Backup und Recovery von Active Directory

Die Sicherheitslage beherrschen

29. August 2022, 7:00 Uhr | Guido Grillenmeier/am
© Wolfgang Traub

Active Directory (AD) ist seit mehr als 20 Jahren im Einsatz. Das Windows-Server-Betriebssystem, das grundlegende Datei- und Druckfreigabedienste sowie Back-Office-Dienste wie E-Mail, Messaging und Collaboration bereitstellt, hat sich als Netzwerkverzeichnis der Wahl etabliert. Bei Backup und Recovery für Active Directory gilt es, einiges zu beachten. Mit geeigneten Tools ist die zunehmend kritische Sicherheitslage jedoch beherrschbar.

er rapid wachsende Trend zum Cloud-Computing hat die Bedeutung von Active Directory für Unternehmen noch erhöht. Für die Popularität von AD in Zusammenhang mit der Cloud gibt es zwei Gründe. Erstens hängt das Cloud-Computing-­Modell nicht von vertrauenswürdigen Netzwerken ab, wie es beim traditionellen On-Premises-Computing der Fall ist. So erfolgt der Datenverkehr zwischen Clients und den Ressourcen im Gegensatz zu herkömmlichen Unternehmensnetzwerken meist über das öffentliche Internet. Dieser Datenverkehr ist nicht dadurch gesichert, wo sich jemand befindet, sondern wer jemand ist. Die Identität eines Benutzers steht bei der Cloud-Sicherheit also im Vordergrund.

Zweitens ist AD die Grundlage für die heute übliche hybride Identitätsarchitektur. In dieser Architektur synchronisieren Unternehmen ihren lokalen Identitätsspeicher – in der Regel Active Directory – mit dem Cloud-Identitätsdienst ihrer Wahl wie Azure Active Directory, Okta oder Amazon Web Services (AWS). Dieser Ansatz ermöglicht es Benutzern, ihre Unternehmens­identität für den Zugriff auf Ressourcen (zum Beispiel Office 365 oder Salesforce) zu verwenden, die in den Cloud-Identitätsdienst des Unternehmens integriert sind.

Hinzu kommt die Tatsache, dass trotz des Cloud-Hypes alle Unternehmen, unabhängig von Größe oder Alter, nach wie vor über On-Premises-Ressourcen verfügen. Daher ist AD auch eine wichtige Komponente des Hybrid-Cloud-Modells. Die meisten Unternehmen sind generell in der Lage, ihr Active Directory zuverlässig und im Alltag gut zu verwalten. Hochgerüstete Cyberkriminelle verfügen jedoch über ausgefeilte Phishing-Tools und neueste Malware für Erkundung, Persistenz und Datenverschlüsselung. Damit können sie eine gesamte Windows-Umgebung in wenigen Minuten lahmlegen.

Warum Active Directory verwundbar ist

Die Angriffe auf AD haben in den letzten Jahren erheblich zugenommen. Die Angreifer haben erkannt, dass sie die IT-Ressourcen des Unternehmens kapern können, wenn sie die Kontrolle über AD gewinnen. Auch wenn die Endbenutzer sich ihrer Abhängigkeit von AD nicht bewusst sind, könnten die verschiedenen Tools und Geschäftsprozesse, die sie täglich nutzen, nicht funktionieren, wenn AD ausfällt. Dazu gehören Anwendungen für wichtige Dienste wie E-Mail (Exchange), Dateifreigabe (SharePoint, normale Dateifreigaben), Zusammenarbeit (Skype) oder selbst das Drucken. Active Directory kontrolliert nicht nur den Zugriff legitimer Benutzer auf diese Anwendungen. Es ermöglicht auch Eindringlingen, herauszufinden, welche Anwendungen in eine Infrastruktur integriert sind, um diese dann gegen das Unternehmen einzusetzen. Mit der zunehmenden Erkenntnis, dass AD ein wertvolles Ziel ist, ist auch die Zahl der verfügbaren Tools für Angriffe auf AD gewachsen. ­PowerSploit, Bloodhound, Death Star, Cobalt Strike und vor allem Mimikatz haben es Angreifern ermöglicht, schnell Zugangsdaten zu finden und eine Erkundung des Netzwerks durchzuführen. Auf diese Weise gelingt es den Hackern, den kürzesten Weg zu Domain-Administratorrechten zu finden und diesen Angriffspfad erfolgreich zu nutzen.

Wiederherstellung des AD-Dienstes

Das Angriffsrisiko ist also hoch – und im Fall eines Sicherheitsvorfalls helfen normale Active-Directory-Backups nicht dabei, den Geschäftsbetrieb wiederherzustellen. Die Funktion „Objekte vor versehentlichem Löschen schützen“ hilft zwar, menschliches Versagen zu vermeiden, geht aber nicht gegen bösartige Aktivitäten im AD vor. Dasselbe gilt für den Papierkorb. Gelöschte Objekte lassen sich zwar wiederherstellen, aber Änderungen auf Attributsebene oder Änderungen an GPOs (Group Policy Objects) oder der Konfiguration in AD nicht rückgängig machen. Der Papierkorb kann auch nicht bei der Wiederherstellung der gesamten Domain oder eines Forests und der zugehörigen Anwendungspartitionen helfen.

Die Verwendung von Snapshots kann die Erkennung von Änderungen auf Attributsebene unterstützen, um diese rückgängig zu machen, aber der Wiederherstellungsprozess gestaltet sich dadurch als sehr komplex. Keine dieser Methoden zur Wiederherstellung von Active-Directory-Daten reicht jedoch aus, um den eigentlichen AD-Dienst, das heißt die gesamte Domain oder den gesamten Forest, wiederherzustellen. Eine Schemabeschädigung aufgrund einer böswilligen Änderung oder die Verschlüsselung aller Domain-Controller kann eine Wiederherstellung des AD auf Forest-Ebene erforderlich machen. Hierfür benötigen Unternehmen immer noch ein ordentliches Backup der AD-Domain-Controller. Angesichts der kritischen Bedrohungslage ist die vollständige Wiederherstellung der AD-Umgebung aus einem Backup nicht mehr nur ein Nice-to-have, sondern eine geschäftskritische Anforderung. Dies alles setzt eine ordnungsgemäße Sicherung der AD-Domain-Controller voraus.

Anbieter zum Thema

zu Matchmaker+

  1. Die Sicherheitslage beherrschen
  2. Wiederherstellung der gesamten AD-Umgebung aus dem Backup

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Semperis

Weitere Artikel zu Backup und Archivierung

Weitere Artikel zu BAB Distribution

Matchmaker+