heise-Angebot

Neues iX-Sonderheft "Sicheres Active Directory"

Das Active Directory ist eins der größten Einfallstore in die Firmen-IT und Verteilzentrale für Ransomware. Wie man es absichert, zeigt das neue iX kompakt.

6

(Bild: iX)

14.09.2023, 10:30 Uhr

Lesezeit: 4 Min.

iX Magazin

Von

Ute Roos

Microsofts Active Directory (AD) ist der am meisten genutzte Verzeichnisdienst in Unternehmen, um Firmenressourcen zu verwalten. Dabei ist er von Hause aus nicht besonders sicher konfiguriert und geht bisweilen mit Rechten zu freizügig um. Für Kriminelle ist das AD eine Fundgrube an wertvollen Informationen, die dabei helfen, ins Unternehmensnetz vorzudringen, sich dort auszubreiten, Daten zu stehlen oder zu manipulieren und gefährliche Malware wie Ransomware einzuschleusen.

Mit den richtigen Stellschrauben Angriffe verhindern

Auf über 200 teils aktualisierten, teils komplett neuen Seiten beschäftigt sich das iX kompakt "Sicheres Active Directory" umfassend mit der Sicherheit des Verzeichnisdienstes – wie das AD überhaupt funktioniert, was es so angreifbar macht und wie man es auf verschiedenen Ebenen absichert. Nur wenn man die grundlegenden Konzepte, die Struktur des AD und die eingesetzten Protokolle versteht, kann man die durch Fehlkonfigurationen, mangelnde Härtung oder zu großzügige Rechtevergabe entstehenden Angriffsflächen verkleinern. Das Heft beschreibt zahlreiche Angriffe wie Golden Ticket, DCSync, Pass the Hash et cetera und erklärt, wie man sich dagegen schützt.

Überarbeitet wurde in der Neuauflage unter anderem der Beitrag zum grundschutzkonformen Active Directory. In der Ausgabe 2023 seines IT-Grundschutzes hat das BSI die verschiedenen Sicherheitslevel des AD-Bausteins noch einmal deutlich höher gehängt. Zudem lassen die beiden Autoren ihr Praxiswissen zur Absicherung des Parallelbetriebs von AD und Azure AD/Entra ID einfließen.

2021 wurde die IT-Welt aufgeschreckt durch den NTLM-Relay-Angriff PetitPotam, durch den sich Angreifer in einem normalen Windows-Netz die Rechte eines Domänen-Administrators und damit volle Kontrolle über das AD verschaffen können. Nur ein Jahr später wurde ein weiterer Angriff namens Certifried bekannt, der ebenfalls auf Missbrauch von Authentifizierungsinformationen basiert und zu umfassenden Rechten, sogenannten „Goldenen Zertifikaten“, führt. Zwar hat Microsoft bereits Patches bereitgestellt, die schließen aber nicht alle Lücken oder werden erst ab 2025 wirksam. Hier ist einiges an Handarbeit gefragt. Die Anleitungen im Sonderheft helfen, in der Übergangszeit die Auswirkungen des Problems zu begrenzen.

Die Königsdisziplin: Einführung des Enterprise Access Model

Neu sind schließlich auch drei Praxisartikel, die einen Einstieg in das vielen noch als Tiering-Modell geläufige Sicherheitskonzept von Microsoft bieten. Das Enterprise Access Model, so der offizielle Name des deutlich komplexeren Nachfolgers, gilt vielen als Königsdisziplin der AD-Absicherung. Es basiert auf einer strikten Aufteilung administrativer Rechte und Zugriffe, letztere von speziell gehärteten Workstations aus. Das mag kleineren Unternehmen zunächst schwer umsetzbar erscheinen, aber das Modell lässt sich in verschiedenen Abstufungen realisieren, die auch schon in der weniger aufwendigen Variante einen deutlichen Sicherheitsgewinn bringen.

Das iX kompakt behandelt überdies weitere Aspekte zum Absichern eines AD, etwa die richtige Passwortstrategie, neue Sicherheitsansätze wie Zero Trust, forensische Nachvollziehbarkeit von Angriffen und die Unterstützung durch Produkte bei der Prävention und nach etwaigen Angriffen. Eine neue Taktik besteht darin, durch eigens aufgesetzte und entsprechend präparierte Systeme dem Angreifer Fallen zu stellen. Diese Honey Pots bewirken zum einen, dass Angriffe schneller erkannt werden, zum anderen kann man dank ihnen das Verhalten von Cyberkriminellen beobachten und analysieren. Eine eigene Rubrik widmet sich außerdem dem immer häufiger genutzten Entra ID (vormals Azure AD), Microsofts cloudbasiertem Identitäts- und Zugriffsverwaltungsdienst.

Das PDF des Sonderhefts zum sofortigen Download kostet 27,99 Euro, die gedruckte Ausgabe für 29,50 Euro lässt sich ab sofort versandkostenfrei (bis 29. September) im Heise-Shop bestellen und ist ab dem 21. September im gut sortierten Zeitschriftenhandel zu haben. Das Bundle Heft + PDF kostet im heise Shop 41,49 statt 57,49 Euro.