Das Active Directory ist ein Netzwerkdienst, der in einer Windows-Domäne zum Einsatz kommt. Es dient zur Verwaltung der Benutzer- und Computeraccounts sowie der Gruppen in einer Domäne. Zusätzlich können in einer Active Directory-Domäne auch weitere Informationen wie Dienste, Netzwerkgeräte und Netzwerkdienste gespeichert werden.
Das Active Directory ist ein komplexes und sehr granular konfigurierbares System, weshalb es keine Überraschung ist, dsas es immer wieder zu Sicherheitsproblemen kommt. In den meisten Fällen ist es eben ein Konfigurationsfehler, der zu einem Sicherheitsproblem führen kann.
Profitieren Sie von der Erfahrungen der AWARE7
Bei der täglichen Arbeit erhalten unsere Penetrationstester Einblicke in verschiedene Netzwerke von Unternehmen verschiedener Größe und Branchen. Bei einem Penetrationstest geht es um das Auffinden von Sicherheitslücken, indem unsere Analysten denken und agieren wie ein Angreifer. Bei der Analyse der verschiedenen Netzwerke und einer übergeordneten Analyse haben wir festgestellt, dass es häufig ähnliche Herausforderungen sind vor denen unsere Kunden stehen.
Insbesondere vor sogenannten Insider Bedrohungen geht eine erhebliche Gefahr für die Informationssicherheit aus. Diese Bedrohung stammt von Personen aus dem internen Umfeld und diese erhalten leichter Zugang zu wertvollen Informationen und Systemen. Wichtig ist zu erwähnen, dass es häufig auch “Unintentional” also unwissende Insider gibt, welche zu einer Bedrohung werden, da sie auf den bösartigen Anhang einer Mail geklickt haben. Diese Unintentional Insider können auch zu anderen Risiken für eine Organisation führen.
Die Cyber Kill Chain durchbrechen mit einem gehärteten Active Directory
Zur Modellierung solcher Insider Threats wurde von Lockheed Martin das Cyber Kill Chain Modell entwickelt. Dieses unterteilt jeden Angriff in sieben Phasen.
- Reconnaissance – Informationssammlung
- Weaponization – Entwicklung eines lauffähigen Exploits
- Delivery – Verbreitung des Exploits, beispielsweise per Mail
- Exploitation – Ausnutzen der Exploits und Übernahme des Opfer-Systems
- Installation – Installation weiterer Schadsoftware
- Command and Control – Rückmeldung der Schadsoftware beim Angreifer
- Actions on Objectives – Exfiltration oder Verschlüsselung von Daten
Die Härtung des Active Directory ist eine präventive Maßnahme welche ab Stufe drei der Cyber Kill Chain, also dem Punkt Exploitation für eine erhöhte Sicherheit sorgt. Ein gehärtetes Active Directory unterstützt mindestens dabei, die Auswirkungen eines erfolgreichen Cyberangriffs zu begrenzen.
Härtung des Active Directory an einer beispielhaften Infrastruktur
In unserem 7Dossier – Active Directory stellen wir Ihnen unsere 7 Top-Tipps zur Härtung einer Active Directory Infrastruktur vor. Hierbei zeigen wir Ihnen die Härtungsmaßnahmen am Beispiel eines Unternehmensnetzwerk der Franken Logistik.
Mit Hilfe unseres 7Dossier – Active Directory kann jede Härtungsmaßnahme am Netzwerk nachvollzogen werden. Die einzelnen Härtungsmaßnahmen werden beschrieben, Ihr Einfluss auf die Informationssicherheit diskutiert und beispielhafte Planungen und Implementierungen durchgeführt.