22. September 2022 
Marc Wilhelmi 

Schwach­stel­len­ana­lyse Active Directory

Micro­softs Active Direc­tory ist das zentrale Element der meisten IT-Lösungen, von Klein­un­ter­nehmen über den Mittel­stand bis zu multi­na­tio­nalen Konzernen.

Es verwaltet die Benutzer, regelt Zugriffs­rechte, weist Rollen und Rechte und verleiht den Admi­nis­tra­toren die Rechte, Ände­rungen am System und den betei­ligten Servern und Arbeits­plätzen vorzu­nehmen. Was auf der einen Seite für Arbeits­er­leich­te­rung und Komfort bei den Usern und Admi­nis­tra­toren sorgt, ist auf der anderen Seite eines der belieb­testen Angriffs­ziele für Ransom­ware und Hacker.

Ist ein Angreifer in einem Netz­werk ange­kommen, ist eines der ersten Ziele für weitere Aktionen das Active Direc­tory. Denn hier ist es für Angreifer möglich, sich höhere Rechte zu verschaffen und so immer weitere Teile der IT-Umge­bung anzu­greifen oder kontrol­lieren. Höchstes Ziel für Angreifer sind dabei immer Admi­nis­tra­tor­rechte, mit denen im System nahezu alles gemacht werden kann. 

Leider gibt es im Active Direc­tory viele Stellen, an denen durch eine nach­läs­sige oder unge­schickte Konfi­gu­ra­tion Schwach­stellen entstehen, die Angreifer ausnutzen können. Aber auch komfor­table Konfi­gu­ra­tionen, die Usern und Admi­nis­tra­toren das Leben erleich­tern sollten, können unge­wollt Angriffe auf die eigene Infra­struktur erleichtern.

Und da ein Active Direc­tory in aller Regel über viele Jahre besteht und immer nur erwei­tert und ange­passt wurde, gibt es meist Konfi­gu­ra­tionen, die noch aus der Zeit stammen, als das Active Direc­tory im Unter­nehmen einge­führt wurde und dann später einfach vergessen wurden.

In der Summe ist eine Active Direc­tory wie lebender Orga­nismus, wächst, schrumpft, verän­dert sich, User kommen dazu und gehen wieder, Rechte werden verän­dert, Richt­li­nien ergänzt oder verän­dert. Und da dort über­wie­gend unter­schied­liche Personen am Werke waren, die sich über die Jahre auch geän­dert haben können, ist der aktu­elle Sicher­heits­zu­stand in aller Regel nicht bekannt und es schlum­mern auch in gut gepflegten Active Direc­torys viele Schlupf­lö­cher für Angreifer. 

Darum ist Active Direc­tory so gefährlich

So prüfen wir Schwach­stellen in AD

Beson­ders groß ist das Risiko in Unter­nehmen, die klein gestartet sind und in denen das Active Direc­tory mit dem Unter­nehmen und den wach­senden Anfor­de­rungen mitwachsen musste. Als das Netz­werk noch klein war, waren die Anfor­de­rungen an die Sicher­heit in aller Regel noch nicht so hoch und vor 10, 15 oder 20 Jahren waren die Risiken auch oft noch nicht bekannt. 

Um dieses Problem anzu­gehen, setzen wir auch eine struk­tu­rierte Schwach­stel­len­ana­lyse des Active Direc­tory, lesen alle rele­vanten Einstel­lungen aus und erkennen so Fehl­kon­fi­gu­ra­tionen und Sicherheitsrisiken.

In einem über­sicht­li­chen Report werden alle gefun­denen Schwach­stellen oder Probleme aufge­listet, mit Hand­lungs­emp­feh­lungen ergänzt und der Weg zur Behe­bung dargestellt.

Auf Wunsch unter­stützten wir nach der Analyse auch gerne bei der Behe­bung der gefun­denen Schwach­stellen und beraten bei knif­fe­ligen Fällen, einen guten Ausgleich zwischen Komfort, orga­ni­sa­to­ri­schen Anfor­de­rungen und einer sicheren Konfi­gu­ra­tion zu finden.

Denn wie bei allen Analy­se­tools, kann eine voll­stän­dige Umset­zung aller Empfeh­lungen zu Einschrän­kungen in der Nutz­bar­keit der eigenen Umge­bung führen. Hier ist oft Augenmaß und Erfah­rung gefor­dert, um Ausfälle bei den Nutzern zu verhindern. 

Eine Analyse des eigenen Active Direc­tory ist in den aller­meisten Fällen sehr ernüch­ternd bis erschre­ckend, wenn das AD lange „orga­nisch“ gewachsen ist. Und nach deiner Umset­zung der sinn­vollen Maßnahmen wird das Sicher­heits­ni­veau des eigenen Active Direc­tory auch wieder deut­lich höher sein.

Da aber ein Active Direc­tory weiterhin intensiv genutzt und gepflegt wird, werden sich fast zwangs­läufig wieder Schwach­stellen einschlei­chen oder neue Angriffs­vek­toren bekannt. Darum ist unsere klare Empfeh­lung, nicht nur eine einzige Analyse und Behe­bung durch­zu­führen, sondern regel­mäßig das AD zu prüfen.So bleibt der Stand sicher und neue Schwach­stellen werden zeitnah erkannt und behobene.

Das ist auch einer der Gründe, warum wir die Schwach­stel­len­ana­lyse in die meisten unserer Managed Secu­rity Pakete aufge­nommen haben. Ein regel­mä­ßiger Check sorgt so für hohe Sicher­heit, dann auch gut und sorg­fältig gepflegte Active Direc­torys sind nicht vor verse­hent­li­chen Fehl­kon­fi­gu­ra­tionen gefeit.

Bestän­dige Kontrolle von AD ist sinnvoll

Sie inter­es­sieren sich für eine Schwach­stel­len­ana­lyse Ihres Active Direc­tory? Nehmen Sie Kontakt mit uns auf. Marc Wilhelmi, Tel. 030.467 83 97–0