Netzwerksicherheit im Active Directory: So enttarnen Sie Angreifer durch Logs

Neben dem Härten von AD-Umgebungen ist auch das frühe Erkennen potenzieller Angriffe anhand von Logdateien elementarer Bestandteil einer Sicherheitsstrategie.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Lesezeit: 23 Min.
Von
  • Fabian Murer
Inhaltsverzeichnis

Jenseits der in den Artikeln "Wie Administratoren ihr Active Directory absichern" und "Active-Directory-Härtungsmaßnahmen jenseits von Group Policies" behandelten Härtungsmaßnahmen stellt dieser Artikel der Reihe zu AD-Sicherheit mit Logs ein weiteres Werkzeug für Administratoren vor. Er beschreibt, wieso die Protokollierung und die Überwachung genauso wichtig sind wie ein Malwarescanner auf jedem System und zum Einmaleins einer jeder Verteidigung gehören. Weiter erläutert er die wichtigsten Logquellen und zeigt, wie sie sich gegen Angreifer einsetzen lassen.

In der Informationssicherheit arbeitet man oft unter der Annahme, dass hartnäckige Gegner mit genügend Zeit und Ressourcen mit dem Eindringen in ein System oder Netzwerk erfolgreich sein werden – unabhängig davon, wie gut die Härtungs- und Schutzmaßnahmen sind. Komplexe Systeme wie Netzwerke und Computer weisen immer wieder neue Schwachstellen auf, sei es aufgrund von Bugs oder Konfigurationsfehlern.

Einer der am häufigsten ausgenutzten Fehler ist mangelndes Sicherheitsbewusstsein kombiniert mit der Neugierde der Mitarbeiter. Ein klassisches Beispiel: Ein Mitarbeiter wird per E-Mail über ein Gewinnspiel informiert, als Preis winkt ein neues iPhone 12. Für die Teilnahme muss er sich über einen Link anmelden. Auf diese Weise gewährt der Mitarbeiter den Angreifern im dümmsten Fall direkten Zugang zum Unternehmensnetzwerk. Ein hartnäckiger Angreifer, der ein Unternehmen gezielt attackieren will, wird die Zeit und das Wissen haben, diese Fehler zu entdecken und auszunutzen.