Active Directory absichern mit Purple Knight und Forest Druid
Sagenhaft
Veröffentlicht in Ausgabe 07/2023 - PRAXIS
Nein, mit diesem Artikel möchten wir Sie nicht in das Reich von Sagen und Mythen entführen, sondern stattdessen praktische Tipps zur Absicherung von Microsofts Verzeichnisdienst Active Directory (AD) geben. Für einen Verbund mehrerer Domänen verwendet Microsoft in der deutschen Übersetzung den sperrigen Begriff der Gesamtstruktur, im Englischen schlicht die Bezeichnung Forest. Und diese ist namensgebend für eines der beiden Werkzeuge, das wir im Folgenden einsetzen werden. Doch werfen wir zunächst einen Blick auf das AD und dessen zentrale Rolle, die Active-Directory-Domänendienste (Active Directory Domain Services, AD DS).
Das AD und seine Altlasten
Die AD DS bilden die Basis der lokalen IT-Infrastrukturen zahlreicher Unternehmen und stehen somit im Fokus von Cyberkriminellen. Diese trachten – oftmals im Zuge von Ransomware-Attacken – danach, eine Domäne oder gar den kompletten Forest zu übernehmen und die gesamte Organisation lahmzulegen. Der Sicherheit des AD kommt somit größte Bedeutung zu, doch der Verzeichnisdienst zählt inzwischen zu den Veteranen. Bereits seit Windows Server 2016 hat Microsoft am AD keine signifikanten Änderungen mehr vorgenommen. Auch mit der neuesten Ausgabe des Betriebssystems, Windows Server 2022, entsprechen die Funktionsebenen von Gesamtstrukturen und Domänen noch dem inzwischen über sechs Jahre alten Stand.
Wenngleich Windows Server 2022 in Hinblick auf die Informationssicherheit viele neue Funktionen hinzugewonnen hat, trägt das AD schwer an seinem Erbe der Abwärtskompatibilität zu früheren Versionen. Und so weist selbst eine unter Windows Server 2022 frisch installierte Gesamtstruktur einige Schwächen auf, die es sicherer zu konfigurieren gilt. Dies trifft umso mehr in gewachsenen Infrastrukturen zu, die eine Historie beginnend bei Windows Server 2003 oder gar noch früheren Versionen besitzen. Hier kommen die Werkzeuge von Semperis ins Spiel.
Nein, mit diesem Artikel möchten wir Sie nicht in das Reich von Sagen und Mythen entführen, sondern stattdessen praktische Tipps zur Absicherung von Microsofts Verzeichnisdienst Active Directory (AD) geben. Für einen Verbund mehrerer Domänen verwendet Microsoft in der deutschen Übersetzung den sperrigen Begriff der Gesamtstruktur, im Englischen schlicht die Bezeichnung Forest. Und diese ist namensgebend für eines der beiden Werkzeuge, das wir im Folgenden einsetzen werden. Doch werfen wir zunächst einen Blick auf das AD und dessen zentrale Rolle, die Active-Directory-Domänendienste (Active Directory Domain Services, AD DS).
Das AD und seine Altlasten
Die AD DS bilden die Basis der lokalen IT-Infrastrukturen zahlreicher Unternehmen und stehen somit im Fokus von Cyberkriminellen. Diese trachten – oftmals im Zuge von Ransomware-Attacken – danach, eine Domäne oder gar den kompletten Forest zu übernehmen und die gesamte Organisation lahmzulegen. Der Sicherheit des AD kommt somit größte Bedeutung zu, doch der Verzeichnisdienst zählt inzwischen zu den Veteranen. Bereits seit Windows Server 2016 hat Microsoft am AD keine signifikanten Änderungen mehr vorgenommen. Auch mit der neuesten Ausgabe des Betriebssystems, Windows Server 2022, entsprechen die Funktionsebenen von Gesamtstrukturen und Domänen noch dem inzwischen über sechs Jahre alten Stand.
Wenngleich Windows Server 2022 in Hinblick auf die Informationssicherheit viele neue Funktionen hinzugewonnen hat, trägt das AD schwer an seinem Erbe der Abwärtskompatibilität zu früheren Versionen. Und so weist selbst eine unter Windows Server 2022 frisch installierte Gesamtstruktur einige Schwächen auf, die es sicherer zu konfigurieren gilt. Dies trifft umso mehr in gewachsenen Infrastrukturen zu, die eine Historie beginnend bei Windows Server 2003 oder gar noch früheren Versionen besitzen. Hier kommen die Werkzeuge von Semperis ins Spiel.
Kostenfreie Verteidigungstools
Semperis hat sich auf Werkzeuge rund um die Informationssicherheit spezialisiert, insbesondere für lokale AD DS und hybride Infrastrukturen in Kombination mit Azure AD. Zum Angebot zählen die kommerziellen Werkzeuge Active Directory Forest Recovery (ADFR) und Directory Services Protector (DSP). Letzterer hilft, Schwachstellen zu erkennen und zu beheben, wovon wir uns bereits in einem früheren Test überzeugt hatten [1]. DSP überwacht zudem Änderungen an sensiblen Konten, Gruppen, Konfiguration, Schema, DNS sowie Gruppenrichtlinien, macht diese auf Wunsch automatisiert rückgängig und verhindert auf diese Weise Angriffe.
Doch wer sich mit dem AD und dessen Absicherung beschäftigen möchte, muss nicht zwingend sofort zu kostenpflichtigen Produkten greifen. Mit Purple Knight bietet Semperis ein als Community Edition kostenfrei verfügbares Werkzeug an [2]. Dem purpurroten Ritter steht seit dem letzten Jahr mit Forest Druid ein weiteres kostenloses Tool zur Seite [3]. Beide sind auf möglichst einfache Bedienung ausgelegt und erfordern keine Installation. Während Purple Knight von außen nach innen, also aus der Perspektive eines Angreifers, auf das AD schaut, hilft Forest Druid dabei, von innen nach außen die Verteidigung aufzubauen.
Purple Knight: Von außen nach innen
Anfangs hat ein Angreifer in der Regel noch kein Admin-Konto kompromittiert, allenfalls einen unbedarften Benutzer sowie dessen Client. Er sucht nun nach Wegen, ins Herzstück der Gesamtstruktur zu einem Domain Controller (DC) vorzudringen. Analog dazu führen Sie Purple Knight als regulärer Benutzer ohne Admin-Rechte aus – typischerweise auf einem Client, der Mitglied der Domäne ist, doch die Domänenmitgliedschaft ist nicht zwingend erforderlich. Bei Bedarf fragt die Software nach geeigneten Anmelde-informationen eines Kontos, das mindestens Leserechte im Ziel-AD besitzt.
Purple Knight schlüpft damit in die Rolle eines Bösewichts in der Reconnaissance-Phase seines Angriffs. Dieser aus dem militärischen Vokabular entlehnte Begriff bezeichnet das Auskundschaften und Sammeln von Informationen zur Vorbereitung der eigentlichen Attacke. Mit dieser Perspektive liefert das Werkzeug Einblicke in die Sicherheitslage des AD sowie detaillierte Ergebnisse zu jedem gefundenen Gefährdungsindikator (Indicator of Exposure, IOE).
Das Tool bringt dazu über 100 Tests auf bekannte IOE mit und prüft auf Fehlkonfigurationen des AD mitsamt AD-Delegation, Kontosicherheit, AD-Infrastruktursicherheit, Gruppenrichtlinien sowie Kerberos. Sofern vorhanden, untersucht die Software dabei auch ein verbundenes Azure AD und die damit einhergehenden häufigsten Angriffsvektoren, die Bösewichte nutzen, um sich vom lokalen AD in die Cloud auszubreiten oder umgekehrt.
Zu allen Tests und IOE liefert Purple Knight nützliche Hintergrundinformationen, wie die Bezüge zu den Sicherheitsrahmenwerken MITRE ATT&CK und D3FEND sowie Regeln der französischen Nationalen Agentur für die Sicherheit von Informationssystemen (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI). Die Software hilft zudem bei der Einschätzung der Kritikalität einer jeden Sicherheitslücke und gibt Hinweise zu Gegenmaßnahmen mit Links zu Microsofts Wissensdatenbank.
Startvorbereitungen
Purple Knight läuft unter Windows 8.1 bis 11 und Windows Server von 2012 R2 bis 2022 mit einem .NET Framework ab 4.6.2 sowie der PowerShell ab Version 4.0 aufwärts. Sie benötigen wie erwähnt weder eine Installation noch Admin-Rechte. Der ausführende Computer muss lediglich einen DC auf den TCP-Ports 389 und 445 erreichen und, soweit vorhanden, die Webregistrierung der AD-Zertifikatdienste per TCP-Port 443.
In einer hybriden Bereitstellung unterstützt Purple Knight nur einen Tenant im Azure AD und bedarf einer App-Registrierung in der Cloud. Die App-Registrierung wiederum benötigt lesende Berechtigungen auf die Microsoft-Graph-API sowie weitere lesende Zgriffsrechte, um die Tests auf IOE gegen das Azure AD auszuführen. In der mitgelieferten PDF-Anleitung finden Sie detaillierte Hinweise zur Konfiguration der App-Registrierung, im Folgenden gehen wir aber nur auf die Analyse einer lokalen Infrastruktur ein.
Laden Sie das ZIP-Archiv der Software herunter. Im ersten Schritt öffnen Sie dann im Windows-Explorer über das Kontextmenü die Eigenschaften des Archivs und aktivieren auf der Registerkarte "Allgemein" im unteren Abschnitt "Sicherheit" die Option "Zulassen", im Englischen "Unblock". Damit sorgen Sie dafür, dass Microsoft Defender die Software nicht als Bedrohung klassifiziert und das Entpacken verhindert.
Sofern Sie ein fortgeschrittenes Anti-Malware-Tool (Extended Detection and Response, XDR) eines Drittanbieters einsetzen, kann es passieren, dass dieses beim Extrahieren oder beim ersten Start von Purple Knight einschreitet, weil sie dessen Verhalten für verdächtig hält. Das ist nicht ungewöhnlich, da Purple Knight Techniken einsetzt, die auch Angreifer nutzen. Betrachten Sie dies als Test Ihrer Abwehr und fügen Sie der XDR-Software eine Ausnahme hinzu.
In fünf Schritten zum fertigen Bericht
Im Archiv finden Sie neben der ausführbaren Datei und der Anleitung den Unterordner "Scripts" mit allen PowerShell-Skripten zu den Tests auf IOE. Semperis liefert alle Skripte signiert und im Klartext lesbar, sodass Sie bei Interesse nachvollziehen können, was unter der Haube passiert. Zur Verwendung der Software benötigen Sie keine PowerShell-Kenntnisse, das Benutzerkonto muss aber berechtigt sein, die Skripte auszuführen.
Starten Sie die ausführbare Datei, begrüßt Sie der Assistent, der Sie intuitiv durch die fünf Schritte zum fertigen Bericht über die Sicherheitslage in Ihrer Umgebung führt. Im ersten Schritt akzeptieren Sie die Lizenzbestimmungen, im zweiten zum "Environment" legen Sie die Ziele fest. Hier wählen Sie das Azure AD, Ihr lokales AD oder beide. Aktivieren Sie das lokale AD, erkennt Purple Knight typischerweise automatisch Ihre Gesamtstruktur.
Alternativ dazu geben Sie die gewünschte Gesamtstruktur anhand von FQDN, NetBIOS-Namen oder einer IP-Adresse manuell ein. Bestätigen Sie mit der Schaltfläche "Select". Nur falls die Berechtigungen des ausführenden Benutzers nicht reichen sollten, die Zielumgebung auszulesen, fragt der Assistent nach alternativen Anmeldeinformationen. Wählen Sie nun aus dem Feld darunter die gewünschten Domänen innerhalb der Gesamtstruktur.
Mehr als 100 Gefährdungsindikatoren
Im folgenden Dialogschritt "Indicators" aktivieren Sie die Tests auf bekannte IOE. Für eine lokale AD-Umgebung bringt die Software 106 Tests in sechs Kategorien mit. In einer Umgebung mit verbundenem Azure AD stehen sogar über 130 Tests bereit. Standardmäßig sind alle Indikatoren bis auf einen ausgewählt. Lediglich der Test "AD Infrastructure Security / Zerologon vulnerability" ist nicht aktiv. Der Grund hierfür ist einfach: Für alle übrigen Tests genügt Purple Knight die Kommunikation mit einem einzelnen DC. Lediglich der Test auf die "Zerologon" getaufte Verwundbarkeit prüft alle DCs in der Infrastruktur darauf, ob das Windows-Update gegen diese Sicherheitslücke vorhanden ist. Dies kann laut Semperis in sehr großen Domänen mit mehr als 50 DCs zu langen Laufzeiten führen. In kleineren Umgebungen können Sie jedoch auch diesen Test bedenkenlos aktivieren.
Zu jeder Prüfung liefert der Assistent eine Einschätzung des Schweregrads in den drei Stufen Informational, Warning und Critical sowie eine Gewichtung auf einer Skala von eins bis zehn. Die Übersicht stellt weiterhin die Beziehung zu den MITRE-Frameworks und der Klassifizierung laut ANSSI her, beschreibt die Beschaffenheit der Sicherheitslücke und die Wahrscheinlichkeit ihrer Ausnutzung (Bild 1).
Mit der Schaltfläche "Run tests" wechselt der Assistent zur Anzeige des Fortschritts und führt die aktivierten Tests aus. Die Laufzeit hängt im Wesentlichen von der Anzahl der Benutzer- und Computer-Objekte in der Domäne sowie der Anzahl der Domänen im Forest ab. In typischen AD-Umgebungen des Mittelstands mit bis zu 10.000 Benutzern benötigen die Tests laut Hersteller in der Regel nicht mehr als zehn Minuten. In unserer kleinen Testumgebung mit zwei DCs dauerte das Ganze weniger als eine Minute.
Zu guter Letzt wechselt der Assistent auf die letzte Seite mit einer kurzen Zusammenfassung der Befunde. Hier sehen Sie auf einen Blick eine Bewertung der Umgebung mit einer Prozentangabe und den amerikanischen Schulnoten von A bis F. Die Dokumentation erläutert die Methodik der Bewertung im Detail. Darunter zeigt die Übersicht Informationen zum untersuchten Forest an und wie viele Tests die Umgebung bestanden hat und wie viele nicht. Mittels der Schaltfläche "View report" öffnen Sie den detaillierten HTML-Bericht, den Sie mit Datum und Zeitstempel auch im Unterordner "Output" des Programmverzeichnisses finden. Sie können beliebig viele Tests hintereinander ausführen und bei Bedarf mit dem PowerShell-Skript "Erase_PK_output.ps1" wieder tilgen.
Der Report führt alle Tests und deren Ergebnisse auf. Für jeden nicht bestandenen Test weist er aus, auf welches Objekt sich der Befund bezieht – Domäne, DCs, Benutzerkonten oder Gruppenrichtlinien. Weiterhin empfiehlt der Bericht leicht nachvollziehbar die Gegenmaßnahmen, die sie ergreifen sollten.
Nach den Erfahrungen des Herstellers liegt die durchschnittliche Bewertung von produktiven Umgebungen, in denen Purple Knight zum ersten Mal läuft, bei 70 Prozent. Die typischen Schwachstellen finden sich dabei in Kategorien der Kerberos- und Account-Security. Mit unserer frisch installierten Gesamtstruktur mit einer Domäne unter Windows Server 2022 erreichten wir ein erfreuliches Ergebnis von 93 Prozent und damit die Note A. Insgesamt elf Tests auf IOE wurden aber im ersten Anlauf fündig. Anhand der empfohlenen Gegenmaßnahmen – Anpassen der Gruppe für den Prä-Windows-2000-kompatiblen Zugriff, Deaktivieren der Druckerwarteschlange auf DCs sowie Änderungen an Gruppenrichtlinien – konnten wir das Ergebnis mit wenigen Handgriffen auf 96 Prozent erhöhen.
Mithilfe von Purple Knight verbessern Sie somit schrittweise die Sicherheit Ihrer Umgebung. Sofern es in Ihrer Umgebung bemängelte Konfigurationen gibt, die Sie auf Grund technischer oder organisatorischer Randbedingungen nicht abstellen können, erlaubt Purple Knight leider keine dauerhaften oder befristeten Ausnahmen. Das ist der ausgewachsenen Plattform DSP vorbehalten. Mit Vorher-/ Nachher-Vergleichen und den Hinweisen zur Mitigation von Sicherheitslücken bildet Purple Knight dennoch ein praktisches Element Ihrer Abwehrkette.
Druidenkraft für Fortgeschrittene
Purple Knight liefert auch Einsteigern in das Themenfeld der AD-Sicherheit schnell verwertbare Erkenntnisse. Forest Druid ist zwar ebenso einfach in der Ausführung, erfordert im direkten Vergleich jedoch tiefergehendes Verständnis der AD-Architektur, und richtet sich damit an Fortgeschrittene. Die Software ergänzt Purple Knight und weist auf Angriffsvektoren hin, die auf den ersten Blick nicht unbedingt auffallen.
Forest Druid vereinfacht und beschleunigt die Analyse dieser Angriffsvektoren, indem das Tool im Rahmen einer interaktiven Analyse sämtliche Objekte und ihre Beziehungen untereinander erkennt und sowohl als Liste als auch in einem dreidimensionalen Modell grafisch darstellt. Damit arbeitet Forest Druid ähnlich wie BloodHound (siehe Kasten "Auf den Hund gekommen").
Auf den Hund gekommen
Bei BloodHound und SharpHound handelt es sich um Open-Source-Applikationen, die Sie zur Analyse der Sicherheit im AD verwenden [4]. Das grafische Tool BloodHound nutzt Graphentheorie, um die versteckten und oft unbeabsichtigten Beziehungen innerhalb einer AD- oder Azure AD-Umgebung aufzudecken. In der Rolle eines Angreifers visualisieren Sie schnell selbst komplexe Angriffspfade. Auch in der Rolle der Verteidigung sind diese Informationen praktisch. So identifizieren Sie typische Angriffsvektoren, um Gegenmaßnahmen zu ergreifen.Während BloodHound die AD-Struktur und Berechtigungen verbildlicht, dient das Kommandozeilen-Tool SharpHound der Sammlung von Informationen über die AD-Objekte und ihre Berechtigungen. Mit SharpHound führen Sie typischerweise als regulärer Benutzer ohne Admin-Rechte verschiedene Abfragen gegen die AD-Infrastruktur aus, um Daten über Benutzer, Gruppen, Computer und andere AD-Objekte zu sammeln. Diese Daten exportiert SharpHound dann im JSON-Format. Das importieren Sie schließlich in BloodHound, um ein interaktives Graphen-modell der AD-Infrastruktur zu generieren. In Kombination bieten Ihnen BloodHound und SharpHound leistungsstarke Möglichkeiten, die Sicherheit von AD-Infrastrukturen zu analysieren und zu verbessern, indem sie Schwachstellen aufdecken und potenzielle Angriffspfade identifizieren. Im Kontext von Sicherheits-Audits gehören die Anwendungen damit in den Werkzeugkasten sowohl der Angreifer (Red Team) als auch der Verteidiger (Blue Team).Beide Werkzeuge erfordern allerdings ein gewisses Maß an Erfahrung und tiefgehende Kenntnisse der AD-Architektur. Sie stellen daher für wenig erfahrene Administratoren eine Herausforderung dar. Schulung und Einarbeitung in die Tools und ihre Funktionen sind unbedingt erforderlich, um sie effektiv zu nutzen und tatsächlich die Sicherheit im AD zu verbessern. Weniger erfahrene Administratoren finden mit Purple Knight und Forest Druid einen leichteren Zugang zum Thema, da die Werkzeuge von Semperis einfacher in der Bedienung sind und dennoch effektiv ihren Beitrag zur Verbesserung der Netzwerksicherheit leisten.
Während BloodHound sich eher an ein Red Team, also die Angreifer, richtet, nimmt Forest Druid die Rolle der Verteidiger im Blue Team ein. Mithilfe der Software kategorisieren Sie alle Objekte in Ihrer Umgebung, um im Sinne von Microsofts Tiering-Modell alle Elemente von Tier 0 zu identifizieren und das Herzstück Ihrer Infrastruktur abzusichern. Im Vergleich mit BloodHound ist Forest Druid deutlich schneller und einfacher in der Anwendung, erfordert aber ebenso fundierte AD-Kenntnisse, denn die eigentliche Arbeit beginnt erst, sobald Forest Druid die Umgebung analysiert hat.
Microsoft hat zwar sein früheres Tiering-Modell inzwischen in das neue und umfangreichere Enterprise Access Model überführt. Haben Sie bislang noch keine besonderen Maßnahmen zur Absicherung Ihre lokalen AD-Umgebung ergriffen, bildet das Tiering aber weiterhin einen guten Einstieg. Dazu unterteilen Sie die Infrastruktur in die drei Ebenen von 0 bis 2, wobei Sie im Tier 0 DCs und weitere wichtige Systeme, wie die Server der AD-Zertifikatdienste, platzieren. Ins Tier 1 gehören Ressourcen wie die Datei- und Applikationsserver. Alle Clients landen im Tier 2.
Mit Netzwerksegmentierung, Berechtigungen und Gruppenrichtlinien sorgen Sie dann dafür, dass administrative Konten sich nicht an Systemen in einem Tier mit niedrigerer Sicherheitsstufe anmelden können. Dies soll verhindern, dass ein Bösewicht, der etwa einen Client im Tier 2 übernommen hat, das Konto eines Server- oder gar Domänen-Admins kompromittieren kann. Bei der Planung von Tier 0 und der Zuordnung von Objekten steht Ihnen Forest Druid zur Seite.
Forest Druid im Praxiseinsatz
Wie Purple Knight erfordert Forest Druid keine Installation. Das Tool stellt weiterhin keine besonderen Anforderungen an .NET Framework oder PowerShell und bringt eine eigene dateibasierte Datenbank mit. Möchten Sie mehrere Umgebungen analysieren, sollten Sie für jede davon eine separate Kopie mit eigener Datenbank verwenden. Als Basis empfiehlt Semperis eine physische Maschine mit GPU sowie Windows Server 2019. Die Anwendung lief in unseren Tests jedoch auch komplikationslos auf einem Client-Betriebssystem.
Sie können dieses Werkzeug als regulärer Benutzer ausführen. Auf Grund der Blickrichtung des Verteidigers von innen nach außen empfiehlt der Hersteller, einen Enterprise Admin zu verwenden. Der ausführende Client nimmt über die TCP-Ports 389 und 3268 Kontakt mit einem DC auf.
In einer großen Gesamtstruktur mit mehreren Domänen kann das Ergebnis auf den ersten Blick verwirrend sein. Beginnen Sie im Zweifelsfall mit der Analyse nur einer Domäne. Mit dem folgenden Befehl starten Sie etwa mit einem bestimmten DC als Ziel und dem Fokus auf der Domäne:
.\collector .exe -b "D:\ForestDruid Community\Database" -h DC01 --scope Domain
Sobald Sie das Tool anwerfen und die Lizenzbedingungen akzeptieren, beginnt es damit, sämtliche Objekte Ihrer AD-Umgebung einzulesen.
Analysieren und klassifizieren
Die Ergebnisse präsentiert Forest Druid in einer geteilten Ansicht sowohl als Liste als auch in Form eines grafischen Modells mit den relevanten Objekten als Knoten und ihren Beziehungen untereinander als Kanten (Bild 3). Objekte, wie etwa die Gruppen "Domänencontroller" oder "Organisations-Admins", klassifiziert das Tool standardmäßig als dem Tier 0 zugehörig und stellt sie in der Grafik blau dar. Alle übrigen Objekte, die einen möglichen Angriffspfad zum Tier 0 öffnen, zeigt die Software als potenziell riskante Objekte in Orange an.
Sie drehen und skalieren das grafische Modell per Maus und beeinflussen über die Icons in der oberen rechten Ecke die Anzeige. Die Option "Combine Tier 0 nodes" fasst alle Objekte des Tier 0 in einem einzigen Punkt zusammen, sodass lediglich die riskanten und noch nicht klassifizierten Objekte übrigbleiben. "Show labels" zeigt bei Bedarf alle Objekte mit ihrer Beschriftung an, was je nach Umfang der Liste aber anfänglich zu Lasten der Übersichtlichkeit geht.
Sie arbeiten sich nun durch die Liste aller riskanten Objekte und entscheiden, ob diese zum Tier 0 gehören. Sobald Sie ein oder mehrere Objekte dem Tier 0 zuweisen, berechnet Forest Druid das Modell und die möglichen Angriffsvektoren neu. Bei konsequenter Nutzung und Klassifizierung erhalten Sie als Lohn der Mühe eine Liste der schützenswerten Objekte im Tier 0 und damit die Verteidigungslinie für das Herzstück Ihres AD.
Sobald Sie Ihr Tier 0 definiert haben, untersuchen Sie die riskanten Beziehungen, die übrig sind. Der Liste entnehmen Sie dabei, welcher Art die jeweilige Beziehung ist, ob es sich etwa um eine Gruppenmitgliedschaft oder eine Schreibberechtigung handelt. Ergreifen Sie zu guter Letzt Maßnahmen gegen unnötig offene Angriffspfade und integrieren Sie die Objekte, die zwingend eine riskante Beziehung benötigen ins Monitoring. Dazu kann Forest Druid die Ergebnisse in ein Format exportieren, das Semperis DSP in einer kommenden Version importieren wird, um die Absicherung der Objekte zu automatisieren.
Fazit
Mit Purple Knight und Forest Druid stehen Ihnen zwei mächtige Helfer bei der Absicherung Ihrer AD-Infrastruktur zur Seite. Purple Knight bietet auch Einsteigern sofort verwertbare Hinweise zur Vermeidung typischer Fehlkonfigurationen und Sicherheitslücken. Forest Druid unterstützt bei der Einführung von Microsofts 3-Tier-Modell, setzt dafür aber fortgeschrittenes Wissen über das AD und seine Architektur voraus.
Da die Tools kostenfrei verfügbar sind und lediglich lesende Berechtigungen im AD erfordern, können Sie beide gefahrlos ausprobieren und so tiefgehende Erkenntnisse über die Sicherheitslage in Ihrer Infrastruktur gewinnen.
(ln)
Link-Codes
[1] IT-Administrator 08/22: Semperis Directory Services Protector 3.6: https://www.it-administrator.de/article-378635/
[2] Purple Knight: https://www.purple-knight.com
[3] Forest Druid: https://www.purple-knight.com/forest-druid/
[4] BloodHound: https://github.com/BloodHoundAD