Active Directory mit Microsoft Defender for Identity schützen

Microsoft Defender for Identity ist eine Cloud-Lösung, die Angriffe auf das Active Directory er­kennen kann. Sie ana­lysiert dazu den Daten­­verkehr und das Benutzer­verhalten auf DCs und ADFS-Servern. Da­rüber hinaus deckt sie Schwach­­­stellen auf und erkennt Pfade, die An­greifer für die seit­liche Bewegung im Netz­ nutzen könnten.

Microsoft Defender for Identity hat seine Wurzeln sowohl in Azure als auch in der ehemaligen Advanced Threat Protection (Azure ATP). Unternehmen müssen die Sicherheits­lösung also nicht vor Ort bereitstellen, wenn man vom Sensor absieht, der auf den Domänen-Controllern installiert wird. Das Tool leitet zudem Admins bei der Behebung von Fehl­konfigurationen an.

Der Schutz durch Microsoft Defender for Identity beruht auf diesen vier Säulen:

• Vorbeugen: Direkt nach der Installation beginnt die Überwachung des Active Directory. Dazu gehört die Bewertung der Sicherheits­konfiguration und des AD-Schemas. Der Dienst gibt Empfehlungen, wie die Umgebung am besten geschützt werden kann, um Sicherheits­probleme von vornherein zu verhindern.
• Entdecken: Dazu zählen Echtzeit­erkennung und Datenanalysen. Sie umfassen die Überwachung von Netzwerk­aktivitäten, Windows-Ereignissen und anderen Metriken, um Warnungen in Echtzeit für SecOps bereitzustellen. Diese erhalten damit die nötigen Belege, um die Bedrohung zu verstehen und sie zu entschärfen.
• Untersuchen: Bewertung von Benutzern, Aktivitäts­ereignissen und anderen kontextbezogenen Vorkommnissen. Sie helfen SecOps dabei, zu verstehen, was in der Umgebung vor sich geht, um optimal reagieren zu können.
• Reagieren: Automatische Maßnahmen für gefährdete Identitäten sowie halbautomatische Reaktionen auf Warnungen vor einer Bedrohung.

Microsoft Defender for Identity wird wöchentlich mit den neuesten Sicherheits­informationen, Warnungen und Sicherheits­bewertungen aktualisiert. Zu den Bedrohungen und Aktivitäten, die das Tool erkennen kann, gehören unter anderem:

• Brute-Force-Versuche, um Zugang zu einem Konto zu erhalten (auch via AD FS)
• Verdächtige VPN-Verbindungen
• Fehlgeschlagene Logon-Versuche
• Verdächtige Änderungen von DC-Passwörtern über NetLogon
• Pass-the-Ticket
• Pass-the-Hash
• Golden-Ticket-Angriffe
• Verdächtige Änderungen bei Mitgliedschaften in Gruppen

Die Lösung entwickelt sich hinsichtlich ihrer Funktionen und der unterstützten Plattformen weiter. So hat Microsoft den Schutz von Active Directory Domain Services (AD DS) auf die Active Directory Federation Services (ADFS) ausgedehnt.

Wie passt der Dienst zu anderen Cloud-basierten Produkten von Microsoft? Microsoft Defender for Identity ist keine allumfassende Lösung. Er fügt sich jedoch vielmehr in den mehrschichtigen Ansatz ein, der Schutz für Folgendes umfasst:

• Anwendungen
• Endpoints
• E-Mails und Daten

Architektur von Microsoft Defender for Identity

Die Architektur von Microsoft Defender for Identity besteht aus folgenden Komponenten:

Portal: Hier erzeugt man eine Instanz von Defender for Identity-Instanz und zeigt die von den Remote-Sensoren empfangenen Daten an. Es dient hauptsächlich der Überwachung, Verwaltung und Untersuchung von Ereignissen.

Sensor: Der Datensammler vor Ort für Bedrohungssignale. Er überwacht den Netzwerkverkehr und Authenti­fizierungs­anfragen.

Cloud-Dienst: Dieser läuft auf der Azure-Infrastruktur und ist mit dem intelligenten Sicherheits­graphen von Microsoft verbunden.

Proaktive Reaktion auf Bedrohungssignale

Warnungen und Informationen über einen potenziellen Angriff alleine sind schon wichtig. Microsoft Defender for Identity bietet darüber hinaus noch folgende Funktionen zur automatischen Eindämmung von Bedrohungen:

• Benutzer deaktivieren: Ein kompromittierter Account kann proaktiv gesperrt werden, so dass sich der Benutzer nicht mehr bei AAD/AD anmelden kann.
• Benutzersitzungen beenden: Das Session- bzw. Access-Token wird automatisch für ungültig erklärt.
• Benutzerkennwort ändern bzw. zurücksetzen: Diese Aktion ändert das Passwort des Benutzers oder erzwingt, dass es der User bei der nächsten Anmeldung ändern muss.
• Den Benutzer als kompromittiert markieren: Die Risikostufe des Benutzers wird in AAD IP auf "hoch" gesetzt.

Anforderungen an den Sensor

Sie können sich den Sensor als den "Agenten" von Microsoft Defender for Identity vorstellen. Zu seinen Anforderungen gehören:

• Windows Server 2008 R2 SP1 und höher
• .NET-Framework 4.7
• 6 GB RAM, 2 CPU-Kerne
• Netzwerk-Port 443 (ausgehend), DNS, NetLogon, RADIUS (intern) und NTLM, NetBIOS und RDP auf Geräten zur Namens­auflösung
• Dienstkonto bzw. Group Managed Service Account (schreibgeschützt)
• Überwachungsereignisse: 4726, 4728, 4729, 4730, 4732, 4733, 4743, 4753, 4756, 4757, 4758, 4763, 4776, 7045, 8004

Lizenzierung

Defender for Identity ist als Teil von Enterprise Mobility + Security E5/A5, Microsoft 365 E5/A5/G5, Microsoft 365 E5/A5/G5/F5 Security, Microsoft F5 Security & Compliance sowie Microsoft Defender for Identity for Users erhältlich. Sie können zudem eine Lizenz direkt über das Microsoft 365-Portal oder über das CSP-Programm erwerben.

Zusammenfassung

Da immer mehr Angriffe auf Microsoft Active Directory und die Anmeldedaten der User abzielen, ist der Schutz des Verzeichnisses von entscheidender Bedeutung für die Gesamt­sicherheit eines Unternehmens.

Microsoft Defender for Identity bietet insgesamt eine interessante Sicherheits­lösung für AD DS und AD FS, um potenzielle Bedrohungen in der Umgebung schnell zu erkennen und einzudämmen.