Startseite > Security > AD im Visier Krimineller

Angriffsziel Active Directory

AD im Visier Krimineller

22. Januar 2021, 7:00 Uhr | Bert Skorupski/wg

Fortsetzung des Artikels von Teil 1

Virtuelles Testlabor

Das Einrichten eines virtuellen Testlabors ist keine triviale Aufgabe. So sind die Erstellung von Systemen mit übereinstimmenden Server-Namen und die Ausführung des Microsoft-Tools DCPromo (Domain Controller Promoter) notwendig, um einen leeren AD-Forest zu erstellen. Zudem gilt es, sämtliche AD-Nutzer und -Gruppen aus dem produktiven Umfeld zu exportieren und mittels Skripten in einer separaten Testumgebung nachzubauen.

Diese vollständige Kopie korrekt zu erstellen erfordert eine profunde Kenntnis des Scriptings. Die Tatsache, dass sich Produktions- und Testsysteme nie in derselben Umgebung befinden, erschwert die Sache zusätzlich. Selbst bei gleicher Benennung der Gesamtstruktur, Domänen, Benutzer und Gruppen gelten unterschiedliche Sicherheitskennungen (SIDs). Zwei erstellte Gesamtstrukturen können nicht dieselben SIDs besitzen, sodass man einen Anwendungs-Server nicht in eine Testumgebung verschieben kann. Denn so könnten sich die SIDs ändern, was bei der Rechtevergabe zu Problemen führt. Dies sind nur zwei Beispiele dafür, warum die eigenständige Erstellung eines Testlabors schwierig ist und Personalressourcen bindet. Außerdem bildet das Labor eine eigene, zweite Umgebung mit einem unabhängig arbeitenden Active Directory. Daher reflektiert das Testlabor nicht die Veränderungen im Produktivumfeld, sodass es mit der Zeit an Aktualität und folglich an Sinn einbüßt.

Letztlich lässt sich auch ein sinnvolles Testlabor nur durch Einsatz automatisierter Werkzeuge realisieren. Glücklicherweise sind leistungsfähige Lösungen auf dem Markt, die beispielsweise verschiedene Sicherungen vergleichen, Vergleichsberichte erstellen und die Wiederherstellung bei hybriden Umgebungen aus AD und Azure Active Directory unterstützen.

Schlimmstenfalls gelingt es Kriminellen, die Betriebssysteme der Domain Controller zu kompromittieren. Dann bleibt den IT-Verantwortlichen nur eine Möglichkeit: Bare Metal Recovery. Hier ist es wichtig, dass die Backup-Lösung dies unterstützt und die Sicherungen regelmäßig auf Malware untersuchen kann. Im Falle einer Bare Metal Recovery befinden sich alle für den Start der Wiederherstellung notwendigen Bestandteile auf einem Boot-fähigen Datenträger. Dabei werden nicht nur die eigentlichen Daten zurückgeschrieben, sondern auch das Betriebssystem und sämtliche zugehörigen Komponenten. Nach einem erfolgreichen Ransomware-Angriff liegt ohnehin nicht viel mehr vor als die reine Hardware. Je nach Angriffsszenario kommt auch eine gemischte Strategie in Betracht: Das IT-Team stellt einige Systeme per Sicherung wieder her, auf andere Systemen bringt es ein frisches, sauberes Betriebssystem aus und stellt auf dieser Basis das AD wieder her.

Bei einem derart schwer geschädigten System würde dies manuell weder in einem akzeptablen Zeitrahmen und vollständig erfolgen, noch eignen sich die MicrosoftBordmittel dazu. Wieder ist Automatisierung angesagt: für die Rekonstruktion der AD-Dienste, Metadatenbereinigung, Wiederherstellung der Vertrauensstellungen, Passwort-Resets hochprivilegierter Konten und den Neustart.
Die schnelle Wiederherstellung des Betriebszustands ist von enormer Bedeutung. Selbst in glimpflichen Fällen kann eine Betriebsunterbrechung viel Geld, Marktanteile und Arbeitsplätze kosten. Wichtig ist deshalb eine umfassende Strategie, die den Schutz des ADs und einen Plan zu dessen Wiederherstellung beinhaltet.

Bert Skorupski ist Senior Manager Sales Engineering bei Quest Software, www.quest.com.