Sie befin­den sich hier:

Acti­ve Direc­to­ry

Pene­tra­ti­ons­test von
Acti­ve Direc­to­ry Umge­bun­gen

Beim Pene­tra­ti­ons­test einer Acti­ve Direc­to­ry Umge­bung wird das Sys­tem aus der Per­spek­ti­ve eines Angrei­fers auf sicher­heits­re­le­van­te Schwach­stel­len unter­sucht. Der Fokus der Unter­su­chung liegt in der Iden­ti­fi­ka­ti­on von Män­geln in der Kon­fi­gu­ra­ti­on des Gesamt­sys­tems, wel­che zu einer schwer­wie­gen­den Rech­tees­ka­la­ti­on oder der voll­stän­di­gen Kom­pro­mit­tie­rung des Acti­ve Direc­to­ry füh­ren kön­nen.

Der Unter­su­chungs­ge­gen­stand stellt eine On-Pre­mi­se‑, Cloud- (Azu­re AD) oder Hybrid-Umge­bung von Micro­soft Acti­ve Direc­to­ry dar.

Bei der Unter­su­chung einer Acti­ve Direc­to­ry Umge­bung ori­en­tie­ren wir uns an dem Vor­ge­hens­mo­dell der Natio­na­le Agen­tur für Infor­ma­ti­ons­si­cher­heit (CERT-FR) von unse­ren Nach­barn aus Frank­reich.

War­um Pene­tra­ti­ons­tests von Acti­ve Direc­to­ry?

Acti­ve Direc­to­ry Domain Ser­vices (AD DS) — im Fol­gen­den als Acti­ve Direc­to­ry abge­kürzt — stellt als zen­tra­les Ver­zeich­nis zur Ver­wal­tung von Iden­ti­tä­ten und Berech­ti­gun­gen eine Orga­ni­sa­ti­on eine beson­ders schüt­zens­wer­te Kom­po­nen­te dar. Eine Kom­pro­mit­tie­rung die­ses Sys­tems kann es Angrei­fern ermög­li­chen die Kon­trol­le über zahl­rei­che Res­sour­cen (Ser­ver, Work­sta­tions, Daten­ban­ken) eines Unter­neh­mens zu über­neh­men.

Das Acti­ve Direc­to­ry einer Orga­ni­sa­ti­on steht daher in beson­de­rem Maße im Fokus von Angrei­fern und bedarf erhöh­ter Auf­merk­sam­keit bei der Här­tung der Kon­fi­gu­ra­ti­on. Die mehr als 20-jäh­ri­ge His­to­rie des Pro­duk­tes führt zu einer erheb­li­chen Kom­ple­xi­tät, die eine Her­aus­for­de­rung bei der Absi­che­rung dar­stel­len kann.

Die Ana­lys­ten der Smart­TECS Cyber Secu­ri­ty GmbH brin­gen daher die Per­spek­ti­ve eines Angrei­fers ein, um Schwach­stel­len im Acti­ve Direc­to­ry zu iden­ti­fi­zie­ren sowie kon­kre­te Maß­nah­men zu deren Behe­bung zu for­mu­lie­ren.

Ziel

Das Ziel des Pene­tra­ti­ons­tests einer Acti­ve Direc­to­ry Umge­bung ist:

die Iden­ti­fi­ka­ti­on von vor­han­de­nen Schwach­stel­len
und Fehl­kon­fi­gu­ra­tio­nen der Acti­ve Direc­to­ry Umge­bung
die Emp­feh­lung ent­spre­chen­der Maß­nah­men
zur Absi­che­rung der Acti­ve Direc­to­ry Umge­bung
eine Bestim­mung des Sicher­heits­ni­veaus
des Acti­ve Direc­to­ry zum Zeit­punkt der Test­durch­füh­rung auf Basis der Test­ergeb­nis­se
die Ermitt­lung mög­li­cher Angriffs­pfa­de
wel­che zu einer Kom­pro­mit­tie­rung hoch pri­vi­le­gier­ter Accounts oder ange­bund­er Sys­te­me füh­ren kön­nen

Neben dem Test­um­fang wer­den in Abspra­che mit dem Auf­trag­ge­ber die kon­kre­ten Test­zie­le sowie deren Prio­ri­sie­rung indi­vi­du­ell im Vor­feld ermit­telt und die Unter­su­chung ent­spre­chend ange­passt.

All­ge­mei­ne Test­me­tho­dik

Die Test­me­tho­dik zur Prü­fung einer Acti­ve Direc­to­ry Umge­bung durch die Smart­TECS Cyber Secu­ri­ty GmbH basie­ren auf Vor­ga­ben des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zur Absi­che­rung von Acti­ve Direc­to­ry [1] sowie auf Emp­feh­lun­gen des Her­stel­lers Micro­soft [2]. Ergän­zend kommt die Prüf­lis­te der natio­na­len Agen­tur für Infor­ma­ti­ons­si­cher­heit Frank­reichs (CERT-FR) zum Ein­satz [3].

Nächs­te Schrit­te

Nach Abschluss der Unter­su­chung bestehen ver­schie­de­ne Anknüp­fungs­punk­te, um die bis­he­ri­ge Ana­ly­se wir­kungs­voll fort­zu­set­zen.

 

Red Team­ing

Im Rah­men eines Red Team Enga­ge­ments kann der Fokus auf die Erken­nung und das Ein­lei­ten von Gegen­maß­nah­men gegen einen Angrei­fer im Unter­neh­mens­netz­werk gelegt wer­den. Die Opti­mie­rung von Pro­zes­sen sowie das Trai­ning der Ver­tei­di­ger (Blue-Team) ste­hen im Vor­der­grund.

 

Wei­te­re Ana­ly­sen des Acti­ve Direc­to­ries

Eine wie­der­hol­te Ana­ly­se
kann nach Behe­bung der iden­ti­fi­zier­ten Schwach­stel­len deren Wirk­sam­keit über­prü­fen.
Sich wei­ter­ent­wi­ckeln­de Acti­ve Direc­to­ry Umge­bun­gen
kön­nen regel­mä­ßig auf vor­han­de­ne Schwach­stel­len unter­sucht wer­den. Dies bie­tet sich bei­spiels­wei­se nach einem Anhe­ben des Domain Func­tion­al Level des Acti­ve Direc­to­ry Domain Ser­vices an.

Sicher­heits­be­ra­tung

Auf Basis der gewon­nen Erkennt­nis­se kön­nen gezielt Maß­nah­men zum Anhe­ben des Sicher­heits­ni­veaus der Acti­ve Direc­to­ry Umge­bung gege­ben wer­den, die über die blo­ße Behe­bung von Schwach­stel­len hin­aus gehen. Dazu gehört bei­spiels­wei­se die Umset­zung des Enter­pri­se Access Model [4] nach den Emp­feh­lun­gen von Micro­soft oder das geziel­te Plat­zie­ren von Fal­len (decoy user/objects) für Angrei­fer inner­halb des Acti­ve Direc­to­ries.

 

Quel­len

[1] Bun­des­amt für Sicher­heit in der Informationstechnik(BSI): Bau­stein zur Absi­che­rung von Acti­ve Direc­to­ry, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_2_2_Active_Directory_Domain_Services_Edition_2023.html

[2] Micro­soft: Best Prac­ti­ces for Secu­ring Acti­ve Direc­to­ry, https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory 

[3] Natio­na­le Agen­tur für Infor­ma­ti­ons­si­cher­heit (CERT-FR), Frank­reich: Acti­ve Direc­to­ry Secu­ri­ty Assess­ment Check­list, https://www.cert.ssi.gouv.fr/uploads/guide-ad.html 

[4] Micro­soft: Enter­pri­se Access Model, https://learn.microsoft.com/en-us/security/compass/privileged-access-access-model