Neue Handreichung zur AD-Sicherheit
Das Active Directory bildet das Fundament vieler Unternehmensnetzwerke und ist entscheidend für die Verwaltung von Benutzern und Zugriffsrechten. Seine Absicherung ist kritisch, da Angriffe auf AD weitreichende Folgen für das gesamte Netzwerk haben können. Ein robustes Sicherheitskonzept für AD ist unerlässlich, um die Integrität des Netzwerks zu schützen und Angriffe frühzeitig zu erkennen und abzuwehren. Nun gibt es eine neue Handreichung von mehreren Cybersicherheitsbehörden.
Im September 2024 veröffentlichten internationale Cybersicherheitsbehörden wie ASD, CISA und NCSC das PDF-Dokument "Detecting and Mitigating Active Directory Compromises". Es informiert über 17 gängige Kompromittierungstechniken und empfiehlt Gegenmaßnahmen. Die Angriffstechniken würden oft von böswilligen Akteuren genutzt, um in IT-Systeme einzudringen, was AD aufgrund dessen zentraler Rolle zu einem attraktiven Ziel mache.
So betonen die Autoren, dass das Active Directory aufgrund seiner Standardkonfigurationen und komplexen Beziehungen zwischen Benutzern und Systemen anfällig für Angriffe ist. Jede Benutzerrolle im AD besitze theoretisch genügend Berechtigungen, um Schwachstellen zu identifizieren und auszunutzen, was das Verteidigen gegen Angriffe erschwert. Dies mache es böswilligen Akteuren leicht, durch die Nutzung von Schwachstellen die volle Kontrolle über das Netzwerk zu erlangen. Besonders problematisch sei, dass Angreifer über das AD nicht nur auf interne Systeme, sondern auch auf cloudbasierte Dienste zugreifen könnten.
Ein weiteres zentrales Thema ist die Widerstandsfähigkeit des AD. In vielen Fällen könnten Angreifer nämlich monatelang unbemerkt im System verbleiben, auch wenn Reaktionsmaßnahmen ergriffen würden. Daher empfehlen die Cybersicherheitsbehörden, proaktive Maßnahmen zu ergreifen, wie das regelmäßige Zurücksetzen von Passwörtern oder im schlimmsten Fall den kompletten Neuaufbau des Verzeichnisses. Bestimmte Persistenztechniken könnten gar einen Fernzugriff ermöglichen, selbst wenn eine Multifaktor-Authentifizierung im Einstz sei.
Nicht zuletzt bietet der Report eine detaillierte Übersicht über Tools, die zur Sicherung eines Active Directory beitragen können, darunter BloodHound, Netwrix PingCastle und Purple Knight. Zudem werden konkrete Techniken wie Kerberoasting, Password Spraying und der Einsatz von Silver Tickets beschrieben, die alle das Ziel haben, über Active Directory Privilegien zu eskalieren und lateral im Netzwerk voranzukommen. Abschließend weisen die Autoren noch einmal darauf hin, dass ein effektives Sicherheitskonzept für das AD unerlässlich ist, um die Integrität des gesamten Netzwerks zu gewährleisten und potenzielle Angriffe frühzeitig zu erkennen und abzuwehren.