Active Directory und exponentielle Komplexität der Domänenwiederherstellung

Guido Grillenmeier, Cheftechnologe, Semperis www.semperis.com

Die Cybersicherheitslandschaft hat sich seit den Anfängen von Active Directory (AD) drastisch verändert.

Es vergeht keine Woche, ohne dass das lokale Windows-Netzwerk eines Unternehmens durch einen Ransomware- oder Wiper-Angriff lahmgelegt wird. Allein der Januar 2022 ist ein typisches Beispiel.

Am 9. Januar waren Ärzte und Krankenschwestern des Jackson Hospital in Florida, USA, gezwungen, tagelang Patientenakten auf Stift und Papier zu verfolgen, nachdem das computergestützte Aufzeichnungssystem heruntergefahren worden war, um einen Ransomware-Angriff auf Krisenebene abzuwenden.

Ebenso gab der Spezialist für Gehaltsabrechnungs- und Personallösungen Kronos bekannt, dass er sich von einem Ransomware-Angriff erholt habe, der es ihm unmöglich gemacht habe, die Zeiterfassung zu verfolgen, was es seinen Kunden ermöglicht, ihre Mitarbeiter ordnungsgemäß zu bezahlen.

Entscheidend ist, dass diese beiden Vorfälle nur die Spitze des Eisbergs bilden.

Accenture zuvor geschätzt dass sich die Verluste aufgrund von Cyberkriminalität zwischen 5.2 und 2019 auf 2024 Billionen US-Dollar summieren könnten Internationale Datengesellschaft berichtet, dass 37 % der Unternehmen weltweit im Jahr 2021 Opfer eines Ransomware-Angriffs wurden.

Aufgrund von Statistiken wie diesen hat Gartner in seinem neuesten Bericht die Bedrohung durch neue Ransomware-Modelle als das größte aufkommende Einzelrisiko für Unternehmen identifiziert Bericht zur Überwachung neu auftretender Risiken. Unterdessen die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat kürzlich in seinem neuesten Threat Landscape-Bericht erklärt, dass wir die „goldene Ära der Ransomware“ erleben.

Angesichts der Intensität der heutigen Bedrohungslandschaft ist die Fähigkeit zur schnellen Wiederherstellung Ihrer IT-Services der Schlüssel zu Ihrem Überleben – und Ihr Active Directory (AD) ist eine Schlüsselkomponente in diesem Wettlauf gegen die Zeit! Daher ist die vollständige Wiederherstellung Ihrer gesamten AD-Umgebung aus einem Backup keine schöne Sache mehr, sondern eine geschäftskritische Anforderung.

Die Domänenwiederherstellung ist ein komplexer Prozess

In vergangenen Jahren, Microsoft hat daran gearbeitet, die Windows-Sicherheit erheblich zu verbessern, indem Funktionen und Fähigkeiten hinzugefügt wurden, um die Wiederherstellung von AD-Objekten zu vereinfachen und das Verhalten von AD zu verbessern, wenn es in einer virtualisierten Umgebung ausgeführt wird.

Die grundlegenden Probleme bei der Wiederherstellung einer gesamten Gesamtstruktur aus einer Sicherung haben sich jedoch nicht geändert. Es ist immer noch ein fehleranfälliger, komplexer Prozess, der Planung und Übung für alle außer den trivialsten AD-Bereitstellungen erfordert.

Die Wiederherstellung einer Domain erfordert viele manuelle Schritte. Diese sind beschrieben in Leitfaden zur Wiederherstellung der Active Directory-Gesamtstruktur von Microsoft, aber dies ist nicht nur ein einfacher Artikel. Es ist eine umfangreiche Ressource, die auf viele andere Webseiten verweist, die jeder Einzelne vollständig lesen und verstehen müsste, um eine Domänenwiederherstellung mit einem gewissen Grad an Erfolg durchführen zu können.

Ein allgemeiner Überblick über die Schritte zur Wiederherstellung einer AD-Gesamtstruktur in einen bekanntermaßen sicheren Zustand kann wie folgt zusammengefasst werden:

1. Bestimmen Sie die Gesamtstruktur und verfügbare Backups

2. Identifizieren Sie einen einzelnen DC für jede Domäne mit gültiger Sicherung

3. Fahren Sie alle DCs in der Gesamtstruktur herunter

4. Stellen Sie zuerst die Forest Root Domain wieder her

5. Stellen Sie dann einen DC jeder untergeordneten Domäne wieder her

6. Alle anderen DCs im Wald aufräumen und neu befördern

a. Stellen Sie die Wiederherstellung der Vertrauenshierarchie und kritischer DNS-Ressourceneinträge sicher

b. Stellen Sie sicher, dass übergeordnete Domänen vor ihren untergeordneten Domänen wiederhergestellt werden, um die Vertrauenshierarchie aufrechtzuerhalten

Die Realität der Situation ist jedoch nicht so einfach. Tatsächlich gibt es zahlreiche Unterschritte, die zwischen den skizzierten eingeschoben werden können.

Um den Wiederherstellungsprozess erfolgreich zu durchlaufen, ist eine Koordination zwischen AD-Ingenieuren, Wiederherstellungsbetriebsteams und höchstwahrscheinlich auch Virtualisierungsmanagementteams erforderlich. Jeder muss seine Aufgaben fehlerfrei und in der richtigen Reihenfolge in der wahrscheinlich stressigsten Umgebung seiner bisherigen Karriere ausführen.

Darüber hinaus wird die Situation immer komplizierter, wenn der AD-Forest mehrere Domänen umfasst, wodurch eine Abhängigkeitskette entsteht, die die Wiederherstellung noch schwieriger macht.

Ein Unternehmen muss immer die Hauptdomäne wiederherstellen, bevor es untergeordnete Domänen wiederherstellen kann. Wenn Sie nur eine Domain haben, sind Sie nach der Wiederherstellung dieser wieder online – allerdings nach einem aufwändigen Wiederherstellungsprozess. Wenn Sie jedoch eine Umgebung mit vielen Domänen oder sogar Unterdomänen haben, wird dies zu einem administrativen Albtraum.

Sie können nicht alle Domänen gleichzeitig wiederherstellen. Sie müssen einzeln in einem seriellen Prozess wiederhergestellt werden, der langwierig, schwierig und sehr fehleranfällig ist, was zu einer Situation exponentieller Komplexität bei der Domänenwiederherstellung führt.

Die Kosten von Ransomware und die Bedeutung von Backups

Aufgrund dieser Schwierigkeiten können Ransomware-Angriffe Unternehmen oft kolossale Summen kosten.

Ein Bericht von Sophos zeigt, dass die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff 1.85 Millionen US-Dollar betragen. Diese Zahl wird jedoch nicht nur den damit verbundenen Lösegeldforderungen zugeschrieben – sie berücksichtigt auch die Ausfallzeit, Personalzeit, Gerätekosten, Netzwerkkosten und andere verpasste Gelegenheiten im Zusammenhang mit einem Angriff.

Die Wiederherstellung erfordert Zeit und Geld, insbesondere bei komplexen Prozessen wie der Wiederherstellung mehrerer Domänen. Um solch erhebliche Auswirkungen zu vermeiden, müssen Unternehmen daher über geeignete und angemessene Wiederherstellungspläne verfügen, um im Falle eines Angriffs schnell wieder online zu gehen.

Dies beginnt damit, dass Sie sich ein klares Bild und ein vollständiges Verständnis Ihrer AD-Waldstruktur verschaffen, damit Sie wissen, wo eine Erholung beginnen muss, wenn es nach Süden geht.

Hier ist es wichtig sicherzustellen, dass Sie über gültige Backups verfügen.

Allzu oft erkennen Unternehmen erst, dass sie keine gültigen Backups haben, wenn es zu spät ist. Um absolut sicher zu sein, ist es ratsam, Backups regelmäßig zu überprüfen und sicherzustellen, dass diese vollständig von Ihrer Umgebung getrennt und getrennt sind.

Bereitschaft ist von entscheidender Bedeutung

Aus diesem Grund benötigen wir eine ordnungsgemäße Sicherung der AD-Domänencontroller. Aber auch hier sind einige ebenso bedeutsame Überlegungen anzustellen.

Unternehmen können sich dafür entscheiden, sich an vielversprechende Tools von Drittanbietern zu wenden, aber es ist wichtig zu beachten, dass diese auch ihre Grenzen haben.

Die Möglichkeit, AD-Domänencontroller zu sichern, bedeutet nicht automatisch, dass ein Tool Ihnen helfen kann, Ihren AD-Forest schnell wiederherzustellen. Die meisten dieser Lösungen, die sich auf Sicherungen auf Betriebssystemebene konzentrieren, bieten möglicherweise Unterstützung bei der Wiederherstellung einzelner Server und Domänencontroller, können jedoch nicht den komplexen Wiederherstellungsprozess koordinieren, der erforderlich ist, um Ihre AD-Gesamtstruktur wieder zum Leben zu erwecken.

Was müssen Unternehmen also tun?

Es ist einfach nicht zu übersehen, dass AD Disaster Recovery ein höchst schwieriges Unterfangen ist. Unternehmen können sich jedoch auf verschiedene Weise richtig vorbereiten.

Abgesehen von externen Backups sollten Unternehmen versuchen, einen Schein-AD-Wiederherstellungsprozess zu praktizieren, um einige Erfahrungen und Einblicke in die Herausforderungen und den Prozess zu erhalten, sollte ein tatsächlicher Angriff eintreten. Auf diese Weise kann ein Aktionsplan oder Playbook formuliert werden, der den gesamten AD-Disaster-Recovery-Plan und klare Verantwortlichkeiten für seine Ausführung enthält.

Ebenso können Tools und Lösungen implementiert werden, die dazu beitragen können, ein AD-Desaster von vornherein zu verhindern, indem sie zusätzliche Verteidigungslinien bieten, die einen Angreifer ersticken können. Es gibt jedoch keine 100-prozentige Garantie, dass sie einen Angriff stoppen. Aus diesem Grund sollten Sie unabhängig davon, wie viel Sie in die Prävention investieren, immer mit einem Angriff rechnen und einen angemessenen Wiederherstellungsplan erstellen.

Das ist jetzt wichtiger denn je. Früher wurde AD nicht so oft angegriffen, weil es schwierig war. Heutzutage müssen Sie dafür jedoch kein Experte sein – mit Ransomware-as-a-Service sind weit verbreitete, unausgereifte Angreifer in der Lage, ausgeklügelte Angriffe auszuführen.

Außerdem tauchen immer wieder neue Schwachstellen auf. Es ist nur wann Microsoft kündigt einen neuen Fix an, dass diese Lücken geschlossen werden, aber bevor dieser ausgerollt wird, ist es oft so, dass jede neue Schwachstelle im blinden Fleck von mehreren Hackern ausgenutzt wurde.

Daher müssen sich Unternehmen mehr denn je darauf vorbereiten – wenn die Hölle losbricht, müssen Sie sicherstellen, dass Ihr gesamtes Netzwerk nicht verloren geht.

Um mehr zu diesem Thema zu lesen, finden Sie hier das AD-Disaster-Recovery-Whitepaper von Semperis: https://www.semperis.com/resources/does-your-active-directory-disaster-recovery-plan-cover-cyberattacks/

Semperis kündigt außerdem Verbesserungen an seinem Produkt Active Directory Forest Recovery (ADFR) an, um Unternehmen dabei zu unterstützen, forensische Funktionen nach einem Angriff schnell durchzuführen und Active Directory nach einer Cyber-Katastrophe in einer vertrauenswürdigen, Malware-freien Umgebung wiederherzustellen. Weitere Informationen finden Sie unter (Link zur Pressemitteilung).