Facebook Google Plus Twitter LinkedIn YouTube RSS Menü Suche Ressource – BlogRessource – WebinarRessource – BerichtRessource – Veranstaltungicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren
  • Twitter
  • Facebook
  • LinkedIn

Wie sich Active Directory vor Ransomware-Angriffen schützen lässt

Wie sich Active Directory vor Ransomware-Angriffen schützen lässt

Ransomware-Angriffe finden auf jede Art von Unternehmen statt und erfolgen aus allen Richtungen. Dabei bleibt Active Directory das bevorzugte Ziel. Verhindern Sie die Ausweitung von Zugriffsrechten, indem Sie die folgenden grundlegenden Fehlkonfigurationen von AD und Gruppenrichtlinien beheben.

Weltweit war bereits jede Art von Organisation von Ransomware betroffen. Zudem hat sie sich dramatisch verändert: Sie dringt von nahezu allen Seiten in das Unternehmen ein, und Angreifer machen sich gestohlene Daten zunutze, indem sie diese im Internet veröffentlichen, um die Betroffenen zur Zahlung zu zwingen. In den meisten Fällen (siehe SolarWinds und XingLocker) wird Active Directory (AD) ins Visier genommen, damit der Angreifer die Ransomware leicht verteilen kann, nachdem er sich Domänenberechtigungen verschafft hat. Es gibt jedoch Methoden, mit denen Active Directory besser abgesichert werden kann, um zu verhindern, dass Ransomware erfolgreich ist.

Verschiedene Bereiche innerhalb von Active Directory können abgesichert werden, wodurch die Sicherheit des Unternehmens insgesamt erhöht und das Sicherheitsrisiko zugleich reduziert wird. Insbesondere können die folgenden Einstellungen im Zusammenhang mit AD-Objekten abgesichert werden, und zwar auf folgende Weise:

  • Fehlkonfigurationen von Benutzerattributen müssen behoben werden

  • Fehlkonfigurationen von Gruppen müssen behoben werden



  • Privilegierte Gruppen müssen bereinigt werden


  • AD-Prozesse müssen ordnungsgemäß konfiguriert sein (z. B. SDProp)

  • Dienstprinzipalnamen müssen abgesichert werden (siehe Abbildung 1)


  • Vertrauensstellungen müssen korrekt und abgesichert sein


  • SidHistory-Attribut muss für Benutzer bereinigt werden



Wie Active Directory gegen Ransomware-Angriffen abgesichert werden kann

Abbildung 1. Benutzerkonto mit Dienstprinzipalname (SPN)

Darüber hinaus können das AD selbst und Gruppenrichtlinien so abgesichert werden, dass Angreifer keine Fehlkonfigurationen und Bereiche ausnutzen können, über die eine Rechteausweitung erreicht werden kann. Dazu ist Folgendes erforderlich:

  • AD-Vertrauensstellungen müssen verifiziert und abgesichert werden (siehe Abbildung 2)

  • AD-Delegierungen müssen bereinigt werden

  • Gruppenrichtlinien-Delegierungen müssen bereinigt werden

  • Strukturelle Komponenten von Gruppenrichtlinien müssen abgesichert werden

  • Sicherheitseinstellungen, die von Gruppenrichtlinienobjekten eingesetzt werden, müssen aktiviert werden


Wie Active Directory gegen Ransomware-Angriffen abgesichert werden kann

Abbildung 2. Firmenzusammenschlüsse und Übernahmen können zu verwaisten Vertrauensstellungen führen; zudem müssen notwendige Vertrauensstellungen abgesichert werden.

Letztendlich wollen Angreifer Zugriffsrechte erlangen. Sobald sie dies erreicht haben, steht als Nächstes die Erstellung von Hintertüren („Backdoors“) auf dem Plan. Diese Arten von AD-Angriffen erkennen zu können, ist von entscheidender Bedeutung. Im Folgenden finden Sie einige der Maßnahmen, die AD-Administratoren und Sicherheitsexperten ergreifen können, um Angriffswege zu versperren:

  • Sicherstellen, dass die Mitgliedschaft in privilegierten Gruppen überwacht wird


  • Erkennen von DCShadow- und DCSync-Angriffen


  • Erkennen von Golden Ticket-Angriffen (dargestellt in Abbildung 3)


  • Erkennen von Lateral Movement-Angriffen


  • Ermittlung gefährlicher SIDHistory- und PrimaryGroupID-Einstellungen
 


Wie Active Directory gegen Ransomware-Angriffen abgesichert werden kann

Abbildung 3. Tenable.ad kann komplexe Angriffe auf Active Directory erkennen, und zwar in Echtzeit, ohne Agents oder Privilegien.

Es sind Technologien verfügbar, die AD-Sicherheit und Angriffspfade kontinuierlich und automatisch analysieren und erkennen. Wenn Sie mehr darüber erfahren möchten, wie Tenable.ad Ihnen helfen kann, sehen Sie sich dieses Webinar an: Introducing Tenable.ad — Secure Active Directory and Disrupt Attack Paths

Mehr erfahren

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

Kostenlos testen Jetzt kaufen
Tenable.io 30 TAGE KOSTENLOS TESTEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Unser Tipp: Mit einer mehrjährigen Lizenz Geld sparen. Und mit dem Advanced Support-Upgrade steht Ihnen der Support rund um die Uhr, 365 Tage im Jahr zur Verfügung – telefonisch, per Chat und über die Community. Weitere Informationen

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.