Bildnachweis: https://github.com/Orange-Cyberdefense/arsenal
Active Directory ist als Kernstück der IT-Infrastruktur der meisten Unternehmen für die Autorisierung, Authentifizierung und Berechtigungskontrolle zuständig.
Und das Bild oben zeigt, wie ein Hacker es sieht – die Mind Map heißt “Pentesting Active Directory” und wurde von einer Organisation erstellt, die sich darauf spezialisiert hat, Active Directory auf die gleiche Weise anzugreifen wie ein Hacker.
Unserer Erfahrung nach sehen viele (oder die meisten) IT-Administratoren die Sicherheit von Active Directory nicht auf die gleiche Weise oder mit dem gleichen Maß an Komplexität. Sie kümmern sich um 2-5 % des obigen Bildes, denn ihr Hauptziel ist es, das Unternehmen am Laufen zu halten.
Ein IT-Administrator sieht Active Directory als Werkzeug, um bestimmte Ziele zu erreichen – einen Benutzer in eine Gruppe aufzunehmen, einen Server zu installieren und ihn mit dem Verzeichnis zu verbinden, hier eine Gruppenrichtlinie zu bearbeiten oder einen Benutzer zu deaktivieren.
Sie können verstehen, wie ein IT-Administrator Active Directory sieht, wenn Sie an einen Architekten oder einen Bauarbeiter denken, der einen Wolkenkratzer baut. Sie denken nicht an alle Möglichkeiten, wie ein Einbrecher die Schutzvorrichtungen des Gebäudes umgehen könnte, und das ist auch nicht ihre Aufgabe. Ihre Aufgabe ist es, dafür zu sorgen, dass das Gebäude über alle Annehmlichkeiten und die Qualität verfügt, die seine Bewohner benötigen, und dass alles funktioniert und auch noch nach Jahrzehnten funktioniert.
Bewertung der Active Directory-Sicherheit
Wenn wir Ihre AD aus der Sicht eines Verteidigers betrachten, ergibt sich ein völlig anderes Bild als bei den Bauarbeitern/Architekten oben.
Ein Angreifer sucht nicht einfach nur nach Schwachstellen, sondern nach einer Kombination von unsachgemäßen Konfigurationen, die eine Schwachstelle darstellen könnten.
Ein Hacker sucht auch nach Methoden, mit denen ein IT-Administrator seit Jahrzehnten Dinge konfiguriert, die heute vielleicht weniger sicher sind als vor zehn Jahren.
Aber die IT-Administratoren machen weiter wie bisher, ohne Rücksicht auf die Sicherheit, denn Sicherheit ist nicht ihre Aufgabe. Die Sicherheit ist Aufgabe der Sicherheitsabteilung, wenn Sie eine haben.
Ein Beispiel: Bei IT-Problemen auf dem Computer kann sich Ihr IT-Helpdesk oder sogar Ihr Haupt-IT-Administrator zur Fehlerbehebung auf dem Computer anmelden.
Keine große Sache, könnte man sagen.
Wenn sich der Administrator jedoch mit seinem Hauptadministratorkonto anmeldet, könnte diese einfache Aktion Ihr gesamtes Unternehmen einer sofortigen und verheerenden Sicherheitsverletzung aussetzen.
Hier ist der Grund dafür:
Stellen Sie sich vor, der normale Mitarbeiter, der die IT-Abteilung um Hilfe bittet, wüsste nicht, dass die Probleme, die er hat, von einem Hacker verursacht wurden und nicht von einer Software-Fehlfunktion.
Der Hacker könnte absichtlich einen Fehler verursachen, um einen IT-Administrator dazu zu bringen, sich auf dem bereits kompromittierten Computer eines normalen Mitarbeiters anzumelden.
In dem Moment, in dem sich Ihr IT-Administrator an einem kompromittierten Computer anmeldet, wird sein Administratorkennwort, das überall Zugang hat, dem Hacker bekannt.
So einfach, wie einem Kind ein Bonbon wegzunehmen.
Und das ist nur eine Möglichkeit, wie Hacker Ihr Unternehmen durch eine Schwachstelle in der Arbeitsweise Ihrer IT-Administratoren kompromittieren können.
Das Problem, das ich oben beschrieben habe, hängt mit Prozessen und Verfahren zusammen, und das zu Beginn dieses Artikels verlinkte Bild zeigt Prozesse und Verfahren als einen von vielen Angriffsvektoren.
Wenn Sie möchten, dass Ihr Active Directory sicher ist, besteht der erste Schritt darin, mit Hilfe unseres Active Directory Security Assessment Service alle Möglichkeiten des Missbrauchs und alle Schwachstellen in Bezug auf Menschen, Prozesse und Technologien zu ermitteln.