Flexible Security for Your Peace of Mind

Wie Sie mit der Implementierung von Zero-Trust in Ihrem Active Directory beginnen können

In der Vergangenheit haben sich viele Unternehmen dafür entschieden, Benutzern und Geräten innerhalb ihrer sicheren Grenzen zu vertrauen. Dies ist heute nicht mehr möglich, da die Mitarbeiter geografisch verstreut sind und von verschiedenen Standorten und Geräten aus Zugriff benötigen. Die Mitarbeiter müssen über die traditionellen Arbeitsgrenzen hinaus auf Unternehmenssysteme und Cloud-Anwendungen zugreifen und erwarten eine nahtlose, schnelle Authentifizierung.

Aufgrund dieser Anforderungen sind viele Unternehmen zu einem Zero-Trust-Modell übergegangen, um die Personen zu verifizieren, die auf ihre Daten zugreifen. Als Rückgrat der Netzwerkauthentifizierung ist Active Directory ein wesentlicher Bestandteil jeder Strategie zur Sicherung des Netzwerkzugriffs. Es ist von entscheidender Bedeutung, dass die darin gespeicherten Anmeldeinformationen sicher sind. Wie können wir also Zero-Trust-Prinzipien anwenden, um Active Directory zuverlässig zu schützen?

Das Zero-Trust-Modell in der Praxis

Sie haben zweifellos schon vom Zero-Trust-Modell gehört: Es handelt sich dabei um einen Cybersicherheitsansatz, bei dem kein inhärentes Vertrauen in einen Benutzer oder ein System gegeben ist, egal an welchem Ort oder in welchem Netzwerk sich diese befinden. Es beruht auf dem Prinzip ” never trust, always verify”. In einem Zero-Trust-Modell muss jeder Benutzer, jedes Gerät und jede Netzwerkkomponente authentifiziert und autorisiert werden, bevor sie auf Ressourcen oder Daten zugreifen darf.

Einfacher gesagt als getan, denn es gibt keine ultimative Checkliste, um Zero Trust zu realisieren. Die Umsetzung solch eines Sicherheitskonzepts geht über die Umsetzung einiger Best Practices oder den Einsatz einer einzelnen Softwarelösung hinaus. Es geht darum, einen mehrschichtigen Sicherheitsrahmen zu schaffen, der verschiedene Technologien, Prozesse und Richtlinien umfasst. Doch irgendwo muss man ja anfangen, daher haben wir einige Ideen für den Einstieg zusammengestellt. Denken Sie aber daran, dass die Anwendung von Zero-Trust-Prinzipien auf die Sicherheit Ihres Active Directory eine kontinuierliche Aufgabe ist.

Der Grundsatz der geringstmöglichen Privilegien (Least Privilege)

Konten mit weitreichenden Berechtigungen stellen grundsätzlich ein Risiko für Ihre Datensicherheit dar. Wenn es einem böswilligen Akteur gelingt, ein privilegiertes Konto zu kompromittieren, vervielfacht sich das Potenzial für ernsthafte Schäden. Aus diesem Grund ist die Anwendung des Prinzips der geringstmöglichen Privilegien (Least Privilege) ein wesentlicher Schritt zum Schutz von Active Directory-Umgebungen.

Dieser Grundsatz besagt, dass Einzelpersonen oder Entitäten nur über die, für ihre Aufgaben oder Funktionen erforderliche Berechtigungen verfügen sollten. Dies zielt darauf ab, potenziellen Schaden oder unbefugten Zugriff zu begrenzen, indem die Berechtigungen auf das Wesentliche beschränkt werden.

Die Umsetzung eines Zero-Trust-Modells bedeutet, dass selbst Administratoren nur bei Bedarf und für eine begrenzte Dauer erhöhte Rechte gewährt werden. Zu den Methoden für eine “Just-in-Time” Erweiterung der Berechtigungen in Active Directory gehören das ESAE-Modell (Red Forest), temporäre Gruppenmitgliedschaften mit synchronisiertem Ticketablauf und temporäre Administratorkonten mit deaktiviertem Status, bis sie benötigt werden. Befinden sich aber bereits verwaiste oder inaktive Administratorkonten in Ihrer Umgebung? Nutzen Sie den Specops Password Auditor, um solche Gefahren aufzuspüren!

Schlummern kompromittierte Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Passwort-Resets mit MFA absichern

Passwort-Resets und die dazugehörigen Prozesse sind oft eine Schwachstelle Cybersecurity von Organisationen, vor allem wenn sie einen Link oder Code an die E-Mail oder das Telefon des Benutzers senden. Wenn ein Angreifer unbefugten Zugriff auf das E-Mail-Konto des Benutzers erhält oder mithilfe von Sim-Swapping den Code abfängt, kann er das Kennwort zurücksetzen. Ohne ordnungsgemäße Authentifizierungsverfahren können Unbefugte dies nutzen, um Zugang zu sensiblen Daten und Systemen zu erhalten.

Zusätzlich versuchen Hacker mithilfe von Social Engineering, die Prozesse zum Zurücksetzen von Passwörtern auszunutzen. Beispielsweise geben Sie beim Helpdesk vor, ihr Gerät verloren zu haben, und versuchen stattdessen, einen Link zum Zurücksetzen an ein vom Angreifer kontrolliertes Gerät zu senden. Dies ist gefährlich, da ein Angreifer nun ein legitimes Konto übernehmen und weitere Angriffe starten kann. Diese Gefahr wurde beim jüngsten Ransomware-Angriff auf MGM Resorts besonders deutlich, als Hacker den Service Desk anriefen und es schafften, Anmeldedaten zu erlangen, um anschließend Ransomware zu installieren.

MFA ist ein wichtiger Bestandteil einer Zero-Trust-Strategie, da sie zusätzliche Authentifizierungsebenen über das Passwort hinaus bietet. Lösungen wie Specops uReset bieten eine Vielzahl von Faktoren, um Self-Service-Password-Reset-Prozesse zu schützen. So stellen Sie sicher, dass nur authentifizierte Benutzer in der Lage sind, ihre Passwörter zurückzusetzen. Sie können aus einer Reihe von von Ihnen gewichteten Authentifizierungsmethoden wählen, z. B. biometrische Verifizierung, SMS-Authentifizierung, E-Mail-Verifizierung und Authentifikatoren von Drittanbietern wie Google Authenticator un viele andere.

Kein Passwort ist sicher!

Warum dann nicht gleich ganz auf Passwörter verzichten? Für die meisten Unternehmen ist das aktuell noch nicht realisierbar. Selbst wenn die Verwendung von Passwörtern verringert werden kann, werden sie doch noch ein wesentlicher Bestandteil der meisten Cybersecurity-Strategien sein – wir müssen sie also so stark wie möglich machen. Die Anwendung von Zero-Trust-Prinzipien ist sicherlich hilfreich, aber keine Patentlösung für Kennwortsicherheit.

Selbst starke Passwörter werden häufig durch Phishing-Angriffe, Leaks und der mehrfachen Verwendung von Passwörtern kompromittiert. Zudem haben Hacker leider mehrere Methoden, um MFA zu umgehen. Daher ist es wichtig, dass Unternehmen über eine Möglichkeit verfügen, regelmäßig nach kompromittierten Passwörtern zu suchen – andernfalls kann ein Hacker die von Ihnen eingerichteten Zero-Trust-Prozesse verhältnismäßig einfach aushebeln.

Mit Specops Password Policy können Sie kontinuierlich nach Passwörtern suchen, die kompromittiert wurden. Unsere Honeypots und die Experten des Kraken-Labs-Teams aktualisieren die dafür verwendete Datenbank täglich und stellen so sicher, dass Ihre Netzwerke vor über 4 Millarden kompromittierten Passwörtern geschützt sind. Wird ein kompromittiertes Passwort gefunden, wird es automatisch im Active Directory blockiert und der Benutzer benachrichtigt, um umgehend ein neues und sicheres Passwort zu erstellen.

Gerne beraten wir Sie, wie Sie Specops Password Policy in Ihrer Umgebung eingesetzt werden kann:
Kontaktieren Sie uns noch heute für eine kostenlose Demo oder Testversion.

Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 19/03/2024)

Zurück zum Blog