Wie stellt WALLIX PAM das Active Directory sicher?

In den letzten Jahren hat die Zahl der Cyber-Attacken auf den Verzeichnisdienst (Active Directory (AD)) von Microsoft Windows Servern verstärkt zugenommen. Das Active Directory wird in vielen Unternehmen als zentrales Element zur Authentifizierung genutzt und ist daher ein attraktives Ziel für Angreifer. Zurückzuführen ist dies oftmals auf eine veraltete AD-Architektur, die von den meisten großen Unternehmen schon vor mehr als 10 Jahren eingesetzt wurde.

Damals hatte man noch andere Sorgen hinsichtlich der Cybersicherheit als heute, weshalb die aktuelle Architektur extrem anfällig für Cyberattacken ist. Werden solche auch als Domänencontroller bekannte AD’s kompromittiert, dann ist oft das gesamte Netzwerk in Gefahr.

Dabei ist erwähnenswert, dass die Architektur ausschließlich auf dem DIT (Directory Information Tree) basiert, der das Managementdelegationsmodell und die Anwendungslogik für als Gruppenrichtlinienobjekte bekannte Group Policy Objects (GPO) darstellt. Im Laufe der Jahre hat das AD mehrere Änderungen durchlaufen. Beispielsweise hat Microsoft verschiedene Änderungen an der Architektur empfohlen – ohne dabei die Sicherheit zu berücksichtigen, die im Laufe der Zeit zu Konfigurationsproblemen und damit zu einer Vervielfachung der Schwachstellen geführt haben. Darüber hinaus haben schlechte Cybersecurity-Praktiken, wie die Verwendung von schwachen oder identischen Passwörtern für mehrere Anwendungen, das AD weiter gefährdet.

Die Absicherung des AD wird daher für Unternehmen, die angesichts der Dimension der Aufgabe einfach aufgegeben haben, zu einer echten Denksportaufgabe. Das AD ist das Nervenzentrum des Informationssystems eines Unternehmens. Es listet alle Windows-Arbeitsplätze und deren Benutzer auf und stellt die notwendigen Mechanismen für deren Identifikation und Authentifizierung bereit. Daher ist es auch naheliegend, warum das AD ein bevorzugtes Ziel für Hacker ist. Wenn es einem Hacker gelingt, die Kontrolle über die Benutzerkonten zu übernehmen, insbesondere über die von Systemadministratoren (Root-Benutzern), die über volle Rechte verfügen, indem sie Benutzernamen und Kennwörter stehlen, hat diese Person Zugriff auf alle Unternehmensdaten, einschließlich der sensibelsten, und kann zum Beispiel einen Ransomware-Angriff starten.

Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) sensibilisiert die Unternehmen regelmäßig durch Empfehlungen zur Absicherung der AD. Es ist jedoch eine klare Zunahme von Cyber-Angriffen gegen das AD zu beklagen, wie etwa der schwere Angriff auf die Uniklinik Düsseldorf im September 2020. Dabei wurden unzählige Daten des Hauses durch Ransomware verschlüsselt. Erst nach über 4 Wochen konnte das Klinikum halbwegs zum Normalbetrieb zurückfinden.

Wie kann man das Active Directory schützen?

Um das AD effektiv zu sichern, empfehlen das BSI und Microsoft, dass die IS-Administratoren eines Unternehmens ein gesondertes Konto im AD haben, das sich von ihrem “normalen“ Administratorkonto unterscheidet. Auf diese Weise meldet sich der Administrator mit einem eindeutigen Kennungs-/Passwortpaar an einer Arbeitsstation an, die ausschließlich für die Administration vorgesehen ist und von der aus er ausschließlich das AD verwalten kann (keine Internetverbindung und keine andere Anwendung). Dies schränkt den Diebstahl von Anmeldedaten und Passwörtern erheblich ein und erhöht somit das Sicherheitsniveau.

Um die Sicherheit zu verstärken, basiert die optimale AD-Architektur laut Microsoft auf der Einrichtung von 3 Managementsilos:

• Ein Silo mit der Bezeichnung Tier-0 für die Verwaltung der kritischen IS-Ressourcen (AD, Update-Server, Administrator-Workstations, usw.).
• Ein Silo mit der Bezeichnung Tier-1 für die lebenswichtigen IS-Ressourcen (Mail-Server, Business-Server, etc.).
• Ein Tier-2-Silo für nicht lebenswichtige Ressourcen (Benutzer-Workstations, Drucker, usw.).

Durch die Anwendung einer solchen Architektur prüft das AD, ob ein Benutzer die erforderlichen Rechte hat, eine Verbindung zu der jeweiligen Arbeitsstation herzustellen. Ein Tier-0 Administrator wird also nicht in der Lage sein, sich mit einer Tier-2 Arbeitsstation zu verbinden.

Sobald diese Überprüfung durchgeführt und bestätigt wurde, fragt Windows nach dem Passwort des Benutzers. Dieses Prinzip gewährleistet die Nichtweitergabe von Passwörtern. Sie können nicht außerhalb des Silos verwendet werden.

Doch das Risiko des Identitätsdiebstahls ist trotz alledem noch nicht gebannt. Die einzige Antwort darauf ist die Implementierung einer Lösung zur Verwaltung privilegierter Konten, die eine zusätzliche Sicherheitsebene bietet und den Datenschutz gewährleistet.

Diese Architektur passt zu On-Premise-Infrastrukturen. Microsofts neues Modell für die Sicherung des privilegierten Zugriffs ist zwar eher Cloud-orientiert, aber mit diesem Ansatz kompatibel: Es ist lediglich eine Feinabstimmung.

WALLIX PAM, zur sicheren Verstärkung des Active Directory

WALLIX PAM, die führende Privileged Account Management (PAM)-Lösung im WALLIX-Portfolio von Unified Solutions, schützt das AD von 1.300 Organisationen weltweit, darunter viele OIVs, OSEs und Verwaltungen.

Konkret verstärkt WALLIX PAM die Sicherheit des AD, indem es sich in die Silo-Architektur integriert. Es ist möglich, die Silos in zwei Bereiche aufzuteilen: IT-Ressourcen auf der einen Seite und Benutzer (einschließlich Administratoren) auf der anderen Seite. WALLIX PAM verwaltet den Zugriff auf diese IT-Ressourcen, was bedeutet, dass der Administrator sich nicht direkt mit dem AD verbindet, sondern indirekt über die WALLIX PAM darauf zugreift. Nur die WALLIX PAM hat die notwendigen Benutzernamen und Passwörter für diese Verbindung: Nicht einmal der Administrator kennt sie. Darüber hinaus zeichnet WALLIX PAM alle durchgeführten Aktionen auf, was eine vollständige Rückverfolgbarkeit der am AD (und allgemeiner am IS) durchgeführten Aktionen und ein Eingreifen bei verdächtigem Verhalten ermöglicht.

Mehr erfahren: https://www.wallix.com/privileged-access-management/