- Start
- Cyber Security
- Leistungen
- Penetration Tests
- Active Directory
Active Directory
Penetrationstest von
Active Directory Umgebungen
Beim Penetrationstest einer Active Directory Umgebung wird das System aus der Perspektive eines Angreifers auf sicherheitsrelevante Schwachstellen untersucht. Der Fokus der Untersuchung liegt in der Identifikation von Mängeln in der Konfiguration des Gesamtsystems, welche zu einer schwerwiegenden Rechteeskalation oder der vollständigen Kompromittierung des Active Directory führen können.
Der Untersuchungsgegenstand stellt eine On-Premise‑, Cloud- (Azure AD) oder Hybrid-Umgebung von Microsoft Active Directory dar.
Bei der Untersuchung einer Active Directory Umgebung orientieren wir uns an dem Vorgehensmodell der Nationale Agentur für Informationssicherheit (CERT-FR) von unseren Nachbarn aus Frankreich.
Warum Penetrationstests von Active Directory?
Active Directory Domain Services (AD DS) — im Folgenden als Active Directory abgekürzt — stellt als zentrales Verzeichnis zur Verwaltung von Identitäten und Berechtigungen eine Organisation eine besonders schützenswerte Komponente dar. Eine Kompromittierung dieses Systems kann es Angreifern ermöglichen die Kontrolle über zahlreiche Ressourcen (Server, Workstations, Datenbanken) eines Unternehmens zu übernehmen.
Das Active Directory einer Organisation steht daher in besonderem Maße im Fokus von Angreifern und bedarf erhöhter Aufmerksamkeit bei der Härtung der Konfiguration. Die mehr als 20-jährige Historie des Produktes führt zu einer erheblichen Komplexität, die eine Herausforderung bei der Absicherung darstellen kann.
Die Analysten der SmartTECS Cyber Security GmbH bringen daher die Perspektive eines Angreifers ein, um Schwachstellen im Active Directory zu identifizieren sowie konkrete Maßnahmen zu deren Behebung zu formulieren.
Ziel
Das Ziel des Penetrationstests einer Active Directory Umgebung ist:
die Identifikation von vorhandenen Schwachstellen
die Empfehlung entsprechender Maßnahmen
eine Bestimmung des Sicherheitsniveaus
die Ermittlung möglicher Angriffspfade
Neben dem Testumfang werden in Absprache mit dem Auftraggeber die konkreten Testziele sowie deren Priorisierung individuell im Vorfeld ermittelt und die Untersuchung entsprechend angepasst.
Allgemeine Testmethodik
Die Testmethodik zur Prüfung einer Active Directory Umgebung durch die SmartTECS Cyber Security GmbH basieren auf Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Absicherung von Active Directory [1] sowie auf Empfehlungen des Herstellers Microsoft [2]. Ergänzend kommt die Prüfliste der nationalen Agentur für Informationssicherheit Frankreichs (CERT-FR) zum Einsatz [3].
Nächste Schritte
Nach Abschluss der Untersuchung bestehen verschiedene Anknüpfungspunkte, um die bisherige Analyse wirkungsvoll fortzusetzen.
Red Teaming
Im Rahmen eines Red Team Engagements kann der Fokus auf die Erkennung und das Einleiten von Gegenmaßnahmen gegen einen Angreifer im Unternehmensnetzwerk gelegt werden. Die Optimierung von Prozessen sowie das Training der Verteidiger (Blue-Team) stehen im Vordergrund.
Weitere Analysen des Active Directories
Die bisherigen Untersuchungen können auf weitere Teile der Active Directory Umgebung ausgeweitet werden.
Eine wiederholte Analyse
Sich weiterentwickelnde Active Directory Umgebungen
Sicherheitsberatung
Auf Basis der gewonnen Erkenntnisse können gezielt Maßnahmen zum Anheben des Sicherheitsniveaus der Active Directory Umgebung gegeben werden, die über die bloße Behebung von Schwachstellen hinaus gehen. Dazu gehört beispielsweise die Umsetzung des Enterprise Access Model [4] nach den Empfehlungen von Microsoft oder das gezielte Platzieren von Fallen (decoy user/objects) für Angreifer innerhalb des Active Directories.
Quellen
[1] Bundesamt für Sicherheit in der Informationstechnik(BSI): Baustein zur Absicherung von Active Directory, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_2_2_Active_Directory_Domain_Services_Edition_2023.html
[2] Microsoft: Best Practices for Securing Active Directory, https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
[3] Nationale Agentur für Informationssicherheit (CERT-FR), Frankreich: Active Directory Security Assessment Checklist, https://www.cert.ssi.gouv.fr/uploads/guide-ad.html
[4] Microsoft: Enterprise Access Model, https://learn.microsoft.com/en-us/security/compass/privileged-access-access-model