Fachartikel

Im Test: Semperis Directory Services Protector 3.6

Das Active Directory bildet die Schaltzentrale und das Rückgrat vieler IT-Infrastrukturen. Der Verzeichnisdienst ist daher beliebtes Ziel von Angreifern. Semperis Directory Services Protector überwacht das AD auf Schwachstellen, unerwünschte Änderungen sowie Indikatoren für eine Attacke und greift automatisch ein. IT-Administrator hat sich angesehen, wie sich die Software in der Praxis schlägt.
Der Directory Services Protector von Semperis identifiziert Schwachstellen und gibt Tipps zu deren Behebung.
Die Urheber von Ransomware-Angriffen gehen immer professioneller vor und es vergeht kaum eine Woche, in der die öffentliche Berichterstattung nicht von erfolgreichen Attacken auf Unternehmen oder gar ganze Staaten kündet. In vielen Fällen hat ein nicht ausreichend abgesichertes AD den Angreifern den Weg geebnet, denn der Verzeichnisdienst bildet das zentrale Vertrauens- und Identitätssystem für alle Benutzer, Clients und Server einer Infrastruktur. Gelingt es böswilligen Eindringlingen, das Konto eines Domänen-Admins zu übernehmen, können sie nach Belieben Daten stehlen sowie verschlüsseln und den IT-Betrieb im schlechtesten Fall komplett lahmlegen. Ziel einer guten Abwehr ist es folglich, möglichst keine Schwachstellen zu offenbaren.

Das Unternehmen Semperis hat sich Produkten rund um die Informationssicherheit, insbesondere von lokalen ADs und hybriden Infrastrukturen in Verbindung mit Azure AD, verschrieben. Zum Portfolio gehören mit Purple Knight ein kostenloses Tool zur Bewertung der AD-Sicherheit sowie die kommerziellen Werkzeuge Active Directory Forest Recovery und Directory Services Protector (DSP).

AD, DNS und Gruppenrichtlinien im Blick
DSP orientiert sich am NIST Cybersecurity Framework. Die Software legt den Schwerpunkt zunächst auf lokale AD-Umgebungen und trägt dem Umstand Rechnung, dass Microsofts Verzeichnisdienst seit Windows Server 2016 keine signifikanten Änderungen mehr erfahren hat. Bestehende Umgebungen sind im Hinblick auf ihre Sicherheit nicht unbedingt optimal konfiguriert, insbesondere wenn sie ursprünglich auf Basis noch älterer Versionen von Windows Server entstanden sind. DSP untersucht eine AD-Infrastruktur entsprechend auf mögliche Schwachstellen und empfiehlt Gegenmaßnahmen.

Weiterhin überwacht DSP das AD kontinuierlich auf potenziell unerwünschte Änderungen und Indikatoren für mögliche Angriffe (Indicators of Exposure, IOE). Dies schließt nicht nur den Verzeichnisdienst selbst mitsamt Konfigurations- und Schema-Partition ein, sondern auch Gruppenrichtlinien und das AD-integrierte DNS. DSP verfolgt das Ändern und Löschen von Objekten sowie auch von einzelnen Attributen und macht diese Aktionen manuell oder automatisiert rückgängig – und dies wesentlich einfacher, als es mit Bordmitteln von Windows möglich wäre. Dabei kehrt DSP auf Wunsch nicht nur zum unmittelbar vorherigen Zustand zurück, sondern zu einem beliebigen Zeitpunkt. DSP spielt mit bereits vorhandenen Systemen für das Security Information and Event Management zusammen.

Fazit
Semperis DSP eignet sich aufgrund seiner skalierbaren Architektur für AD-Gesamtstrukturen jeder Größenordnung und hilft, Schwachstellen zu erkennen und zu beheben. Herausragend ist die Protokollierung von Änderungen, da diese mittels der Audit-Agenten auch feststellt, wer eine Änderung veranlasst hat. Erwähnenswert ist zudem, dass DSP auch Änderungen an Konfiguration, Schema sowie DNS und Gruppenrichtlinien erkennt. Mithilfe der Regeln greift DSP auf Wunsch automatisch ein und vereitelt so Angriffe.

Den kompletten Test finden Sie in Ausgabe 08/2022 ab Seite 24.
1.08.2022/ln/dr/Dr. Christian Knermann

Nachrichten

Dicker Brummer [5.08.2022]

Mit dem Modell HD6500 gibt Synology den Startschuss für seine neue Serie an High-Density-Speichergeräten. Mit einem 4-HE-Formfaktor und 60 Einschüben für 3,5-Zoll-SAS-HDDs und optionalen Expansionseinheiten lassen sich mit dem Neuzugang laut Hersteller bis zu 4 PByte an Daten speichern. [mehr]

Im Chat mit Security-Experten [4.08.2022]

Kaspersky möchte den Zugang zu den Experten seines Security Operation Centers für seine Kunden des Managed-Detection-and-Response-Optimum-Service erleichtern. Mittelständische Unternehmen können sich damit nun direkt an die SOC-Analysten von Kaspersky wenden und über einen speziellen Chat rund um die Uhr Fragen stellen. [mehr]

Außendienstler [4.08.2022]

Kleines Kraftpaket [3.08.2022]

Tipps & Tools

Intensivseminar "Office 365 bereitstellen und absichern" in München oder online [8.08.2022]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und können Lizenzgebühren sparen. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensivseminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange, SharePoint Online und Teams. Die Veranstaltung findet Ende September in München statt – parallel dazu können Sie auch online teilnehmen. [mehr]

Änderungen auf Webseiten nachverfolgen [6.08.2022]

Die wenigsten Nutzer haben die Zeit, um regelmäßig besuchte Webseiten im Detail auf Aktualisierungen zu prüfen. Mit dieser Aufgabe kann der "WebChangeMonitor" besser umgehen, der automatisch eine Vielzahl an Internetseiten automatisch auf Änderungen überprüft. Dabei können Sie das Intervall für jede Webseite individuell festlegen. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen