Semperis Directory Services Protector 3.6
Fähiger Torhüter
Veröffentlicht in Ausgabe 08/2022 - TESTS
Das Wörterbuch definiert einen Torhüter als den defensivsten Spieler einer Sportmannschaft, der gegnerische Tore verhindern soll und hierfür oft auch mit Sonderberechtigungen ausgestattet ist. Übertragen auf Microsofts Verzeichnisdienst Active Directory (AD) trifft diese Definition die Position des Semperis Directory Services Protector sehr gut.
Die Urheber von Ransomware-Angriffen gehen immer professioneller vor und es vergeht kaum eine Woche, in der die öffentliche Berichterstattung nicht von erfolgreichen Attacken auf Unternehmen oder gar ganze Staaten kündet. In vielen Fällen hat ein nicht ausreichend abgesichertes AD den Angreifern den Weg geebnet, denn der Verzeichnisdienst bildet das zentrale Vertrauens- und Identitätssystem für alle Benutzer, Clients und Server einer Infrastruktur. Gelingt es böswilligen Eindringlingen, das Konto eines Domänen-Admins zu übernehmen, können sie nach Belieben Daten stehlen sowie verschlüsseln und den IT-Betrieb im schlechtesten Fall komplett lahmlegen. Ziel einer guten Abwehr ist es folglich, möglichst kein Gegentor zuzulassen.
Das Unternehmen Semperis hat sich Produkten und Lösungen rund um die Informationssicherheit, insbesondere von lokalen ADs und hybriden Infrastrukturen in Verbindung mit Azure AD, verschrieben. Zum Portfolio gehören mit Purple Knight ein kostenloses Tool zur Bewertung der AD-Sicherheit sowie die kommerziellen Werkzeuge Active Directory Forest Recovery (ADFR) und Directory Services Protector (DSP).
Das Wörterbuch definiert einen Torhüter als den defensivsten Spieler einer Sportmannschaft, der gegnerische Tore verhindern soll und hierfür oft auch mit Sonderberechtigungen ausgestattet ist. Übertragen auf Microsofts Verzeichnisdienst Active Directory (AD) trifft diese Definition die Position des Semperis Directory Services Protector sehr gut.
Die Urheber von Ransomware-Angriffen gehen immer professioneller vor und es vergeht kaum eine Woche, in der die öffentliche Berichterstattung nicht von erfolgreichen Attacken auf Unternehmen oder gar ganze Staaten kündet. In vielen Fällen hat ein nicht ausreichend abgesichertes AD den Angreifern den Weg geebnet, denn der Verzeichnisdienst bildet das zentrale Vertrauens- und Identitätssystem für alle Benutzer, Clients und Server einer Infrastruktur. Gelingt es böswilligen Eindringlingen, das Konto eines Domänen-Admins zu übernehmen, können sie nach Belieben Daten stehlen sowie verschlüsseln und den IT-Betrieb im schlechtesten Fall komplett lahmlegen. Ziel einer guten Abwehr ist es folglich, möglichst kein Gegentor zuzulassen.
Das Unternehmen Semperis hat sich Produkten und Lösungen rund um die Informationssicherheit, insbesondere von lokalen ADs und hybriden Infrastrukturen in Verbindung mit Azure AD, verschrieben. Zum Portfolio gehören mit Purple Knight ein kostenloses Tool zur Bewertung der AD-Sicherheit sowie die kommerziellen Werkzeuge Active Directory Forest Recovery (ADFR) und Directory Services Protector (DSP).
AD, DNS und Gruppenrichtlinien im Blick
DSP orientiert sich am NIST Cybersecurity Framework. Die Software legt den Schwerpunkt zunächst auf lokale AD-Umgebungen und trägt dem Umstand Rechnung, dass Microsofts Verzeichnisdienst seit Windows Server 2016 keine signifikanten Änderungen mehr erfahren hat. Bestehende Umgebungen sind im Hinblick auf ihre Sicherheit nicht unbedingt optimal konfiguriert, insbesondere wenn sie ursprünglich auf Basis noch älterer Versionen von Windows Server entstanden sind. DSP untersucht eine AD-Infrastruktur entsprechend auf mögliche Schwachstellen und empfiehlt Gegenmaßnahmen.
Weiterhin überwacht DSP das AD kontinuierlich auf potenziell unerwünschte Änderungen und Indikatoren für mögliche Angriffe (Indicators of Exposure, IOE). Dies schließt nicht nur den Verzeichnisdienst selbst mitsamt Konfigurations- und Schema-Partition ein, sondern auch Gruppenrichtlinien und das AD-integrierte DNS. DSP verfolgt das Ändern und Löschen von Objekten sowie auch von einzelnen Attributen und macht diese Aktionen manuell oder automatisiert rückgängig – und dies wesentlich einfacher, als es mit Bordmitteln von Windows möglich wäre. Dabei kehrt DSP auf Wunsch nicht nur zum unmittelbar vorherigen Zustand zurück, sondern zu einem beliebigen Zeitpunkt. DSP spielt mit bereits vorhandenen Systemen für das Security Information and Event Management (SIEM) zusammen und hilft, Aufgaben mittels granularer Role-based Access Control (RBAC) zu delegieren.
Sicherheit für AD und Azure AD
Semperis bietet DSP in Form von Subscription-Lizenzen pro Benutzer und Jahr an. Die grundlegenden Funktionen zur Verfolgung und Korrektur von Änderungen bietet bereits das Modul "DSP Essential". Das Modul "DSP Advanced" umfasst zusätzlich Benachrichtigungen in Echtzeit, automatisierte Gegenmaßnahmen, ein Dashboard zur Darstellung von Alarmen, forensische Analyse und proaktive Untersuchung von Schwachstellen. Das größte Modul "DSP Intelligence" ergänzt den Funktionsumfang um fortgeschrittene Analyse und Auswertung von IOEs.
In Verbindung mit einem lokalen AD speichert und verarbeitet DSP sämtliche Daten lokal und kommt ohne Cloudanbindung aus. Ist ein lokales AD mittels Azure AD (AAD) Connect mit der Cloud verbunden, entstehen zusätzliche Angriffsvektoren. Mit der aktuellen Version 3.6 hat Semperis den DSP entsprechend um optionale und separat zu lizenzierende Zusatzmodule für hybride Bereitstellungen in Verbindung mit AAD ergänzt. DSP Security for AAD erweitert den Funktionsumfang der Module Advanced und Intelligence um den Schutz hybrider Identitäten und überwacht die Korrelationen zwischen Benutzerkonten im lokalen AD sowie ihren Pendants in Azure.
DSP Intelligence for AAD setzt DSP Security for AAD voraus. Das Paket ergänzt die Funktionalität des Basismoduls Intelligence um weitere Indikatoren, wie privilegierte Benutzerkonten in der Cloud, die gleichermaßen im lokalen AD privilegiert sind, Änderungen an den Berechtigungen von App-Registrierungen in Azure, Gastkonten, die ihrerseits weitere Gäste einladen dürfen, oder auch privilegierte Konten, für die Multifaktor-Authentifizierung nicht aktiviert ist.
Zu guter Letzt ist DSP Recovery for AAD unabhängig von den übrigen Produktbestandteilen und kompatibel mit jeder Variante von DSP. Bei diesem Paket handelt es sich um eine SaaS-Anwendung, die das Backup des AADs komplett automatisiert und optimiert. Mithilfe dieser Erweiterung sichert DSP Benutzer, Gruppen sowie Rollen bis auf Attributebene und stellt diese Objekte selektiv wieder her.
Integration in bestehende Infrastruktur
Auch der beste Torwart kann ein Spiel nicht retten, wenn die Abwehrkette nicht hält. Entsprechend sollten Admins einer AD-Umgebung unabhängig vom DSP grundlegende Sicherheitsmaßnahmen ergreifen. Microsofts Tiering-Architektur ist hierfür ein guter Ansatz. Ist die Infrastruktur entsprechend Redmonds Empfehlungen in mehrere Sicherheitszonen segmentiert, empfiehlt Semperis, die Serverrollen und Datenbanken von DSP gemeinsam mit den Domain Controllern (DC) im "Tier 0", also der Zone mit der höchsten Sicherheitsstufe; zu platzieren.
Semperis erläutert dazu in der Dokumentation zum DSP alle Komponenten sowie deren Kommunikationsbeziehungen untereinander und mit den DCs. Der Hersteller führt detailliert sämtliche ein- und ausgehenden Netzwerkports auf, sodass sich DSP problemlos auch in eine bereits sehr sicher konfigurierte Infrastruktur einfügt und Admins nur die minimal benötigten Ports öffnen müssen.
Verteiltes System mit Server, Datenbank und Agenten
Der DSP-Managementserver bildet das zentrale Element der Umgebung. Er hostet sämtliche Dienste, stellt auf Basis der Microsoft Internet Information Services in Verbindung mit ASP.NET die webbasierte Managementoberfläche bereit und speichert Kopien der Backups von Gruppenrichtlinienobjekten (GPO).
Semperis unterstützt als Basis für das Management Windows Server bis zur Version 2019 und weist darauf hin, dass DSP eine US-englische Installation des Betriebssystems verlangt. Diese Voraussetzung gilt nur für den Managementserver, nicht für die DCs und die übrigen Komponenten. Der Server benötigt für interne Diagnosedaten lokal mindestens SQL Server Express 2017 oder 2019. Für sämtliche produktiven Daten, also alle Informationen zu Status und Änderungen der überwachten AD-Gesamtstruktur, ist eine der ausgewachsenen Editionen von Microsoft SQL Server 2016 bis 2019 mit einer Sortierung ohne Unterscheidung nach Groß- und Kleinschreibung erforderlich.
Semperis empfiehlt die Verwendung eines separaten Servers und gibt in der Dokumentation detaillierte Hinweise zur Kapazitätsplanung für die Datenbank. So ist als initiale Größe mit dem Achtfachen der Größe der produktiven AD-Datenbank, sprich deren Datei "NTDS.DIT", zu kalkulieren. Das Wachstum hängt von der Änderungsrate sowie der gewünschten Aufbewahrungsrichtlinie ab. Beachten Sie, dass der Datenbankserver bereits vor der Installation des Managementservers bereitstehen muss.
DSP klinkt sich in den Replikationsdatenstrom des AD ein und agiert somit wie ein DC. Dazu benötigt DSP in jeder Domäne einer Gesamtstruktur einen DSP-Agenten auf mindestens einem schreibbaren DC. Der Agent unterstützt keine Read-Only-Domain-Controller (RODC) und auch keine Core-Installationen ohne Desktopdarstellung, da DSP die Gruppenrichtlinienverwaltungskonsole benötigt, um die Änderungen an GPOs zu überwachen. Semperis empfiehlt die Installation des Agenten zwecks Ausfallsicherheit auf zwei DCs pro Domäne. Der zweite Agent springt ein, falls der Managementserver den primären Agenten für eine längere Zeit nicht erreichen konnte.
| Produkt |
Sicherheitssoftware für Active-Directory- und Azure-AD-Infrastrukturen.
|
|---|---|
| Hersteller |
Semperis Inc.,
|
| Preis |
Die Abonnementgebühr für ein typisches mittelständisches Unternehmen mit etwa 1000 Mitarbeitern liegt je nach Implementierungsumfang und ausgewählten Produktmodulen zwischen 13 und 24 Euro pro Benutzer und Jahr.
|
| Systemanforderungen |
- DSP Management Server: Windows Server 2012 R2, 2016 oder 2019 (US-Englisch mit Desktopdarstellung); Webserver IIS mit ASP.NET
- Datenbank: SQL Server 2016 bis 2019 in 64 Bit
- DSP-Agent: Windows Server 2008 R2 SP1 bis 2022 mit Desktopdarstellung und installierter GPMC
- Audit-Agent: Windows Server 2008 R2 SP1 bis 2022
- Audit-Collector: Windows Server 2012 R2 bis 2022
- Semperis-Hybrid-Server: Hyper-V ab Windows Server 2016 oder VMware ESXi ab 6.7 aufwärts.
|
| Technische Daten |
Optionales Audit-Logging
Mithilfe der DSP-Agenten erfährt der Managementserver, dass etwas geändert wurde. Der optionale Audit-Agent erfasst zusätzlich, wer diese Änderung veranlasst hat. Dazu muss zunächst grundsätzlich das Audit-Logging aktiv sein. Falls dies noch nicht der Fall sein sollte, beschreibt Semperis in der Dokumentation die nötigen Schritte, um eine Überwachungsrichtlinie für Verzeichnisdienst-Änderungen zu konfigurieren. Im Gegensatz zum DSP-Agenten muss der Audit-Agent auf jedem DC installiert sein, da ein DC, der eine Änderung durchführt, nur in seinem lokalen Ereignisprotokoll deren Urheber protokolliert.
In größeren oder verteilten Umgebungen, in denen die Audit-Agenten nicht direkt oder nur über Strecken mit geringer Bandbreite mit dem Managementserver kommunizieren können, sammelt der optionale Audit-Collector die Daten von mehreren Agenten ein und leitet sie an den Management Server weiter.
Kommen zusätzlich eine Anbindung an die Cloud und DSP Security for AAD ins Spiel, erweitert der Semperis-Hybrid-Server die Infrastruktur. Es handelt sich dabei um eine virtuelle Appliance auf Basis von Ubuntu 20.04 LTS, die der Hersteller für die Hyper-V-Rolle ab Windows Server 2016 aufwärts sowie VMware ESXi ab Version 6.7 bereitstellt. Der Hybrid-Server sammelt und speichert Änderungen im Azure AD und stellt den Bezug zu Anpassungen im lokalen AD her. In der Cloud nutzt Semperis weiterhin die hauseigene Azure-DSP-Applikation sowie die Azure-Event-Hubs.
Die Cloudanwendung benötigt dazu eine App-Registrierung mit API-Berechtigungen zum Zugriff auf Microsoft Graph, die mindestens sämtliche Eigenschaften von Benutzern, Gruppen und Applikationen lesen darf. Beim Einsatz von DSP Intelligence for AAD kommen weitere Berechtigungen hinzu, die Semperis im Detail dokumentiert hat.
Aufgrund der Komplexität einer hybriden Infrastruktur haben wir uns in unserem Test auf die Absicherung eines lokalen ADs beschränkt und DSP in Verbindung mit einer einzelnen Domäne auf Basis von Windows Server 2019 verwendet. Dazu stand uns eine Testlizenz mit dem Funktionsumfang des Moduls DSP-Intelligence in einer vom Hersteller bereitgestellten Demo-Umgebung zur Verfügung.
Sicherheitslage auf einen Blick
Das Webinterface des Managementservers präsentiert sich in einem klassischen und intuitiv bedienbaren Layout mit einem vertikalen Hauptmenü am linken Bildrand sowie einem weiteren Untermenü pro Bereich daneben. Die oberste Sektion "Overview" mit dem "Dashboard" als Unterpunkt vermittelt grafisch aufbereitet einen Überblick über den Gesamtzustand der Umgebung. Hier sieht der Admin auf einen Blick, ob alle DSP-Agenten, Audit-Agenten und Audit-Collector-Instanzen betriebsbereit sind und ob aktuelle Sicherheitswarnungen, Statusmeldungen oder kürzlich ausgeführte automatische Aktionen anliegen.
Weiterhin weist DSP hier den Status aller AD-Partitionen mitsamt DNS, Konfiguration und Schema aus. Ein Diagramm zeigt für eine wählbare Partition über die Zeit die Anzahl von Aktionen separiert nach den Typen Created, Deleted, Modified, Moved sowie Restored an. Eine detailliertere Sicht auf potenzielle Schwachstellen und sicherheitsrelevante Ereignisse stellt der Bereich "Security" mit einem weiteren "Overview" als Unterpunkt bereit. Auch hier bereitet Semperis die Ergebnisse grafisch auf, sodass eine Bewertung der Sicherheitslage leichtfällt (Bild 1). Die Übersicht zeigt eine Bewertung auf Basis von Tests auf IOEs, die die Umgebung bestanden oder eben nicht bestanden hat. Die Grundlage hierfür bilden über 120 Tests unter dem Menüpunkt "Indicators".
Automatisierte Tests
Die Tests strukturiert Semperis in Kategorien, wie etwa Account-Security, AD-Delegation, AD-Infrastructure-Security, Group-Policy-Security oder auch Kerberos-Security. DSP führt diese Tests automatisch täglich oder wöchentlich aus. Bei Bedarf konnten wir einen oder gleich mehrere Tests auch manuell starten. Pro Test liefert die Detailansicht eine Gewichtung sowie Hintergrundinformationen mit Beschreibung, Wahrscheinlichkeit der Ausnutzung, empfohlenen Gegenmaßnahmen sowie einem Bezug zum MITRE-ATT&CK-Framework.
So bewertet Semperis den Test, ob die Druckerwarteschlange auf einem DC aktiv ist, aufgrund der bekannten "PrintNightmare"-Schwachstelle mit der höchsten Gefährdungsstufe (10/10) und empfiehlt, den Dienst auf DCs zu deaktivieren. Andere Tests zielen auf ebenso gefährliche Fehlkonfigurationen, wie etwa aktives SMBv1 oder ein veraltetes Passwort des sogenannten KRBTGT-Benutzers. In letzterem Fall verlinkt die Beschreibung auch gleich zum passenden PowerShell-Skript auf GitHub, das Abhilfe schafft. Der Bereich "Security / Notifications" listet sämtliche sicherheitsrelevanten Warnmeldungen auf. Basis hierfür bildet die Konfiguration im Bereich "Settings / Notifications", auf die wir gleich zurückkommen werden.
Schutz vor fehlerhaften Änderungen
Unter dem Hauptmenüpunkt "Changes" mit den Unterpunkten "AD", "Azure AD" und "Hybrid Indentities" fanden wir sämtliche Änderungen an unserer Umgebung wieder, wobei wir uns auf den Bereich des AD konzentrierten, der wiederum in sechs Unterpunkte gegliedert ist. In der Sektion "Changes" listet DSP alle Änderungen an Objekten im AD sowie an Gruppenrichtlinien auf. Die Anpassungen erscheinen dabei mehr oder weniger in Echtzeit, da der DSP-Agent die Informationen unmittelbar aus dem Replikationsdatenstrom der DCs ausliest.
Das Attribut "ChangedBy" mit dem Urheber der Änderung bleibt technisch bedingt zunächst leer, da der Audit-Agent diese zusätzliche Information erst aus dem Ereignisprotokoll des jeweiligen DC ermitteln muss. In unserer Testumgebung lieferte DSP die Informationen binnen weniger Sekunden nach. GPOs zeigt DSP in dieser Ansicht in der Spalte "Name" mit ihrer GUID an. Über die drei Punkte am Ende einer jeden Zeile gelangten wir zu einem Kontextmenü, aus dem wir mittels "View object state" zu jeder Änderung Details ermitteln konnten, im Fall von GPOs etwa deren Anzeigenamen und Speicherort, für Benutzer und Gruppen ihre Attribute. Über das Kontextmenü konnten wir sämtliche Änderungen untersuchen, für alle Attribute außer Passwörtern einen Vorher-/Nachher-Vergleich anstellen und jede einzelne Änderung an Attribut-Werten auch wieder rückgängig machen.
Gelöschte Objekte wiederherstellen
Technische Randbedingungen sind beim Wiederherstellen gelöschter Objekte zu beachten. Diese ergeben sich aus dem Unterbau des Active Directory. Ist der AD-Papierkorb aktiv, kann DSP gelöschte Objekte innerhalb der Deleted Object Lifetime zurückholen. Ist der Papierkorb nicht aktiv, kann DSP Objekte innerhalb der Tombstone Lifetime wiederherstellen.
Ein Objekt lässt sich nicht mit allen aktuellen Attributwerten wiederherstellen, wenn es innerhalb von fünf Minuten nach seiner Erstellung oder Änderung gelöscht wird. DSP stellt Objekte in dem Zustand fünf Minuten vor ihrer Löschung wieder her. Gründe hierfür sind die zur Replikation von Objekten zwischen Domänencontrollern benötigte Zeit sowie die zulässige Differenz der Systemzeit auf zwei Replikationspartnern. Der Bereich "Changes / AD / Deleted" listet alle Löschaktionen an Benutzern und Gruppen separat auf (Bild 2). Der Bereich "Changes / AD / DNS" widmet sich separat sämtlichen Änderungen im Bereich der Namensauflösung, ebenfalls mit der Möglichkeit, unerwünschte Aktionen wieder rückgängig zu machen.
Gruppenrichtlinien besser verwalten
In der Sektion "Changes / AD / GPO" konnten wir Änderungen an Gruppenrichtlinien noch deutlich genauer untersuchen als in der Gesamtsicht aller Anpassungen. Hier zeigt DSP alle betroffenen GPOs mit ihrem Anzeigenamen und der GUID an. Besonders praktisch ist dabei, dass DSP Änderungen an GPOs hier in einer Side-by-Side-Ansicht grafisch aufbereitet darstellt. So konnten wir unterschiedliche Versionsstände von Objekten miteinander vergleichen und bei Bedarf auch gleich den früheren Stand eines GPOs wiederherstellen, ohne die Group Policy Management Console (GPMC) zu bemühen. DSP bietet hiermit zwar kein GPO-Management im Sinne mehrstufiger Freigabeprozesse, wie es etwa Microsofts Advance Group Policy Management nachrüstet. Doch über die Bordmittel des Windows Servers geht Semperis deutlich hinaus und vereinfacht die Verwaltung von Gruppenrichtlinien ungemein.
Im Bereich "Changes / AD / Undo Actions" konnten wir dann alle manuell rückgängig gemachten Aktionen nachvollziehen und unter dem Punkt "Changes / AD / Auto Actions" alle Aktionen, die DSP automatisch ausgelöst hatte. Basis hierfür bildet die Konfiguration von Regeln und privilegierten Gruppen im Bereich "Settings / Notifications". Unter dem Punkt der "Privileged Groups" verwaltet DSP eine Liste sämtlicher besonders schützenswerter Gruppen. Hier finden sich standardmäßig die bekannten Gruppen wie Domain Admins, Schema Admins, Enterprise Admins und Built-in-Gruppen des Betriebssystems, darunter die Account-, Server- sowie Backup-Operatoren. Die Liste konnten wir nach Belieben um eigene Gruppen erweitern, um sie dann im Bereich der "Rules" zu verwenden.
| Bewertung | |
|---|---|
| Dieses Produkt eignet sich |
optimal für Unternehmen, die ein bereits gehärtetes AD noch sicherer machen wollen.
bedingt für Firmen mit noch nicht gehärtetem AD, da DSP zwar Schwachstellen identifizieren, jedoch nicht alle Lücken automatisch schließen kann.
nicht für Unternehmen, die kein Active Directory betreiben.
|
Die Liste der Regeln arbeitet DSP von oben nach unten ab und stoppt, sobald die erste Regel auf ein bestimmtes Ereignis zutrifft. Entsprechend empfiehlt der Hersteller, die Regeln von restriktiv nach weniger restriktiv anzuordnen, was einfach per Drag & Drop gelingt. Ab Werk unterstützt DSP maximal 100 Regeln. Dieses Limit lässt sich per Eingriff in die Registry erhöhen. Jede Regel unterscheidet beim Schweregrad nach Information, Warnung oder kritisch. Der Filter legt fest, ob die Regel Änderungen an Gruppenrichtlinien, der Liste der privilegierten Gruppen oder einem bestimmten Distinguished Name (DN) im AD überwacht. Beim DN darf es sich um eine bestimmte Gruppe oder eine OU mit allen Objekten darunter handeln. Die Kriterien steuern, welche Operationen auf welchen Attributen DSP im Auge behält.
Der Bereich "Actions" konfiguriert zu guter Letzt, wie DSP auf ein passendes Ereignis reagiert. Zur Wahl stehen eine Meldung im DSP-eigenen Protokoll unter "Security / Notifications", Versand einer E-Mail an einen oder mehrere Empfänger sowie "Auto Undo". In letzterem Fall macht DSP die jeweilige Änderung sofort wieder ungeschehen. Davon überzeugten wir uns am Beispiel der Domain-Admins. Für diese Gruppe sollte unsere Regel das Hinzufügen neuer Benutzer überwachen. Die Kriterien hierfür lauteten entsprechend "Operation includes add" und "Attribute includes member". Im Fall eines solchen Ereignisses sollte DSP eingreifen, eine kritische Warnung loggen und die Änderung automatisch rückgängig machen, was ohne Probleme funktionierte.
In ähnlicher Weise kann DSP etwa auch DCShadow-Attacken erkennen, also den Versuch eines Angreifers, sich als DC auszugeben, um den Replikationsdatenstrom der Domäne abzugreifen und zu manipulieren. Der Aufbau einer passenden Regel überwacht den Container "Sites" in der Konfigurations-Partition des ADs mithilfe der Kriterien "Operation includes add" und "Object class includes server".
Schutz vor Fehlkonfigurationen
Sind die Regeln aktiv, verhindert DSP nicht nur Angriffe zuverlässig, sondern auch Eigentore. Konkret bedeutet dies, dass etwa auch ein Domain-Admin nicht mehr in der Lage ist, der Gruppe der Domain-Admins neue Mitglieder hinzuzufügen. DSP schreitet sofort ein und macht die Änderung wieder rückgängig.
Um bewusst eine Änderung herbeizuführen, die von einer der Regeln verhindert wird, muss ein Admin erst die jeweilige Regel deaktivieren, die gewünschte Änderung vornehmen und dann die Regel wieder aktivieren. Das sollte laut Empfehlung von Semperis möglichst in einen dokumentierten Change-Management-Prozess eingebunden sein und funktioniert sowohl interaktiv per Webinterface als auch per PowerShell-Schnittstelle. Dazu bringt DSP passende Module mit. Zur vollständigen Automatisierung könnte ein Change-Management-System eines Drittanbieters das De- und Re-Aktivieren einer Regel über die PowerShell-Cmdlets veranlassen – abgesichert über entsprechende RBAC-Berechtigungen eines Funktionsbenutzers.
Ein Schutzsystem wie DSP wirkt natürlich nur dann, wenn ein potenzieller Angreifer es nicht kennt. Hat ein Angreifer die Domäne schon kompromittiert, könnte er theoretisch auch DSP kompromittieren und versuchen, dessen Schutzmechanismen auszuschalten. Dies wird jedoch nicht gelingen, ohne Spuren zu hinterlassen, auf die Admins natürlich reagieren müssen. Eine erhöhte Absicherung gegen den Missbrauch von DSP kann die Integration der Anmeldung über einen SAML-Provider in Kombination mit einer Multifaktor-Authentifizierung bieten, doch dies hätte den Rahmen unseres Tests gesprengt.
Fazit
Semperis DSP eignet sich aufgrund seiner skalierbaren Architektur für AD-Gesamtstrukturen jeder Größenordnung und hilft, Schwachstellen zu erkennen und zu beheben. Herausragend ist die Protokollierung von Änderungen, da diese mittels der Audit-Agenten auch feststellt, wer eine Änderung veranlasst hat. Erwähnenswert ist zudem, dass DSP auch Änderungen an Konfiguration, Schema sowie DNS und Gruppenrichtlinien erkennt. Mithilfe der Regeln greift DSP auf Wunsch automatisch ein und vereitelt so Angriffe.
(dr)