Active Directory-Überwachung: Wozu man es braucht und wie man es richtig macht

Active Directory (AD) ist in vielerlei Hinsicht der Motor Ihres Netzwerks, insbesondere im Hinblick auf die Benutzer- und Identitätsverwaltung. AD ist für die meisten Unternehmen zum zentralen Verzeichnisdienst geworden, der den Überblick über Benutzer und IT-Assets behält und es ermöglicht, all diese zu identifizieren und zu manipulieren.

Da Active Directory all diese Identitäten beherbergt und die IT-Assets des Unternehmens protokolliert, kann die IT-Abteilung anhand dieser Verzeichnisdaten Verstöße und abnormales Verhalten erkennen. Wenn Sie Active Directory nicht im Auge behalten, verpassen Sie wahrscheinlich den Zeitpunkt, an dem die bösen Akteure in Ihr Netzwerk eindringen.

Active Directory selbst ist eine Angriffsfläche. Wenn Cyberkriminelle in Active Directory eindringen, können sie alle Dienste, Ressourcen und Benutzer, die in das Verzeichnis integriert sind, angreifen.

Wie die meisten Softwareprodukte (und auch Geräte) erstellt Active Directory Protokolle über Ereignisse. Eine Lösung zur Überwachung der IT-Infrastruktur (ITIM) kann diese Protokolle überwachen und IT-Experten auf Anomalien und Trends aufmerksam machen, die möglicherweise behoben werden müssen.

Es ist allgemein bekannt, dass es Monate oder Jahre dauern kann, bis ein Einbruch entdeckt wird. Aber wussten Sie, dass alle Beweise in Ihren Ereignisprotokollen, insbesondere in den Active Directory-Protokollen, enthalten sein können? Die Überwachung dieser Protokolle und die Einrichtung von Warnmeldungen, die auf Probleme hinweisen, können Verstöße im Keim ersticken.

Gleichzeitig können diese Active Directory-Daten auf den allgemeinen Zustand und die Sicherheit des Netzwerks hinweisen. "Die offensichtliche Ineffektivität der Ereignisüberwachung und Protokollanalyse ist nach wie vor ein Rätsel. Die Möglichkeit zur Erkennung ist da; Die Ermittler stellten fest, dass 66 Prozent der Opfer genügend Beweise in ihren Protokollen zur Verfügung hatten, um den Verstoß zu entdecken, wenn sie bei der Analyse solcher Ressourcen sorgfältiger gewesen wären", argumentierte Microsoft auf seiner Seite Security Best Practices: Monitoring Active Directory for Signs of Compromise .

Was ist ein Active Directory?

Active Directory ist eine wichtige Methode zur Verwaltung der Netzwerk- und Computerinfrastruktur durch die IT und bildet die Grundlage für das Identity and Access Management (IAM)-System von Microsoft. Dieser Verzeichnisdienst zeichnet Daten (in der Regel über Protokolle) zu Benutzern, Geräten, Anwendungen und Gruppen auf. Es schafft auch eine hierarchische Struktur, die zeigt, wie das Netzwerk organisiert ist und welche Anwendungen und Dienste auf andere angewiesen sind. Bei diesem Ansatz wird alles, was mit dem Netzwerk verbunden ist, von einem einzigen Ort aus angezeigt.

Active Directory ist eine wichtige Methode für den Zugriff von Endbenutzern auf Anwendungsdienste und andere Ressourcen. AD nutzt sowohl die Kerberos-Authentifizierung als auch Single Sign-On (SSO). Mithilfe von SSO kann Kerberos mehrere Ressourcen mit einem einzigen Satz von Anmeldeinformationen authentifizieren. Mit diesem Ansatz und mit allen identifizierenden Daten, die Active Directory enthält, ist Active Directory ein zentrales Repository für Benutzerinformationen – einschließlich Berechtigungen und Authentifizierung.

Liefern Sie Hackern keine Übersicht über Ihre Daten

Active Directory ist nicht nur eine Roadmap für Benutzer, Anwendungen und andere Teile der IT-Infrastruktur, sondern kann Cyberkriminellen auch zeigen, wo sich Ihre kritischen Daten befinden. "Wenn Sie an all die Daten und Dateien denken, die Sie in Ihrem Netzwerk gespeichert haben, wäre es fast unmöglich, sich an den genauen Namen und Speicherort jeder Datei zu erinnern. Ein Verzeichnisdienst löst dieses Problem, indem er einen Container erstellt, der eine hierarchische Struktur bereitstellt. Es ermöglicht Ihnen, Objekte zu speichern, die schnell lokalisiert und leicht zugänglich sind. Wann immer Sie suchen, verwenden Sie einen Verzeichnisdienst", erklärt der Progress WhatsUp Gold-Blog Was ist Active Directory und wie funktioniert es? .

Funktionsweise der Active Directory-Überwachung

Ironischerweise überwachen Sie durch die Überwachung von Active Directory das Netzwerk selbst. Active Directory zeigt auf hoher Ebene an, was mit allen darin enthaltenen Objekten geschieht. Wenn Sie Active Directory jedoch nicht ordnungsgemäß überwachen, können Sie diese kritischen Daten nicht nutzen. Der zentrale Verwaltungsaspekt von Active Directory macht es zu einem so großartigen Fenster in das gesamte Netzwerk.

Gleichzeitig ist Active Directory selbst, wie bereits erwähnt, eine sehr wünschenswerte Angriffsfläche und sollte auf Anzeichen von Unordnung beobachtet werden. "Ein solides Ereignisprotokollüberwachungssystem ist ein entscheidender Bestandteil jedes sicheren Active Directory-Designs. Viele Sicherheitslücken für Computer könnten frühzeitig entdeckt werden, wenn die Ziele eine angemessene Überwachung und Warnung des Ereignisprotokolls durchführen. Unabhängige Berichte unterstützen diese Schlussfolgerung seit langem", heißt es im Verizon Data Breach Report.

Aber eine Überwachung bedeutet nichts, wenn die von ihr erzeugten Daten nicht an die IT weitergegeben werden. "Die offensichtliche Ineffektivität der Ereignisüberwachung und Protokollanalyse ist nach wie vor ein Rätsel. Die Möglichkeit zur Erkennung ist da; Die Ermittler stellten fest, dass 66 Prozent der Opfer genügend Beweise in ihren Protokollen zur Verfügung hatten, um den Verstoß zu entdecken, wenn sie bei der Analyse solcher Ressourcen sorgfältiger gewesen wären", erklärte die Microsoft Active Directory-Überwachungsseite .

Hier ist ein Beispiel für AD-Überwachung. "Wenn abnormales Verhalten wie Leistungsabfall oder unbefugter Zugriff erkannt wird, kann die AD-Überwachung das Verhalten kennzeichnen und Alarme auslösen. Dies kann besonders wichtig sein, um Verstöße zu erkennen, bei denen Hacker versuchen, Berechtigungen zu eskalieren.  Wenn bösartige Aktivitäten schnell erkannt werden, können sie oft gestoppt werden, bevor sie erheblichen Schaden anrichten", heißt es im WhatsUp Gold-Blog.

Die AD-Überwachung kann viele Elemente verfolgen, darunter:

  • Änderungen in Gruppenrichtlinien
  • Änderungen der Berechtigungen
  • Verzeichnis-Replikation
  • Zugriff auf Verzeichnisdienste
  • Gesperrte oder deaktivierte Benutzer
  • Leistung des Domänencontrollers
  • Domänencontroller-Authentifizierung
  • Dienstverzeichnis-Dateien (NTDS)
  • Systemereignisse
  • Validierung von Anmeldeinformationen

All diese Daten können verwendet werden, um ein AD-Benutzeraudit zu erstellen, das die individuelle Leistung und das Verhalten detailliert beschreiben kann, einschließlich der Anmeldeüberwachung oder Remotedesktopdienstsitzungen.

Was kann passieren, wenn Sie Active Directory nicht überwachen?

Wir haben bereits erwähnt, dass viele Sicherheitsverletzungen frühzeitig erkannt und gestoppt werden können, bevor sie sich festsetzen und Schaden anrichten, indem Active Directory überwacht und verräterische Anzeichen eines Cyberkriminellen erkannt werden. Tatsächlich berühren viele (wenn nicht die meisten) Verstöße Active Directory in irgendeiner Weise.

Dies ist der Hauptgrund, Active Directory zu überwachen. Und hier sind einige Gründe, warum Hacker von Active Directory angezogen werden:

  • Da Active Directory eine vollständige hierarchische Ansicht der mit Ihrem Netzwerk verbundenen Benutzer enthält, können Hacker eine Übersicht Ihres Netzwerks erhalten und diese zur Planung weit verbreiteter Angriffe verwenden.
  • Sobald Hacker in Active Directory eingedrungen sind, können sie sich in Ihrem Unternehmen bewegen, oft seitlich, und Ihre Anwendungen, Daten sowie Benutzeridentitäts- und Berechtigungsinformationen durchsuchen.
  • Mit diesen Identitätsinformationen können sie dann Angriffe auf die Erhöhung der Privilegien starten und wirklich an die Schlüssel zum Königreich gelangen.
  • Datendiebstahl ist ein Hauptziel von Cyberkriminellen. Aber mit hohen Berechtigungen können sie weit verbreitete Ransomware-Angriffe durchführen, die Ihr Unternehmen behindern und zu enormen Auszahlungsforderungen führen.
  • Die Allgegenwärtigkeit von AD und seine Komplexität machen es zu einem verlockenden Ziel für Hacker.

Tags

Lernen Sie WhatsUp Gold kennen

Kostenfreie Testversion Preise Demo

Wenn Sie die WhatsUp Gold Free Edition suchen (eine 10-Geräte-Version von WhatsUp Gold mit einer verlängerbaren 12 monatigen Lizenz), klicken Sie hier.

 

Blog-Abonnement

Erhalten Sie einmal im Monat eine E-Mail mit unseren neuesten Blog-Beiträgen.

Loading animation

Kommentare

Comments are disabled in preview mode.