Fachartikel

Im Test: Semperis Directory Services Protector 3.6

Das Active Directory bildet die Schaltzentrale und das Rückgrat vieler IT-Infrastrukturen. Der Verzeichnisdienst ist daher beliebtes Ziel von Angreifern. Semperis Directory Services Protector überwacht das AD auf Schwachstellen, unerwünschte Änderungen sowie Indikatoren für eine Attacke und greift automatisch ein. IT-Administrator hat sich angesehen, wie sich die Software in der Praxis schlägt.
Der Directory Services Protector von Semperis identifiziert Schwachstellen und gibt Tipps zu deren Behebung.
Die Urheber von Ransomware-Angriffen gehen immer professioneller vor und es vergeht kaum eine Woche, in der die öffentliche Berichterstattung nicht von erfolgreichen Attacken auf Unternehmen oder gar ganze Staaten kündet. In vielen Fällen hat ein nicht ausreichend abgesichertes AD den Angreifern den Weg geebnet, denn der Verzeichnisdienst bildet das zentrale Vertrauens- und Identitätssystem für alle Benutzer, Clients und Server einer Infrastruktur. Gelingt es böswilligen Eindringlingen, das Konto eines Domänen-Admins zu übernehmen, können sie nach Belieben Daten stehlen sowie verschlüsseln und den IT-Betrieb im schlechtesten Fall komplett lahmlegen. Ziel einer guten Abwehr ist es folglich, möglichst keine Schwachstellen zu offenbaren.

Das Unternehmen Semperis hat sich Produkten rund um die Informationssicherheit, insbesondere von lokalen ADs und hybriden Infrastrukturen in Verbindung mit Azure AD, verschrieben. Zum Portfolio gehören mit Purple Knight ein kostenloses Tool zur Bewertung der AD-Sicherheit sowie die kommerziellen Werkzeuge Active Directory Forest Recovery und Directory Services Protector (DSP).

AD, DNS und Gruppenrichtlinien im Blick
DSP orientiert sich am NIST Cybersecurity Framework. Die Software legt den Schwerpunkt zunächst auf lokale AD-Umgebungen und trägt dem Umstand Rechnung, dass Microsofts Verzeichnisdienst seit Windows Server 2016 keine signifikanten Änderungen mehr erfahren hat. Bestehende Umgebungen sind im Hinblick auf ihre Sicherheit nicht unbedingt optimal konfiguriert, insbesondere wenn sie ursprünglich auf Basis noch älterer Versionen von Windows Server entstanden sind. DSP untersucht eine AD-Infrastruktur entsprechend auf mögliche Schwachstellen und empfiehlt Gegenmaßnahmen.

Weiterhin überwacht DSP das AD kontinuierlich auf potenziell unerwünschte Änderungen und Indikatoren für mögliche Angriffe (Indicators of Exposure, IOE). Dies schließt nicht nur den Verzeichnisdienst selbst mitsamt Konfigurations- und Schema-Partition ein, sondern auch Gruppenrichtlinien und das AD-integrierte DNS. DSP verfolgt das Ändern und Löschen von Objekten sowie auch von einzelnen Attributen und macht diese Aktionen manuell oder automatisiert rückgängig – und dies wesentlich einfacher, als es mit Bordmitteln von Windows möglich wäre. Dabei kehrt DSP auf Wunsch nicht nur zum unmittelbar vorherigen Zustand zurück, sondern zu einem beliebigen Zeitpunkt. DSP spielt mit bereits vorhandenen Systemen für das Security Information and Event Management zusammen.

Fazit
Semperis DSP eignet sich aufgrund seiner skalierbaren Architektur für AD-Gesamtstrukturen jeder Größenordnung und hilft, Schwachstellen zu erkennen und zu beheben. Herausragend ist die Protokollierung von Änderungen, da diese mittels der Audit-Agenten auch feststellt, wer eine Änderung veranlasst hat. Erwähnenswert ist zudem, dass DSP auch Änderungen an Konfiguration, Schema sowie DNS und Gruppenrichtlinien erkennt. Mithilfe der Regeln greift DSP auf Wunsch automatisch ein und vereitelt so Angriffe.

Den kompletten Test finden Sie in Ausgabe 08/2022 ab Seite 24.
1.08.2022/ln/dr/Dr. Christian Knermann

Nachrichten

Dicker Brummer [5.08.2022]

Mit dem Modell HD6500 gibt Synology den Startschuss für seine neue Serie an High-Density-Speichergeräten. Mit einem 4-HE-Formfaktor und 60 Einschüben für 3,5-Zoll-SAS-HDDs und optionalen Expansionseinheiten lassen sich mit dem Neuzugang laut Hersteller bis zu 4 PByte an Daten speichern. [mehr]

Außendienstler [4.08.2022]

Super Micro Computer präsentiert eine ganze Palette neuer Systeme für das Edge-Computing – darunter SuperEdge und eine Reihe von Systemen auf Intel-Xeon-D-Prozessorbasis mit bis zu 20 Kernen und integriertem 25-GbE-Netzwerk. Die neuen Geräte verfügen über einen Temperaturbetriebsbereich von -40 bis 85 Grad Celsius. [mehr]

Kleines Kraftpaket [3.08.2022]

Feiert die Admins! [29.07.2022]

Tipps & Tools

Download der Woche: Zero Install [3.08.2022]

Wenn Sie als Admin ständig zwischen Arbeitsgruppen beziehungsweise Abteilungen hin und her flitzen, können Sie neben Ihrem Softwarerepertoire auf einem Netzwerkordner auch gleich eine umfassende Sammlung an praktischen Werkzeugen mitbringen. Das kostenfreie Tool "Zero Install" stellt Ihnen einen Softwarekatalog bereit, der alle Programme sofort und mit einem Klick ganz ohne Installation startet. Die erforderlichen Daten werden erst bei Bedarf auf den Rechner geladen. [mehr]

Automatisierung von Tasks einrichten [29.07.2022]

Das zentrale Koordinieren von Programmabläufen per Kalender ist für stets wiederkehrende Aufgaben besonders hilfreich. Mit dem kostenfreien Tool "Z-Cron" können Sie das Ausführen von Kommandos, Programmen und Skripten zu ganz bestimmten Zeiten einrichten. Praktisch ist die Tatsache, dass die ausgewählten Anwendungen auch dann automatisch starten, wenn niemand am Rechner eingeloggt ist. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen