Das Active Directory ist ein Verzeichnisdienst von Microsoft. Es ist die zentrale Verwaltunginstanz von Windows-basierten Netzwerken. Es beherbergt sämtliche Informationen zu sogenannten Benutzer- und Computerkonten, Richtlinien, Berechtigungen und weiteren sensiblen Daten und Diensten rund um die Authentifizierung im Netzwerk. Dementsprechend attraktiv ist das Active Directory für Cyberangriffe. Denn in diesem Kontext stellt das Active Directory entweder das Ziel, mindestens aber ein Werkzeug des Angriffs dar. Spätestens jetzt sollte klar sein, welchem hohen Schutzbedarf das Active Directory unterliegt.
Mit dem kostenlosen Tool „Purple Knight“ des Herstellers Semperis können Sie sich auswerten lassen, wie sicher Ihr Active Directory ist und wo Angriffslücken existieren.
Wir haben mit unserem Senior IT Consultant David Hänel über das Tool gesprochen.
Kurz um: Was kann das Tool?
Purple Knight ist ein Security Assessment Tool. Es prüft das Active Directory anhand von über 100 Indikatoren auf Schwachstellen. Das können Fehler in der Konfiguration sein oder auch Optimierungsempfehlungen. Dabei referenziert das Tool in seinen Indikatoren auf Security Frameworks, wie das MITRE ATT&CK. Diese Frameworks dokumentieren Angriffstaktiven und –verfahren, unter anderem für das Active Directory. Zum Beispiel prüfen wir privilegierte Konten hinsichtlich deren Passwortstärke und Nutzung.
Was ist ein guter Score?
100% ist natürlich das Maximum und sehr schwer zu erreichen. Aber alles, was über 80% liegt ist schon gut. Ziel sollte immer die stetige Verbesserung des Scores und damit der Sicherheit des Active Directorys sein.
Ist alles, was da aufgezeigt wird, wichtig?
Purple Knight unterteil die Schwachstellen und Indikatoren in verschiedenen Kategorien an. Diese sind dann in die Stufen Informationen, Warnung oder kritisch bewertet. Und anhand dessen kann man sich entlanghangeln, welche Maßnahmen als erstes umgesetzt werden sollten oder sogar müssen.
Wie aufwendig ist die Installation von Purple Knight?
Es ist ein ausführbares Programm – heißt es muss nicht installiert werden und kann direkt verwendet werden. Allerdings liegt die Expertise darin, die angezeigten Ergebnisse zu verstehen und zu bewerten.
In einem Netzwerk sind zum Beispiel alte Maschinen oder alte Programme angebunden, die alte Authentifizierungs-Protokolle erfordern. Purple Knight würde aber immer anmerken, dass diese nicht auf dem aktuellen Stand sind. Hier gilt es immer den Kontext zu berücksichtigen und ein Finding ggf. als “akzeptiertes Risiko” zu kennzeichnen. Hieraus können dann wiederum Maßnahmen zur Schwächung des Risikos entstehen.
Was jetzt in der neusten Version mit eingebunden ist, sind nicht nur die sogenannten IOE‘s – also Indckators of Exposer – sondern auch die IOC´s – also die Indicators of Compromise.
Möchtest Du abschließend noch etwas loswerden?
Mir ist es wichtig zu erwähnen, dass es sich hierbei um Tool handelt, welches manuell ausgeführt werden muss. Es gibt keinerlei Automatismus. Wir nutzen dieses Tool innerhalb von Sicherheitsanalysen, um uns einen ersten Eindruck des Active Directorys zu verschaffen. Für den dauerhaften Schutz des ADs empfehlen wir die Nutzung eines dauerhaften Schwachstellenmanagements inklusive Monitoring und Alerting.
Sie brauchen Hilfe bei der Einrichtung und Benutzung von Purple Knight – dann sprechen Sie uns gerne an.
