Warum Active Directory keine Verteidigungsstrategie ist
Active Directory (AD) ist ein Tool zur Unterstützung von Geschäftsprozessen und kein Sicherheitstool. Es verwaltet die gesamte Authentifizierung in der lokalen Umgebung und entscheidet, ob Benutzer auf angeforderte Ressourcen zugreifen dürfen. Theoretisch sollte AD damit die erste Verteidigungslinie gegen böswillige Authentifizierungen sein, die Lateral Movement ermöglichen.
In der Realität ist dies jedoch nicht der Fall. AD führt nur eine einzige Sicherheitsprüfung durch: Es überprüft, ob Benutzername und Passwort übereinstimmen. Das ist alles. Daher kann es nicht zwischen legitimer Nutzung und kompromittierten Anmeldedaten unterscheiden. Dies ist eine kritische Schwachstelle, da laterale Bewegungen auf gültigen, gestohlenen Anmeldedaten beruhen, mit denen Angreifer unentdeckt zwischen Systemen wechseln können.
Darüber hinaus unterstützen ADs veraltete Authentifizierungsprotokolle und die darauf basierenden Tools wie PsExec und Remote PowerShell Multi-Faktor-Authentifizierung (MFA) nicht nativ. Ohne MFA gibt es keine Möglichkeit zu überprüfen, ob es sich bei einem Nutzer tatsächlich um die angegebene Person handelt – oder um einen Angreifer, der sich als diese ausgibt.
AD erkennt laterale Bewegungen als legitime Authentifizierung und kann sie daher nicht verhindern.
Schutzlücken bei lateralen Bewegungen im Active Directory schließen
AD erkennt laterale Bewegungen als legitime Authentifizierung und kann sie daher nicht verhindern.
Active Directory (AD) ist ein Tool zur Unterstützung von Geschäftsprozessen und kein Sicherheitstool. Es verwaltet die gesamte Authentifizierung in der lokalen Umgebung und entscheidet, ob Benutzer auf angeforderte Ressourcen zugreifen dürfen. Theoretisch sollte AD damit die erste Verteidigungslinie gegen böswillige Authentifizierungen sein, die Lateral Movement ermöglichen.
In der Realität ist dies jedoch nicht der Fall. AD führt nur eine einzige Sicherheitsprüfung durch: Es überprüft, ob Benutzername und Passwort übereinstimmen. Das ist alles. Daher kann es nicht zwischen legitimer Nutzung und kompromittierten Anmeldedaten unterscheiden. Dies ist eine kritische Schwachstelle, da laterale Bewegungen auf gültigen, gestohlenen Anmeldedaten beruhen, mit denen Angreifer unentdeckt zwischen Systemen wechseln können.
Darüber hinaus unterstützen ADs veraltete Authentifizierungsprotokolle und die darauf basierenden Tools wie PsExec und Remote PowerShell Multi-Faktor-Authentifizierung (MFA) nicht nativ. Ohne MFA gibt es keine Möglichkeit zu überprüfen, ob es sich bei einem Nutzer tatsächlich um die angegebene Person handelt – oder um einen Angreifer, der sich als diese ausgibt.
Schutzlücken bei lateralen Bewegungen im Active Directory schließen
Warum Active Directory keine Verteidigungsstrategie ist