Fachartikel

Im Test: Semperis Directory Services Protector 3.6

Das Active Directory bildet die Schaltzentrale und das Rückgrat vieler IT-Infrastrukturen. Der Verzeichnisdienst ist daher beliebtes Ziel von Angreifern. Semperis Directory Services Protector überwacht das AD auf Schwachstellen, unerwünschte Änderungen sowie Indikatoren für eine Attacke und greift automatisch ein. IT-Administrator hat sich angesehen, wie sich die Software in der Praxis schlägt.
Der Directory Services Protector von Semperis identifiziert Schwachstellen und gibt Tipps zu deren Behebung.
Die Urheber von Ransomware-Angriffen gehen immer professioneller vor und es vergeht kaum eine Woche, in der die öffentliche Berichterstattung nicht von erfolgreichen Attacken auf Unternehmen oder gar ganze Staaten kündet. In vielen Fällen hat ein nicht ausreichend abgesichertes AD den Angreifern den Weg geebnet, denn der Verzeichnisdienst bildet das zentrale Vertrauens- und Identitätssystem für alle Benutzer, Clients und Server einer Infrastruktur. Gelingt es böswilligen Eindringlingen, das Konto eines Domänen-Admins zu übernehmen, können sie nach Belieben Daten stehlen sowie verschlüsseln und den IT-Betrieb im schlechtesten Fall komplett lahmlegen. Ziel einer guten Abwehr ist es folglich, möglichst keine Schwachstellen zu offenbaren.

Das Unternehmen Semperis hat sich Produkten rund um die Informationssicherheit, insbesondere von lokalen ADs und hybriden Infrastrukturen in Verbindung mit Azure AD, verschrieben. Zum Portfolio gehören mit Purple Knight ein kostenloses Tool zur Bewertung der AD-Sicherheit sowie die kommerziellen Werkzeuge Active Directory Forest Recovery und Directory Services Protector (DSP).

AD, DNS und Gruppenrichtlinien im Blick
DSP orientiert sich am NIST Cybersecurity Framework. Die Software legt den Schwerpunkt zunächst auf lokale AD-Umgebungen und trägt dem Umstand Rechnung, dass Microsofts Verzeichnisdienst seit Windows Server 2016 keine signifikanten Änderungen mehr erfahren hat. Bestehende Umgebungen sind im Hinblick auf ihre Sicherheit nicht unbedingt optimal konfiguriert, insbesondere wenn sie ursprünglich auf Basis noch älterer Versionen von Windows Server entstanden sind. DSP untersucht eine AD-Infrastruktur entsprechend auf mögliche Schwachstellen und empfiehlt Gegenmaßnahmen.

Weiterhin überwacht DSP das AD kontinuierlich auf potenziell unerwünschte Änderungen und Indikatoren für mögliche Angriffe (Indicators of Exposure, IOE). Dies schließt nicht nur den Verzeichnisdienst selbst mitsamt Konfigurations- und Schema-Partition ein, sondern auch Gruppenrichtlinien und das AD-integrierte DNS. DSP verfolgt das Ändern und Löschen von Objekten sowie auch von einzelnen Attributen und macht diese Aktionen manuell oder automatisiert rückgängig – und dies wesentlich einfacher, als es mit Bordmitteln von Windows möglich wäre. Dabei kehrt DSP auf Wunsch nicht nur zum unmittelbar vorherigen Zustand zurück, sondern zu einem beliebigen Zeitpunkt. DSP spielt mit bereits vorhandenen Systemen für das Security Information and Event Management zusammen.

Fazit
Semperis DSP eignet sich aufgrund seiner skalierbaren Architektur für AD-Gesamtstrukturen jeder Größenordnung und hilft, Schwachstellen zu erkennen und zu beheben. Herausragend ist die Protokollierung von Änderungen, da diese mittels der Audit-Agenten auch feststellt, wer eine Änderung veranlasst hat. Erwähnenswert ist zudem, dass DSP auch Änderungen an Konfiguration, Schema sowie DNS und Gruppenrichtlinien erkennt. Mithilfe der Regeln greift DSP auf Wunsch automatisch ein und vereitelt so Angriffe.

Den kompletten Test finden Sie in Ausgabe 08/2022 ab Seite 24.
1.08.2022/ln/dr/Dr. Christian Knermann

Nachrichten

Auf kleinstem Raum [2.02.2023]

Bressner Technology erweitert sein Portfolio an eingebetteten Computersystemen um den BOXER-6646-ADP. Der Embedded-PC bietet nebst lüfterlosem und kompaktem Gehäuse eine Auswahl aus Intel-Core-Prozessoren der 12. Generation. [mehr]

Alles an Board [3.01.2023]

Mit dem WAFER-EHL erweitert ICP Deutschland sein Portfolio im Bereich der Embedded Boards. Das 3,5-Zoll-Mainboard verfügt über eine Kühlschale, die eine einfache Installation sowie unkomplizierte Wärmeabfuhr der verbauten Komponenten ermöglichen soll. [mehr]

Tipps & Tools

Kompostierbare Handyhüllen [4.02.2023]

Ihre alte Handyhülle hat schon bessere Tage erlebt? Dann wird es endlich Zeit, auf eine umweltfreundlichere Variante umzusteigen: Mit dem weltweit ersten Smartphone-Cover auf Pflanzenbasis entlasten Sie Ihr Gewissen, ohne dabei ein schickes Design über Bord werfen zu müssen. Für zahlreiche Smartphone-Modelle stehen unterschiedlichste Muster und Farben bereit. [mehr]

Tiefe Einblicke in die Notebook-Batterie [3.02.2023]

Die meisten Anwender schenken ihren Notebooks in Sachen Batterielaufzeit eher wenig Beachtung – schließlich hängt das Gerät die meiste Zeit sowieso am Netzteil und wird irgendwann aufgrund des Alters ausgetauscht. Dabei ließen sich mit ein bisschen mehr Wissen in Sachen Akkugesundheit sinnvolle Maßnahme zur Verlängerung der Lebensdauer treffen. Ein kurzer Befehl in der Windows-Kommandozeile hilft hier weiter. [mehr]

Anzeigen