Active-Directory-Sicherung und -Wiederherstellung

Active-Directory-Sicherung und -Wiederherstellung

Beitrag teilen

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active Directory sind weiterhin die höchsten Bedrohungen. Dabei nutzen Cyberangreifer etwa durch Phishing gestohlene Anmeldedaten. Active Directory-Sicherung und -Wiederherstellung bewahren das Unternehmen.

Je mehr betriebliche Prozesse Unternehmen digitalisieren, umso größer wird die Notwendigkeit von operativer und Cyber-Resilienz. Auf Identity-Systemen aufgebaute Angriffe in Verbindung mit Ransomware stellen vor diesem Hintergrund eine kritische Bedrohung dar, da sie die Geschäftstätigkeit von Organisationen vollständig zum Erliegen bringen können. Um selbst im Falle eines Angriffs den Betrieb aufrecht erhalten oder schnell und vertrauenswürdig wiederherstellen zu können, spielen die Sicherung und Wiederherstellung von Microsoft Active Directory (AD) eine zentrale Rolle.

Anzeige

Ransomware bleibt die Gefahr Nr. 1

Die Bedrohung durch Ransomware ist für Unternehmen längst Bestandteil ihres Alltags geworden. Allerdings hat diese durch Angriffe auf Identity-Systeme und allen voran Active Directory eine neue Qualität erreicht. Dabei nutzen Cyberangreifer gestohlene Anmeldedaten – beispielsweise durch Phishing- oder Pass-the-Hash-Taktiken erbeutet – um sich legitimen Systemzugang zu verschaffen. Zunehmend zielen sie auf Active Directory-Dienstkonten ab.

Schaltzentrale Active Directory

Active Directory fungiert als Schaltzentrale für die Verwaltung aller digitalen Unternehmensidentitäten mit ihren Berechtigungen, Zugriffs- und Authentifizierungsrechten auf diversen Serversystemen. Eine AD-Implementierung ist folgendermaßen aufgebaut:

  • Domains bezeichnen eine Sammlung von Objekten, die Ressourcen wie Benutzer oder Geräte im Netzwerk repräsentieren.
  • AD-Trees: Sie werden geschaffen, indem man zwischen Domänen durch Vertrauensstellungen Verbindungen herstellt.
  • Ein AD-Forest umfasst eine Gruppe an AD-Trees und stellt die oberste Organisationsebene des AD dar. Je nach Organisation kann es nur einen oder auch mehrere Forests geben.
  • Domain-Controller bezeichnet den Server, der die Active Directory Domain Services (AD DS) hostet. Er speichert die Informationen über alle einzelnen Objekte, wie Namen und Passwörter und ermöglicht autorisierten Benutzern den Zugriff auf diese Informationen.

Durch verschiedene Gruppen entsteht ein Berechtigungskonzept für den Zugriff auf die Daten des Unternehmens. Erst die Mitgliedschaft in solchen Gruppen gewährt Nutzern den Zugriff auf entsprechende Daten und Applikationen. Ist es Angreifern gelungen, in einer IT-Umgebung Fuß zu fassen, versuchen sie, unter anderem über AD-Gruppenrichtlinien, ihre Zugriffsrechte zu erweitern (Privilege Escalation), um Ransomware möglichst breit ausrollen zu können.

Active Directory und seine Relevanz

Cyber-Resilienz – die Fähigkeit, auch während oder in Folge eines Angriffs Geschäftskontinuität aufrechtzuerhalten – entwickelt sich im Zuge der digitalen Transformation zu einer Priorität in der IT-Sicherheitsstrategie von Unternehmen. Active Directory, welches Unternehmen oft in Kombination mit Entra ID, Okta oder einem anderen Cloud-basierten Verzeichnisdienst nutzen, übt in zweierlei Hinsicht darauf Einfluss aus:

1) Als primäres Angriffsziel

Über lange Zeit seines fast 25-jährigen Bestehens war Sicherheit der Benutzerfreundlichkeit von Active Directory untergeordnet. Die Liste an bekannten Schwachstellen ist entsprechend lang. Hinzu kommt die oft unzulängliche Verwaltung durch Unternehmen, zum Beispiel durch Fehlkonfigurationen wie AD-Lesezugriff für alle Benutzer oder die Vergabe von überdimensionierten Zugriffsrechten. All diese Faktoren machen Active Directory für Cyberkriminelle äußerst attraktiv, da sie die Erfolgschancen für Ransomware-Angriffe erhöhen.

2) Für die Wiederherstellung von Systemen

Ist es Cyberkriminellen gelungen, ein Unternehmen mit Ransomware teilweise oder vollständig zu infiltrieren und infizieren, ist AD die entscheidende Grundlage zur Wiederherstellung des normalen Betriebes. Da jegliche Benutzer- und Geräteidentitäten sowie deren Zugriffsrechte dort angelegt sind, können IT-Teams in der Regel die Wiederherstellung von Applikationen oder Daten erst beginnen, wenn AD wieder läuft.

Grundlagen der Active Directory-Sicherung und -Wiederherstellung

Falls ein gesamter AD Forest neu aufgebaut werden muss, kann dies für Unternehmen eine Downtime von mehreren Wochen oder gar Monaten bedeuten, sofern keine brauchbaren und spezifischen AD-Backups vorhanden sind. Gewöhnliche Backup-Routinen greifen für AD allerdings zu kurz, da einerseits die Gefahr besteht, Malware infizierte Systeme erneut zu installieren und andererseits traditionelle Backup-Systeme nicht für die vertrauenswürdige Wiederherstellung von einem gesamten Forest geschaffen sind. Um dies vertrauenswürdig zu gestalten und die Wiederherstellungsdauer auf ein Minimum zu beschränken, sollten Unternehmen folgende Grundlagen beachten:

  • Ein separates AD-Backup nutzen: Active Directory sollte unabhängig von Server Backups und Bare Metal Recovery gesichert werden, da diese im Falle der Wiederherstellung das Risiko einer erneuten Malware-Infektion bergen. Eine spezielle Lösung für AD-Backups kann diesen Prozess vereinfachen.
  • Mehrere Domain Controller sichern: Das Sichern von mindestens zwei Domänencontrollern pro Domäne in der Active-Directory-Gesamtstruktur sorgt für Redundanz. AD-Backups sollten abgesichert offline oder als Image-Kopien auf Azure- oder AWS-Blob-Storage gespeichert werden.
  • Oliver Keizers, Area Vice President EMEA Central bei Semperis (Bild: Semperis)

    Wiederherstellung ohne Snapshots: Snapshots des Domänencontrollers sind für eine Wiederherstellung des Active Directory unzureichend, und zwar aus mehreren Gründen: Ein Forest, der aus Snapshots wiederhergestellt wurde, wird wahrscheinlich Probleme mit der Datenkonsistenz verursachen. Wenn zum Zeitpunkt der Erstellung des Snapshots Malware auf einem Domänencontroller vorhanden ist, wird die Malware zusammen mit dem Domänencontroller wiederhergestellt. (Dies gilt für jedes klassische Backup.)

  • Ein AD-Backup ist noch keine Forest Wiederherstellung: Der offizielle und korrekte Ablauf einer Forest-Wiederherstellung ist von Microsoft beschrieben und umfasst viele Schritte, die bei einem klassischen Backup-Tool manuell gegangen werden müssen und leicht zu Fehlern und Zeitverzögerungen führen. Für eine erfolgreiche und vertrauenswürdige Wiederherstellung eines Forests sollte ein spezifisches auf AD Forest Wiederherstellung ausgelegtes Tool angewandt werden und dies mindestens einmal pro Jahr auch konkret geübt werden.
  • Regelmäßige Sicherung: Abhängig von den Geschäftsprozessen sollte ein geeignetes Wiederherstellungsziel (Recovery Point Objective, RPO) festgelegt werden, das sicherstellt, dass zwischen den Back-up-Intervallen keine kritische Menge an Geschäftsdaten verloren gehen kann.
  • Testen: Regelmäßige Tests des AD-Backup- und Wiederherstellungsprozesses sollten Bestandteil des Notfallplanes sein, vor allem, wenn dieser eine manuelle AD-Wiederherstellung vorsieht, welche überaus kompliziert und zeitaufwändig ist.
    Ergänzend zu zuverlässigen Wiederherstellungsprozessen sollten Unternehmen ITDR-Lösungen (Identity Threat Detection and Response) implementieren, die Unregelmäßigkeiten in AD-Umgebungen erkennen und helfen können, Angriffe frühzeitig zu bekämpfen.

Cyber-Resilienz basiert auf sicheren Identitäten

Je mehr Geschäftsprozesse digital vollzogen werden, umso empfindlichere Auswirkungen können Lücken in der Cybersicherheit nach sich ziehen. Dies erschafft die Notwendigkeit, die Cyber-Resilienz zu erhöhen, um die Geschäftsabläufe möglichst nicht zu beeinträchtigen.
Die Entwicklung von IT-Infrastrukturen und die sich wandelnde Bedrohungslage haben Identitäten für Unternehmen zu einer bedeutenden Verteidigungslinie gemacht. Vor diesem Hintergrund ist Active Directory, das von Unternehmen am häufigsten eingesetzte Identitätsverzeichnis, sowohl eine Achillesferse als auch eine tragende Säule und verlangt besondere Aufmerksamkeit bei Sicherung und Wiederherstellung.

Mehr bei Semperis.com

 


Über Semperis

Für Sicherheitsteams, die mit der Verteidigung von hybriden und Multi-Cloud-Umgebungen betraut sind, stellt Semperis die Integrität und Verfügbarkeit von kritischen Enterprise-Directory-Diensten bei jedem Schritt in der Cyber-Kill-Chain sicher und verkürzt die Wiederherstellungszeit um 90 Prozent. Semperis hat seinen Hauptsitz in Hoboken, New Jersey, und ist international tätig, wobei das Forschungs- und Entwicklungsteam über die USA, Kanada und Israel verteilt ist.


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen