Seit einigen Jahren sind L\u00f6sungen f\u00fcr den Schutz von Verzeichnisdiensten und Identity Provider (insbesondere Active Directory Domain Services und Azure AD\/Entra) gegen Angriffe erh\u00e4ltlich. Diese werden unter verschiedenen Namen beworben, insbesondere Identity Protection, Identity Threat Detection and Response (ITDR) oder AD Protection \/ AD Threat Detection.<\/p>\n\n\n\n
Die L\u00f6sungen sind teilweise als Standalone-Module verf\u00fcgbar, manchmal aber auch nur im Paket von Endpoint Protection Platformen (EPP, EDR), Identity Governance + Administration (IGA), Privileged Access Management (PAM) oder Zero Trust L\u00f6sungen erh\u00e4ltlich. Typische Angriffe, die mit der Software verhindert bzw. erschwert werden sollen, sind z.B. das bekannte Golden Ticket (gef\u00e4lschte TGT Tickets)<\/a> , Password Spraying<\/a> oder Kerberoasting<\/a>, bei dem TGS Tickets abgefangen und mittels Brute Force gecracked werden, um Passw\u00f6rter zu erhalten. Typischerweise werden ungemanagte oder \u00fcberprivilegierte Konten (wie z.B. Service Accounts) oder andere Fehlkonfigurationen ausgenutzt, oder z.B. Cloud Access Tokens gestohlen. Auch relativ neue Angriffstechniken wie MFA Flooding werden von einigen L\u00f6sungen abgedeckt.<\/p>\n\n\n\n Im Wesentlichen gibt es zwei unterschiedliche Ans\u00e4tze f\u00fcr den Schutz: Entweder pr\u00e4ventive H\u00e4rtungsma\u00dfnahmen durch die regelm\u00e4\u00dfige \u00dcberpr\u00fcfung von Schwachstellen und Umsetzung von sicheren Konfigurationen (\u201eConfiguration Audits\u201c, \u201eSecurity Posture Management\u201c), oder eine Echtzeit-Alarmierung bzw. sofortige Unterbrechung der Angriffskette (\u201eThreat Detection and Response\u201c). Dabei wird das Nutzerverhalten, insbesondere Zugriffe, laufend beobachtet und auf Auff\u00e4lligkeiten wie \u201eImpossible Travel\u201c gepr\u00fcft. \u00dcblicherweise erfolgt dies \u00fcber Agenten auf den On Premise Domain Controllern, VMs oder SaaS. Einige Tools kombinieren pr\u00e4ventive und reaktive Ans\u00e4tze.<\/p>\n\n\n\n <\/p>\n\n\n\n Grunds\u00e4tzlich gibt es frei verf\u00fcgbare Konfigurations-Checklisten und Empfehlungen f\u00fcr die H\u00e4rtung von AD DS Umgebungen sowie Open Source Tools. Dazu geh\u00f6ren u.a. die Richtlinien von Microsoft<\/a> selbst, Vorgaben und Empfehlungen des BSI<\/a>, CIS Benchmarks<\/a> (f\u00fcr Windows Server als Domain Controller) oder Sean Metcalfes AD Security Blog<\/a>. MITRE bietet mit den ATT&CK<\/a> und D3FEND<\/a> Frameworks ebenfalls sehr umfangreiche Hinweise f\u00fcr die Erkennung (z.B. \u00fcber Event.IDs) und Erschwerung von identit\u00e4tsbasierten Angriffen. Kostenlose, aber nat\u00fcrlich im Funktionsumfang eingeschr\u00e4nkte, Versionen von Audit bzw. Pen Test Tools sind beispielsweise Ping Castle<\/a>, Purple Knight<\/a> oder Bloodhound<\/a>.<\/p>\n\n\n\n Diese Ressourcen bieten einen g\u00fcnstigen Einstieg, insbesondere in Kombination mit Beratung durch Fachleuchte. Viele Security-Beratungsh\u00e4user haben inzwischen tiefgehende Erfahrung mit On Premise AD, einige haben sich auch teilweise auf das Thema spezialisiert und kennen sich mit der Sicht als Penetrationstester aus (wie z.B. r-tec<\/a>, TEAL<\/a> oder NVISO<\/a>). Bei kniffligen Aufgabenstellungen wie z.B. der Umstellung von RC4 auf AES-256 Verschl\u00fcsselung oder der Einf\u00fchrung von Windows Defender Credential Guard kann man sich hier also Unterst\u00fctzung holen, anstatt mit knappen internen Kapazit\u00e4ten das Rad neu zu erfinden.<\/p>\n\n\n\n <\/p>\n\n\n\n Zum aktuellen Stand gibt es keine vergleichenden Berichte oder Tests von Gartner, Forrester, KuppingerCole, MITRE oder anderen Analysten. Aus Ausschreibungen und Angebotsvergleichen sind uns bisher folgende L\u00f6sungen bekannt:<\/p>\n\n\n\n <\/p>\n\n\n\n Wesentliche funktonale Unterschiede der L\u00f6sungen haben wir u.a. bei folgenden Anforderungen wahrgenommen:<\/p>\n\n\n\n Wie immer ist unsere Empfehlung, insgesamt pragmatisch an die Aufgabenstellung heranzugehen \u2013 wir haben in Ausschreibungen zu Identity Protection L\u00f6sungen Preisunterschiede von ca. 70% bei nahezu gleichem Funktionsumfang gesehen. Die Lizenzmodelle sind meistens \u00e4hnlich (abh\u00e4ngig von der Anzahl der AD Konten). Die m\u00f6glichen Einsparungen sollten aus unserer Sicht besser in zus\u00e4tzliche Mitarbeitende in der IT oder andere Ma\u00dfnahmen investiert werden, anstatt ein teures Tool zu beschaffen, dass in einer k\u00fcnstlichen Laborumgebung vielleicht eine 1-2% bessere Erkennungsrate bei einem Test erreicht hat.<\/p>\n\n\n\n <\/p>\n\n\n\n Vergleichen lohnt sich: Die H\u00e4rtung des lokalen ADs, die richtige Konfiguration von Cloud Identity Providern und die kontinuierliche \u00dcberwachung des Nutzerverhaltens auf Anomalien geh\u00f6ren heute zum Stand der Technik. Ausgereifte Tools, mit denen die eigene Mannschaft oder Dienstleistende (MSSP) dabei zielgerichtet unterst\u00fctzt werden, gibt es von vielen Anbietenden. Bei der Auswahl sollten die Anforderungen klar definiert werden, um keine f\u00fchrenden Anbietenden auszuschlie\u00dfen und gleichzeitig teure Optionen zu vermeiden. Durch ein methodisches Vorgehen lassen sich \u201e\u00c4pfel mit \u00c4pfeln vergleichen\u201c und ein gutes Preis-Leistungsverh\u00e4ltnis erzielen.<\/p>\n\n\n\n CyberCompare hat schon mehr als 400 Organisationen bei Security-Projekten unterst\u00fctzt \u2013 anbieterneutral, ohne Reselling-Vertr\u00e4ge oder Vertriebspartnerschaften, 100% im Kundenauftrag. Gerne helfen wir Ihnen bei schwierigen Security-Entscheidungen. Wir kaufen jeden Tag Security.<\/p>\n","protected":false},"excerpt":{"rendered":" Seit einigen Jahren sind L\u00f6sungen f\u00fcr den Schutz von Verzeichnisdiensten und Identity Provider (insbesondere Active […]<\/p>\n","protected":false},"author":24,"featured_media":9237,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[],"class_list":["post-9233","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-article-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/9233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=9233"}],"version-history":[{"count":2,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/9233\/revisions"}],"predecessor-version":[{"id":9239,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/9233\/revisions\/9239"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/9237"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=9233"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=9233"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=9233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie anfangen?<\/h2>\n\n\n\n
Anbieterlanschaft und Analystenberichte<\/h2>\n\n\n\n
\n
Kriterien bei der Auswahl<\/h2>\n\n\n\n
\n
\n
Fazit<\/h2>\n\n\n\n