Angriffsziel Active Directory
AD im Visier Krimineller
Eindringlinge attackieren das Active Directory selten direkt. Vielmehr verschaffen sich die Angreifer typischerweise „lateralen“ Zugang zum AD: Sie dringen an der Peripherie in das Netzwerk ein und arbeiten sich dann vor. Darum muss den Zugangsberechtigungen und deren Ausweitung besonderes Augenmerk gelten.
Unter Security-Experten setzt sich die Erkenntnis durch, dass sich unbefugte Zugriffe auf die IT-Infrastruktur nicht vollständig ausschließen lassen. Daher ist ein Verteidigungsansatz am sinnvollsten, der davon ausgeht, dass die Infrastruktur bereits mehr oder minder kompromittiert ist. Diesen „Assume Breach“-Ansatz („Gehen Sie von einer Kompromittierung aus“) verfolgen beispielsweise die NSA (National Security Agency) wie auch Microsoft. Er richtet sich darauf, die Folgen eines unbefugten Zugriffs zu minimieren und damit in der Folge auch die laterale Ausbreitung zu verhindern. Organisationen ergreifen verstärkt Maßnahmen, um privilegierte Konten, vor allem Administratorenkonten, zu schützen. Sie bauen insbesondere auf drei Ansätze:
- MFA (Mehr-Faktor-Authentifizierung): Der sichere Identitätsnachweis privielegierter Nutzer erleichert es, die Ausweitung von Zugriffsprivilegien im Netzwerk zu begrenzen.
- PAM (Privileged-Account-Management): Eine PAM-Lösung hilft, den Prozess der Vergabe privilegierter Zugangsdaten zu automatisieren, zu kontrollieren und die Aktivitäten privilegierter Nutzer zu verwalten und zu überprüfen.
- ESAE (Enhanced Security Administra-tive Environment), auch „Red Forest“ genannt: Dieser Ansatz sieht vor, Verwaltungskonten in drei getrennten administrativen Gesamtstrukturen („Forests“) mit den Nummern 0 bis 2 zu führen. Indem man die Konten mit den weitreichendsten Privilegien in einem separaten Tier 0 Forest unterbringt, kann das Security-Team sie leichter im Auge behalten und strengere Sicherheitsmaßnahmen ergreifen, zum Beispiel die Anforderung, sich von einer besonders gesicherten Workstation aus anzumelden oder einen MFA-Schritt zu durchlaufen.
Alle drei Methoden haben ihre spezifischen Herausforderungen und Probleme. Ein entscheidendes Defizit haben sie gemeinsam: Sie kommen in der Regel nur bei hochprivilegierten Konten, etwa jenen von Domänenadministratoren, zur Anwendung. Hacker sind jedoch nicht auf hochprivilegierte Konten angewiesen: Auch einfache Endnutzer verfügen häufig über die Zugangsrechte, die Hackern ausreichen, um ihre Ziele zu erreichen. Denn sie können einmal erworbene beschränkte Privilegien ausbauen. Daher sollte man diese Techniken lediglich als Teil einer breiteren AD-Sicherheitsstrategie betrachten.
Die „eingebauten“ Admin-Gruppen, die AD automatisch bei der Installation kreiert, sind eine wichtige Arbeitserleichterung, aber auch ein beliebtes Einfallstor für Kriminelle. Derartige vorkonfigurierte Gruppen gibt es auf Ebene des AD-Forests, der AD-Domänen und einzelner Windows-Systeme. Viele Organisationen beschränken sich auf eine strenge Kontrolle der privilegiertesten Gruppen. Wichtig aber ist eine sorgfältige Überwachung aller Gruppen, die in jedem AD-System bestehen. Und deren Anzahl ist nicht gering. Zudem gibt es allein auf der Ebene der Einzelsysteme vier eingebaute Gruppen: Administratoren, Backup Operators, Power User und Hyper-V-Administratoren. Leider stellt die Eskalation von Zugriffsrechten Cyberkriminelle vor keine allzu großen Probleme. So können sie sich als Domain-Administrator relativ leicht die Privilegien eines Enterprise-Administrators aneignen. Auch kann der Exchange-Administrator eine ausführbare Datei im Sicherheitskontext dieses Servers laufen lassen und so Zugriff auf alles erhalten, worauf das Server-Konto Zugriff hat.
Es ist schwierig genug, den Überblick über all diese eingebauten Gruppen zu behalten, aber das AD fügt ein weiteres Problem hinzu: Es erlaubt Gruppen, Mitglieder anderer Gruppen zu sein. Gruppen mehrerer Ebenen können komplex miteinander verschachtelt sein (Gruppe A ist ein Mitglied von Gruppe B, die wiederum Mitglied von Gruppe C ist). Das gilt sogar für Gruppen, die nicht Teil derselben Domäne sind. Wenn diese Verschachtelung administrative Gruppen umfasst, kann es sehr schwierig sein, genau festzustellen, wer in einer bestimmten Umgebung privilegiert ist. Dies erleichtert es Kriminellen, ihre Berechtigungen unbemerkt zu erhöhen.
All diese Privilegien und Ausweitungen von Privilegien genau im Auge zu behalten ist äußerst schwierig. Dabei handelt es sich lediglich um einige Beispiele, wie sich einmal erworbene Privilegien innerhalb einer IT-Infrastruktur erweitern und somit missbrauchen lassen. Weitere Faktoren, über die Security-Teams die Kontrolle behalten müssen, sind delegierte Zugriffsrechte für AD-Teile, Berechtigungen zur Delegation von Rechten und Rechte auf der Ebene einzelner Windows-Systeme, da auch diese sich eskalieren lassen. Letztlich sollte man gemäß des erwähnten „Assume Breach“-Gedankens unternehmensweit ein Prinzip des geringstmöglichen Zugriffsrechts (Least Privilege) etablieren: Jeder Nutzer erhält nur genau das Zugriffsniveau, das er zur Ausführung seiner Arbeiten benötigt. Jede Berechtigung darüber hinaus erhöht die Gefahr über Gebühr.
Die Menge der Parameter und Personen, die es zu kontrollieren gilt, verdeutlicht, dass sich eine laterale Ausweitung der Zugriffsrechte durch Kriminelle in größeren Organisationen nicht manuell verhindern lässt. Security-Verantwortliche sollten sich also auf die Suche nach einem Werkzeug machen, das die nötigen Kontrollmechanismen automatisiert. Idealerweise handelt es sich dabei um eine Lösung, die alle genannten Faktoren im Microsoft-Umfeld abdeckt – eine Kombination spezialisierter Tools führt nur zu neuen Ineffizienzen.
Die Absicherung des ADs ist mit der automatisierten Kontrolle der Zugriffsrechte allerdings noch nicht vollzogen: Security-Verantwortliche müssen den schlimmstmöglichen Fall bedenken, in dem es Angreifern gelingt, das AD zum Beispiel durch Ransomware lahmzulegen. Erstaunlich viele Organisationen haben ausgeklügelte Backup- und Recovery-Pläne und -Systeme für Endgeräte, Server und Storage, vernachlässigen aber das AD.
Backup und Recovery des ADs erfordern eine spezielle Vorgehensweise. Um einen Notfall-Wiederherstellungsplan für das AD zu entwickeln und zu testen, sollte das IT-Team ein – oft virtuelles – Testlabor einsetzen. Dieses dient dazu, die Reaktion auf Angriffe und Fehlfunktionen zu üben. Dabei ist es wichtig, ein genaues Abbild der tatsächlichen AD-Struktur zu schaffen, denn nur so sind die Tests realitätsnah.
- AD im Visier Krimineller
- Virtuelles Testlabor
Lesen Sie mehr zum Thema
