiert sein. Stattdessen kaufen sie einfach Tools und Dienstleistungen von den Profis. Dies ist ein verheerender Kreislauf. Der Profit für Angreifer steigt, während die erforderlichen technischen Kenntnisse immer weiter sinken, wodurch sich die Angriffslandschaft exponentiell erweitert.
Es ist daher leicht zu verstehen, warum die Ransomware-Studie 2021 von International Data Corporation kürzlich ergab, dass mehr als ein Drittel (37 Prozent) der weltweiten Unternehmen im Jahr 2021 Opfer eines Ransomware-Angriffs sein werden. In der Tat stehen die Chancen eindeutig zugunsten der Angreifer.
Wie können Unternehmen darauf reagieren?
Unternehmen müssen reagieren, um diese Bedrohungsflut zu stoppen. Um ihre Schwachstellen zu minimieren, müssen sie zunächst wissen, wo sie verwundbar sind. Für viele Unternehmen kann sich der Versuch, dieses Verständnis zu erlangen, überwältigend anfühlen. Dies gilt besonders für diejenigen, die wenig oder gar keine Kenntnisse im Bereich der Cybersicherheit haben. Es gibt Lösungen und die richtige Unterstützung, die dabei helfen.
Purple Knight, ein kostenloses Tool zur Sicherheitsbewertung von Active Directory, ist ein guter Ausgangspunkt. Entwickelt und verwaltet von einer führenden Gruppe von Microsoft-Identitätsexperten, kann es dabei helfen, Schwachstellen in Active Directory zu erkennen, bevor Angreifer sie finden. Es zeigt zudem allgemeine Schwachstellen auf, die behoben werden sollten.
Im aktuellen Purple Knight Report wird eine ganze Reihe potenzieller Schwachstellen aufgelistet. Für den Anfang sind jedoch einige gängige Beispiele zu nennen:
- Konfigurationsabweichung: Die Konfigurationsabweichung ist das Ergebnis jahrelanger schlechter AD-Praktiken. Anwendungen müssen in AD konfiguriert werden, um zu funktionieren, aber das braucht Zeit. Eine schnelle Lösung für dieses Problem besteht darin, der Anwendung zu viele administrative Rechte zu erteilen. Dies ist etwas, das Unternehmen in der Vergangenheit getan haben, weil sie ihr glänzendes neues Tool so schnell wie möglich zum Laufen bringen wollten. Infolgedessen häufen sich die administrativen Konten in AD an. So braucht nur eines dieser Konten angegriffen zu werden, um katastrophale Folgen zu bewirken.
- Veraltete Administratorkonten: Ältere Administratorkonten werfen ähnliche Probleme auf. Sie sind die Leichen im Keller. Wenn es einem Angreifer gelingt, sich Zugang zu diesen privilegierten Konten zu verschaffen, werden sie Unternehmen zum Verhängnis.
- Schwache oder gängige Passwörter: Angreifer versuchen auch immer noch, auf mehrere Konten zuzugreifen, indem sie eine Reihe häufig verwendeter Passwörter ausprobieren. Dies wird als Password Spraying bezeichnet. Diese Technik lässt sich leicht vereiteln, indem Administratoren die Verwendung von schwachen oder häufig genutzten Passwörtern in ihrem Netzwerk unterbinden.
In diesem Kontext hatte ich kürzlich den Beitrag So finden Sie schwache Passwörter im Active Directory und beseitigen diese mit PowerShell hier im Blog. Ist zwar ein sponsored Post, der aber Tools zum Herausfinden schwacher oder gängiger Passwörter bereitstellt und auf weitere Lösungen verweist.
Natürlich sei das Erkennen und Beheben dieser Schwachstellen nur ein kleiner Teil des Puzzles, meint Sean Deuby. Um die wachsende Bedrohung durch Cyberkriminalität langfristig wirksam bekämpfen zu können, müssen Unternehmen eine Reihe von bewährten Verfahren aktiv anwenden, so der Semperis-Experte. Diese reichen von der Durchführung regelmäßiger interner Sicherheitsprüfungen und wichtiger betrieblicher Verbesserungen bis hin zu regelmäßigen Mitarbeiterschulungen zum Thema Phishing. Sinnvoll seien ebenso Investitionen in Wiederherstellungsprozesse, um im Falle eines Angriffs eine schnelle Reaktion zu gewährleisten.
Die meisten Unternehmen sind auf Unterstützung oder Anleitung bei der Entwicklung einer starken Verteidigung angewiesen. Sie sollten sich dabei von Fachleuten beraten lassen, die auf AD-Sicherheit spezialisiert sind, so Deuby. Nur so gelänge es, die wichtigsten Änderungen zu verstehen, die Administratoren am AD vornehmen müssen. Angriffe auf Active Directory seien nicht mehr eine Frage des Ob, sondern des Wann, ist sich der Experte sicher. Wenn Unternehmen ihre kritischen AD-Schwachstellen beseitigen, hätten sie eine gute Chance, gegen solche Angriffe gewappnet zu sein. Wer das schleifen lässt, wird weiterhin leichte Beute – und muss u.U. mit den schlimmsten Folgen rechnen. Wie geht ihr in den Unternehmen mit dieser Fragestellung um? Alles kalter Kaffee, oder heiß diskutiert?
Anzeige
Gibt es einen Download-Link zu "Purple Knight"? Der Artikel entspricht übrigens IMHO nicht so dem Schreibstil von GB, von irgendwo übernommen, übersetzt, von jemand anders geschrieben? Und dieses "Gerüchteweise" eingangs kann man sich sparen, es ist so, denn ab einer gewissen Unternehmensgröße es gibt quasi nichts zum AD vergleichbares.
"Gibt es einen Download-Link zu "Purple Knight"?"
Keinen Direkten, weil der Hersteller das noch "in kleinem Kreise" anbieten möchte. O-Ton: Man stellt das Werkzeug einem Netzwerk an Partnern zur Verfügung, die einem anschließend die Auswertungen näher erläutern können.
Hat für mich sowas wie: Wir sagen, es sei kostenfrei, ködern euch, um letztlich das "Experten-Team" die Modalitäten ausarbeiten zu lassen.
Ich habe kein Interesse mich dort zu registrieren. Vielleicht ist es ja was für Dich:
Download nach Registrierung mit einem beliebigen Wegwerf Anbieter, zb byom möglich
Ich habe eine eigene Infrastruktur dafür. Und dennoch greife ich darauf nicht zurück. :)
Derlei Methodiken unterstütze ich nicht.
Download Link zur aktuellen Community Version 1.5:
https://email.purple-knight.com/MjM5LUNQTi04NTEAAAGF0xKhM7dqZOq8OmbWp-eX2cF-1v7R9euoxvMA_EgsJjUeLRzbIga3NKqU4n4h2pingkpm9hE=
Danke! Wo hast Du den Direktlink gefunden? Registriert und geteilt?
Eine Alternative zu "Purple Knight", ohne Registrierung für den Download, ist "Ping Castle";
https://www.pingcastle.com/
Ansonsten sollten im Unternehmensumfeld regelmäßige IT-Sicherheitsaudits Pflicht sein.
Bei uns laufen diese alle 5 Jahre durch einen externen Dienstleister (hat dich bewährt).
Der Abstand von 5 Jahren ist viel zu groß.
Lizenz beachten!
Danke für den Hinweis!
Ich sehe aktuell aber keinen Lizenzverstoß, wenn Behörden oder Unternehmen das Tool nutzen, um die Sicherheit Ihrer eigenen Umgebung zu üperprüfen.
Laut Website:
"With the default license, the binary program can be run for free,
as long as you do not derive any revenue from it. For example,
any for-profit organizations can use it to audit their own systems."
Bitte korrigiere mich, wenn ich da falsch liege.
Danke!!!
Das mit dem "Selbstbenutzen in der eigenen Umgebung " lese ich ich hier in Deinem Zitat "for-profit organizations can use it to audit their own system"
nur für "for-profit organizations", also gemeinützige Vereine o.ae. oder wer zuhause, privat AD in der Familie (hust) ein AD nutzt.
Behörden gehören eigentlich eher nicht dazu:
"Der" Gabler sagt:
"Einer sehr breiten Definition folgend versteht man unter Nonprofit-Organisationen (NPO) alle diejenigen Organisationen, die weder erwerbswirtschaftliche Firmen noch öffentliche Behörden der unmittelbaren Staats- und Kommunalverwaltung sind."
Deinen Kommentar verstehe ich nicht.
Mag sein, dass ich aktuell Tomaten auf dem Auge habe, heute war mal wieder ein anstrengender Tag…, sorry
Lizenz laut Website:
…any for-profit organizations can use it to audit their own systems.
Non-Profit-Organisation = nicht gewinnorientierte Organisation
For-Profit-Organisation = gewinnorientierte Organisation
Siehe auch:
https://marketbusinessnews.com/financial-glossary/for-profit-organization/
P.S:
Mir ist bewusst, dass wir als Behörde unter "For-Profit-Organisation" fallen.
Argl. Ich bin immer wieder in Opfer der "Ganzwort Lese-Methoden".
Ich habe da "Non-profit" "gelesen".
Sorry.
"Prüfsoftware" von einer ominösen Quelle direkt im aktiven AD zu installieren halte ich nicht für die beste Idee.
Hallo
Purple Knight erfordert keine Installation. Die exe kann direkt gestartet werden. Es benötigt zur Prüfung der Sicherheit auch keine Admin-Credentials. Lediglich die Domäne, die geprüft werden soll, muss ausgewählt werden. Die Prüfung kann auf einem Domänen Mitglied PC ausgeführt werden. Sie erfolgt im Kontext des angemeldeten Users.
Ja, mir ist der andersartige Schreibstil auch aufgefallen, manche reißerische Wörter passen gar nicht zum üblichen Stil von Günter. Ich würde den Artikel jetzt nicht als Werbung deklarieren, vermisse aber durchaus den "neutraleren / unabhängigen" Stil vom Blogautor Günter.
Inhaltlich ist der Artikel gewohnt informationsreich, beziehungsweise kann man daraus schon erste 2-Do's für ein "sicheres" Active-Directory erarbeiten:
– LAPS
– Up2date bleiben
– Netzwerksegmentierung
– Tier-System für das AD
– Regelmäßiger Change der Kerberos Tickets
– Minimalvergabe privilegierter Konten
– Prüfen des Active-Directorys auf offensichtliche Fehler/Schwachstellen mit Tools (zb. Ping Castle oder dem hier genannten Purple Knight) oder einem Audit
– Logging des Active-Directoy's mit Tools und ggf Benachrichtigungen bei ungewöhnlichen Vorgängen (zb. ein Benutzer wird zur Domänen-Admingruppe hinzugefügt oder massig falsche Logginversuche) / Eventuell Erweiterung des Loggings der Clients
Gruß Jonas
Die Kennzeichnung als Werbung ist ziemlich klar: Der Blog-Beitrag wird beauftragt und ich bekomme dafür Geld. Das ist hier definitiv nicht der Fall.
Wenn es dagegen eine Pressemitteilung, ein Kommentar oder eine Stellungnahme eines (Sicherheits-)Anbieters ist, und ich dessen Ausführungen für so interessant befinde, dass ich sie im Blog ganz oder in Auszügen übernehme, belasse ich in der Regel deren Formulierungen – insbesondere, wenn eine Person namentlich für die Aussagen steht.
Das geht imho aber auch aus dem Passus:
im ersten Absatz hinter dem Anrisstext hervor – und im weiteren Text kommen Hinweise auf Deuby.
Es ist eine Information für die Leserschaft – wenn die relevant ist (ich fand die Ausführungen spannend), kann und sollte sich jeder Admin seine Meinung bilden. Andernfalls gilt "gehen sie weiter, hier gibt es nichts zu sehen", d.h. schlicht zur Tagesordnung übergehen ;-).
Hey Günter, danke für dein Rückmeldung, geht für mich inhaltlich in Ordnung! :-)
Hm, ja.
Dannach hat MS ein "Defakto"-Monopol auf diesem Gebiet,
denn es gibt ja keine Alternativen (mehr). (Die es gab hat MS aufgekauft, wenn sie tatsächlich bessere Produkte hatte, oder einfach nur eingestellt.)
Kann man noch etwas tun oder muß man resigniert sagen:
"Meine Lebenszeit ist mir zu schade das ändern zu wollen,
so lange es funktioniert und ich damit (mein) Geld verdienen kann" ?
Früher(tm) haben wir "John" gegen die passwd eingesetzt.
Der hat ständig versucht die Hashes zu knacken.
Das waren nur wenige hundert.
– Gibt es das heute noch (f. AD)?
– Ist das heute noch erlaubt?
Ich meine, es ist ja schon ein Unterschied ob ein Böser mein Passwort errät, oder mein Provider meinen Hash-Wert in seiner Datenbank knackt und damit mein Klartext-Passwort hat, mit dem er u.U. auch auf meinen anderen Accounts zugreifen könnte…
"massig falsche Logginversuche" melden lassen kann einen DOS erlauben…