F\u00fcr viele Unternehmen ist Active Directory das technische Herzst\u00fcck der IT. Benutzer, Rechner, Berechtigungen und oft auch der Zugriff auf Cloud\u2011Dienste h\u00e4ngen direkt daran. Genau deshalb ist Active Directory seit Jahren ein bevorzugtes Ziel f\u00fcr Angreifer.<\/p>\n
Spannend dabei: Die gr\u00f6\u00dften Risiken entstehen h\u00e4ufig nicht durch hochkomplexe Zero\u2011Day\u2011Angriffe, sondern durch allt\u00e4gliche Vers\u00e4umnisse bei Betrieb und Konfiguration. Microsoft hat diese Risiken in einem aktuellen Leitfaden klar benannt. Dieser Beitrag fasst die wichtigsten Punkte praxisnah zusammen.<\/p>\n
<\/p>\n
Wer ein privilegiertes Konto im Active Directory \u00fcbernimmt, erh\u00e4lt in der Regel Zugriff auf gro\u00dfe Teile der IT\u2011Umgebung. Produktionssysteme, Dateiablagen, E\u2011Mail, teilweise auch Cloud\u2011Anwendungen sind dann nicht mehr gesch\u00fctzt.<\/p>\n
Gerade in hybriden Umgebungen \u2013 also Active Directory vor Ort plus Cloud\u2011Dienste \u2013 wirkt sich ein kompromittiertes Konto besonders stark aus.<\/p>\n
<\/p>\n
Ein relevanter Teil erfolgreicher Angriffe nutzt bekannte Sicherheitsl\u00fccken. Das ist keine neue Erkenntnis \u2013 in der Praxis hapert es dennoch oft an der konsequenten Umsetzung.<\/p>\n
Wichtig ist:<\/p>\n
Updates m\u00fcssen regelm\u00e4\u00dfig und automatisiert installiert werden.<\/p>\n
Der Patch\u2011Status der Dom\u00e4nencontroller muss \u00fcberwacht werden.<\/p>\n
Abweichungen von sicheren Standardkonfigurationen sollten erkannt und korrigiert werden.<\/p>\n
Ungepatchte Systeme sind kein Restrisiko, sondern ein Einladungsbrief.<\/p>\n
<\/p>\n
\u00dcberprivilegierte Konten sind eines der gr\u00f6\u00dften Sicherheitsprobleme im Active Directory. Wer ein solches Konto kompromittiert, kann Schutzmechanismen deaktivieren oder sich dauerhaft festsetzen.<\/p>\n
Typische Ursachen:<\/p>\n
Historisch gewachsene Gruppen<\/p>\n
\u201eDas brauchen wir vielleicht irgendwann noch\u201c<\/p>\n
Dienstkonten mit weitreichenden Rechten<\/p>\n
Bew\u00e4hrte Gegenma\u00dfnahmen:<\/p>\n
Regelm\u00e4\u00dfige Pr\u00fcfung von Gruppenmitgliedschaften<\/p>\n
Konsequente Umsetzung des Minimal\u2011Rechte\u2011Prinzips<\/p>\n
Trennung von Benutzer\u2011 und Administrationskonten<\/p>\n
Zeitlich begrenzte administrative Berechtigungen<\/p>\n
Weniger Rechte bedeuten nicht weniger Produktivit\u00e4t, sondern weniger Schaden im Ernstfall.<\/p>\n
<\/p>\n
Die uneingeschr\u00e4nkte Kerberos\u2011Delegierung erlaubt es Systemen, Anmeldeinformationen weiterzureichen. Das gilt heute als nicht mehr zeitgem\u00e4\u00df und stellt ein erhebliches Risiko dar.<\/p>\n
Empfehlungen:<\/p>\n
Uneingeschr\u00e4nkte Delegierung vollst\u00e4ndig abschalten<\/p>\n
Sensible Konten als nicht delegierbar markieren<\/p>\n
Besonders sch\u00fctzenswerte Benutzer in spezielle Schutzgruppen aufnehmen<\/p>\n
Die lokalen Anmeldeinformationen auf Endger\u00e4ten absichern<\/p>\n
Hier lassen sich Risiken oft mit wenigen gezielten Einstellungen deutlich reduzieren.<\/p>\n
<\/p>\n
Drei typische Angriffe auf das Active Directory<\/p>\n
Bei diesen Angriffen wird eine Anmeldung abgefangen und weitergeleitet. Besonders anf\u00e4llig ist die \u00e4ltere NTLM\u2011Authentifizierung.<\/p>\n
Sinnvolle Schutzma\u00dfnahmen:<\/p>\n
NTLM nach M\u00f6glichkeit abschalten<\/p>\n
Signierte Verbindungen erzwingen<\/p>\n
Anmeldeereignisse \u00fcberwachen<\/p>\n
Starke Anmeldungsmethoden einsetzen<\/p>\n
Je weniger alte Protokolle im Einsatz sind, desto besser.<\/p>\n
<\/p>\n
Kerberoasting richtet sich gegen Dienstkonten. Angreifer fordern regul\u00e4re Tickets an und versuchen anschlie\u00dfend, die Passw\u00f6rter offline zu knacken.<\/p>\n
Was hilft:<\/p>\n
Starke, zuf\u00e4llige Kennw\u00f6rter f\u00fcr Dienstkonten<\/p>\n
Verwaltete Service\u2011Konten statt klassischer Benutzerkonten<\/p>\n
Veraltete Verschl\u00fcsselungsverfahren deaktivieren<\/p>\n
Nutzung moderner Serverversionen mit sicheren Standards<\/p>\n
Besonders \u00e4ltere Dienstkonten sind hier ein h\u00e4ufiger Schwachpunkt.<\/p>\n
<\/p>\n
Golden\u2011Ticket\u2011Angriffe sind besonders gef\u00e4hrlich, da sie kaum auffallen. Angreifer f\u00e4lschen g\u00fcltige Kerberos\u2011Tickets und erhalten damit dauerhaft Zugriff auf die Dom\u00e4ne.<\/p>\n
Zentrale Ma\u00dfnahmen:<\/p>\n
Regelm\u00e4\u00dfiger Passwortwechsel besonders sensibler Konten<\/p>\n
Entfernen unn\u00f6tiger Synchronisations\u2011 und Replikationsrechte<\/p>\n
Kontinuierliche \u00dcberwachung verd\u00e4chtiger Aktivit\u00e4ten<\/p>\n
Diese Angriffe sind selten \u2013 aber im Schadensfall existenziell.<\/p>\n
<\/p>\n
Die gute Nachricht ist: Active Directory l\u00e4sst sich mit vergleichsweise klaren Grundprinzipien deutlich besser absichern.<\/p>\n
Die wichtigsten davon sind:<\/p>\n
Konsequentes Patch\u2011Management<\/p>\n
Strikte Begrenzung von Rechten<\/p>\n
Abschaltung veralteter Mechanismen<\/p>\n
Wer diese Punkte ernst nimmt, reduziert nicht nur die Angriffsfl\u00e4che, sondern auch die Auswirkungen eines erfolgreichen Angriffs erheblich.<\/p>\n
Active Directory ist kein Relikt \u2013 aber es braucht einen zeitgem\u00e4\u00dfen Betrieb.<\/p>\n","protected":false},"excerpt":{"rendered":"
F\u00fcr viele Unternehmen ist Active Directory das technische Herzst\u00fcck der IT. Benutzer, Rechner, Berechtigungen und…<\/p>\n","protected":false},"author":1,"featured_media":740,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1063","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1063","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1063"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1063\/revisions"}],"predecessor-version":[{"id":1064,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1063\/revisions\/1064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/740"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1063"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1063"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1063"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}