Active Directory gehackt – wie geht das?

Ein Active Directory (AD) ist eines der wichtigsten Systeme eines Netzwerks. Durch das Verzeichnissystem werden Benutzerkonten, Computer, Gruppen und Richtlinien zentral verwaltet: Wer es kontrolliert, besitzt weitreichende Kontrolle der IT-Landschaft.

Hackern über die Schulter schauen

Hacker haben es deshalb oft auf das Microsoft AD abgesehen. Um ein Active Directory anzugreifen, werden mehrere Schwächen in der IT-Infrastruktur ausgenutzt. Wie solch ein Angriff aussehen kann, zeigt aramido in einer Sondersendung über Hacker-Angriffe. Schauen Sie Hackern über die Schulter, wie sie die vollständige Kontrolle einer Windows-Domäne übernehmen können.

In der Sondersendung über Hacker-Angriffe wird gezeigt, wie ein Mitarbeiter eines Unternehmens gephisht wird. Hackern gelingt der Zugriff auf das Unternehmensnetzwerk, wo sie durch einen Wörterbuchangriff einen Server übernehmen können. Sie lauschen im Netzwerk mit und können durch LLMNR-Poisoning das Konto eines lokalen Administrators übernehmen. Durch den falschen Einsatz eines Domänenadministrator-Benutzers kann dessen Passwort erspäht werden. Unzureichende Netzwerksegmentierung kann die vollständige Übernahme des Active Directories nicht mehr verhindern. Es stellt sich heraus, dass die Sondersendung über Hacker-Angriffe eine Demonstration eines Red Teaming Assessments ist, das von aramido im Auftrag eines Unternehmens als Sicherheitsprüfung durchgeführt wurde.

10-Punkte-Plan zur Absicherung von Windows-Domänen

Damit wichtige Systeme einer IT-Infrastruktur vor Hackern sicher bleiben, braucht es ein gutes Sicherheitskonzept, fähige Sicherheitsexperten und regelmäßige Sicherheitsüberprüfungen. Neben individuellen Maßnahmen, die den Anforderungen eines Unternehmens gerecht werden, empfehlen wir zur Absicherung eines Active Directories (AD) folgenden 10-Punkte-Plan:

  1. Starke Authentifizierung implementieren
    • Verwenden Sie Multi-Faktor-Authentifizierung (MFA) mindestens für alle Domänenbenutzer und -administratoren.
    • Verwenden Sie Smartcards, Hardware-Tokens oder biometrische Authentifizierungsmethoden.
  2. Sicherheitseinstellungen härten
    • Konfigurieren Sie Gruppenrichtlinien-Objekte (GPOs), um Sicherheitsrichtlinien durchzusetzen.
    • Aktivieren Sie die selektive Authentifizierung für bestimmte Benutzer und Gruppen.
    • Implementieren Sie Network Access Control (NAC)-Lösungen, um den Gerätezugriff zu kontrollieren.
  3. Passwörter schützen
    • Verwenden Sie einen Passwort-Manager, um komplexe Passwörter zu erstellen und zu speichern.
    • Implementieren Sie Passwortrichtlinien, die eine Mindestlänge, Einzigartigkeit und hohe Komplexität vorschreiben.
  4. Benutzerzugriffe kontrollieren
    • Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC), um die Berechtigungen der Benutzer auf der Grundlage ihrer Rollen einzuschränken.
    • Verwenden Sie Gruppenrichtlinien, um Benutzerberechtigungen und Zugriffsrechte zu kontrollieren.
  5. Netzwerkverkehr überwachen
    • Verwenden Sie Network Security Monitoring (NSM)-Tools, um verdächtige Aktivitäten zu erkennen.
    • Überwachen Sie auf unbefugten Zugriff, Datenverletzungen und bösartige Software.
  6. Ereignisse auditieren
    • Aktivieren Sie die Überwachung von wichtigen Ereignissen wie Anmeldeversuche, Änderungen an Benutzerkonten und Verstöße gegen Sicherheitsrichtlinien.
    • Überprüfen Sie Audit-Protokolle regelmäßig, um verdächtige Aktivitäten zu identifizieren.
  7. Updates einspielen
    • Halten Sie Betriebssysteme, Anwendungen und Treiber mit Sicherheits-Patches auf dem neuesten Stand.
    • Implementieren Sie ein Patch-Management-Verfahren, um eine rechtzeitige Installation zu gewährleisten.
  8. Anti-Malware-Programme einsetzen
    • Installieren und warten Sie Antiviren- und Anti-Malware-Software auf allen Geräten, die mit der Domäne verbunden sind.
    • Scannen Sie regelmäßig nach Malware und Viren.
  9. Benutzer schulen
    • Informieren Sie die Benutzer über Sicherheitsrisiken und bewährte Praktiken, wie zum Beispiel die Verwendung sicherer Passwörter und die Vermeidung von Phishing-Betrug.
    • Führen Sie regelmäßig Schulungen zum Sicherheitsbewusstsein durch.
  10. Sicherheitsprüfungen durchführen
    • Führen Sie regelmäßige Sicherheitsprüfungen beispielsweise durch Red Teaming Assessments oder Penetrationstests durch, um Schwachstellen und Schwachpunkte zu ermitteln.
    • Setzen Sie Pläne zur Behebung von Sicherheitsproblemen um, damit diese so schnell wie möglich beseitigt werden.

Brauchen Sie Hilfe bei der Absicherung Ihrer Windows-Domäne oder wollen Sie Ihre Organisation durch ein Red Teaming Assessment prüfen?


Leonard Otto

Am 27.04.2023 in der Kategorie aramido veröffentlicht.

In 30 Minuten zum Domain-Admin

Am 4. Mai 2023 zeigen wir bei einem Live-Hacking-Event, wie Angreifer innerhalb von 30 Minuten ein ganzes Netzwerk übernehmen können. (weiterlesen)


Kadir Ates

Am 14.03.2023 in der Kategorie aramido veröffentlicht.

Incident Response Tabletop

Jetzt zum Incident Response Pen & Paper von aramido bewerben! Werde Teil des Krisenstabs und versuche die IT-Sicherheitsvorfälle zu lösen. (weiterlesen)


Christian Birker

Am 27.01.2023 in der Kategorie Softwaresicherheit veröffentlicht.

What could (possibly) go wrong? - Threat Modeling spielerisch mit einem Kartenspiel gestalten

Um den Threat-Modeling-Prozess spielerisch zu gestalten, wurde von aramido ein Kartenspiel entwickelt. Diese hilft Entwicklungsteams beim Security by Design. (weiterlesen)


Hannah Schneider

Am 08.06.2022 in der Kategorie aramido veröffentlicht.

Mit einem bunten Programm Informationssicherheit sichtbar machen

aramido macht als Partner der Bunten Nacht der Digitalisierung am Freitag, den 1. Juli ab 15 Uhr Informationssicherheit sichtbar. (weiterlesen)