You are here:
  1. Home
  2. Cyber Security
  3. Leistungen
  4. Penetration Tests
  5. Active Directory

Active Directory

Penetrationstest von
Active Directory Umgebungen

Beim Penetrationstest einer Active Directory Umgebung wird das System aus der Perspektive eines Angreifers auf sicherheitsrelevante Schwachstellen untersucht. Der Fokus der Untersuchung liegt in der Identifikation von Mängeln in der Konfiguration des Gesamtsystems, welche zu einer schwerwiegenden Rechteeskalation oder der vollständigen Kompromittierung des Active Directory führen können.

Der Untersuchungsgegenstand stellt eine On-Premise-, Cloud- (Azure AD) oder Hybrid-Umgebung von Microsoft Active Directory dar.

Bei der Untersuchung einer Active Directory Umgebung orientieren wir uns an dem Vorgehensmodell der Nationale Agentur für Informationssicherheit (CERT-FR) von unseren Nachbarn aus Frankreich.

Warum Penetrationstests von Active Directory?

Active Directory Domain Services (AD DS) – im Folgenden als Active Directory abgekürzt – stellt als zentrales Verzeichnis zur Verwaltung von Identitäten und Berechtigungen eine Organisation eine besonders schützenswerte Komponente dar. Eine Kompromittierung dieses Systems kann es Angreifern ermöglichen die Kontrolle über zahlreiche Ressourcen (Server, Workstations, Datenbanken) eines Unternehmens zu übernehmen.

Das Active Directory einer Organisation steht daher in besonderem Maße im Fokus von Angreifern und bedarf erhöhter Aufmerksamkeit bei der Härtung der Konfiguration. Die mehr als 20-jährige Historie des Produktes führt zu einer erheblichen Komplexität, die eine Herausforderung bei der Absicherung darstellen kann.

Die Analysten der SmartTECS Cyber Security GmbH bringen daher die Perspektive eines Angreifers ein, um Schwachstellen im Active Directory zu identifizieren sowie konkrete Maßnahmen zu deren Behebung zu formulieren.

Ziel

Das Ziel des Penetrationstests einer Active Directory Umgebung ist:
die Identifikation von vorhandenen Schwachstellen
und Fehlkonfigurationen der Active Directory Umgebung
die Empfehlung entsprechender Maßnahmen
zur Absicherung der Active Directory Umgebung
eine Bestimmung des Sicherheitsniveaus
des Active Directory zum Zeitpunkt der Testdurchführung auf Basis der Testergebnisse
die Ermittlung möglicher Angriffspfade
welche zu einer Kompromittierung hoch privilegierter Accounts oder angebunder Systeme führen können

Neben dem Testumfang werden in Absprache mit dem Auftraggeber die konkreten Testziele sowie deren Priorisierung individuell im Vorfeld ermittelt und die Untersuchung entsprechend angepasst.

Allgemeine Testmethodik

Die Testmethodik zur Prüfung einer Active Directory Umgebung durch die SmartTECS Cyber Security GmbH basieren auf Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Absicherung von Active Directory [1] sowie auf Empfehlungen des Herstellers Microsoft [2]. Ergänzend kommt die Prüfliste der nationalen Agentur für Informationssicherheit Frankreichs (CERT-FR) zum Einsatz [3].

Nächste Schritte

Nach Abschluss der Untersuchung bestehen verschiedene Anknüpfungspunkte, um die bisherige Analyse wirkungsvoll fortzusetzen.

 

Red Teaming

Im Rahmen eines Red Team Engagements kann der Fokus auf die Erkennung und das Einleiten von Gegenmaßnahmen gegen einen Angreifer im Unternehmensnetzwerk gelegt werden. Die Optimierung von Prozessen sowie das Training der Verteidiger (Blue-Team) stehen im Vordergrund.

 

Weitere Analysen des Active Directories
Die bisherigen Untersuchungen können auf weitere Teile der Active Directory Umgebung ausgeweitet werden.
Weitere Domains , Forests oder Server
Eine wiederholte Analyse
kann nach Behebung der identifizierten Schwachstellen deren Wirksamkeit überprüfen.
Sich weiterentwickelnde Active Directory Umgebungen
können regelmäßig auf vorhandene Schwachstellen untersucht werden. Dies bietet sich beispielsweise nach einem Anheben des Domain Functional Level des Active Directory Domain Services an.

Sicherheitsberatung

Auf Basis der gewonnen Erkenntnisse können gezielt Maßnahmen zum Anheben des Sicherheitsniveaus der Active Directory Umgebung gegeben werden, die über die bloße Behebung von Schwachstellen hinaus gehen. Dazu gehört beispielsweise die Umsetzung des Enterprise Access Model [4] nach den Empfehlungen von Microsoft oder das gezielte Platzieren von Fallen (decoy user/objects) für Angreifer innerhalb des Active Directories.

 

Quellen

[1] Bundesamt für Sicherheit in der Informationstechnik(BSI): Baustein zur Absicherung von Active Directory, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_2_2_Active_Directory_Domain_Services_Edition_2023.html

[2] Microsoft: Best Practices for Securing Active Directory, https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory 

[3] Nationale Agentur für Informationssicherheit (CERT-FR), Frankreich: Active Directory Security Assessment Checklist, https://www.cert.ssi.gouv.fr/uploads/guide-ad.html 

[4] Microsoft: Enterprise Access Model, https://learn.microsoft.com/en-us/security/compass/privileged-access-access-model