Active Directory: Alte Bäume retten oder neu pflanzen?

Das Active Directory wiederherzustellen hat nach einem Cyberangriff hohe Priorität. Meist können andere Recovery-Teams gar nicht anfangen, wenn der Verzeichnisdienst noch nicht läuft. Ob man alles neu aufsetzen muss oder den alten Bestand noch retten kann, darüber entscheidet die Vorbereitung.

Von Guido Grillenmeier

iX-tract

Microsofts Verzeichnisdienst Active Directory (AD) ist ein integraler Bestandteil der meisten Unternehmen, der Berechtigungen und Identitäten im Netzwerk regelt. Cyberkriminelle können das AD benutzen, um sich Adminrechte zu verschaffen; seine Verschlüsselung sorgt meist für den produktiven Totalausfall.
Eine gute Backupstrategie ist die Grundlage, um die Strukturen des alten AD noch zu retten. Eine enge Taktung und spezialisierte Backupdienste, die bösartige Änderungen verfolgen können, reduzieren die Ausfallzeit eines Unternehmens drastisch.
Auch wenn es einem Unternehmen erspart bleibt, das ganze AD neu aufzusetzen, muss es bei der Wiederherstellung besondere Vorsicht walten lassen: Es besteht die Gefahr, sich eine Kompromittierung des alten AD ins neue System einzuschleppen.

Administratoren bezeichnen die Gesamtstruktur eines Microsoft Active Directory (AD) oft liebevoll als Wald und die darunterliegende Struktur der AD-Domänen als Bäume. Steht aber der ganze Active-Directory-Wald mit all seinen Bäumen nicht mehr zur Verfügung – zum Beispiel wegen eines Ransomwareangriffs, der alle Systeme verschlüsselt hat –, stellt sich die Frage: Muss man wieder von vorn mit der Bepflanzung eines ganz neuen Waldes beginnen oder sind die Bäume noch irgendwie zu retten? Die richtige Antwort hängt von mehreren Faktoren ab. Dieser Artikel beschreibt, welche Optionen zur Verfügung stehen und was die richtige Vorgehensweise ist, um das eigene Active Directory nach einem Super-GAU wiederherzustellen.

Aufgaben des AD

Auch fast 25 Jahre nach der Einführung von Microsoft Active Directory, das im Jahr 2000 die Welt von den Windows-NT4-Einschränkungen befreite, ist das AD immer noch der zentrale Verzeichnisdienst, den 90 Prozent aller Unternehmen nutzen. Es hat im Wesentlichen folgende Aufgaben:

Authentifizierung: wer man ist – die Prüfung der Identität, wenn man sich morgens am Gerät anmeldet;
Autorisierung: worauf man zugreifen darf (Zugriffskontrolle);
Audit: Nachweis, wer was getan hat – beispielsweise durch die Sicherung von Anmeldeprotokollen;
Richtlinien: Konfiguration und Einschränkung der angeschlossenen Firmensysteme über Gruppenrichtlinien (GPOs);
Kontoverwaltung: zentrale Plattform für Administratoren zum Erstellen, Suchen, Lesen, Aktualisieren und Löschen von Verzeichnisobjekten wie Nutzern und Gruppen;
optional – Namensauflösung: volle Integration des Domain Name Service (DNS) in das AD;
optional – Quelle für Cloud-Sync: Identity-Provider für Cloud-Services wie Microsoft Entra ID oder Okta beziehen sich meist auf die Identitäten und Gruppen aus dem AD, um sie von dort dann für die Nutzung mit Cloud-Applikationen zu verwenden.

Das AD dient als Schaltzentrale für die Verwaltung von Unternehmensidentitäten und deren Berechtigungen auf diversen Serversystemen – also auch in den kritischsten Geschäftsanwendungen (Abbildung 1). Durch verschiedene Gruppen entsteht ein Berechtigungskonzept für den Zugriff auf die Daten des Unternehmens. Erst die Mitgliedschaft in solchen Gruppen berechtigt Nutzer anschließend für den Zugriff auf entsprechende Daten und Applikationen.