ÐндÑей ЯланÑкий -
Das Active Directory sichern und wiederherstellen
Ransomware bedroht nicht nur Endgeräte und Server, sondern auch Active-Directory-Domänen-Controller. Dann ist das gesamte Netzwerk in Gefahr. Darauf muss man vorbereitet sein.
Nicht erst seit Emotet ist das Thema Ransomware in aller Munde. Bereits seit einigen Jahren treibt diese Malware-Form ihr Unwesen. Auch wenn die Anzahl der Attacken mit Erpressungs-Trojanern in letzter Zeit rückläufig zu sein scheint, wie es verschiedene Berichte von Check Point, Cylance und Proofpoint nahelegen, sollten Unternehmen sich dennoch gegen sie wappnen, können die Folgen eines gelungenen Angriffs doch verheerend sein.
So verschlüsselt Ransomware nicht nur Daten auf Endgeräten und Servern – bestimmte Varianten wie GermanWiper zerstören Daten sogar dauerhaft.
Das ist bei weitem nicht alles. Oft gelingt es Ransomware auch, einen, mehrere oder alle Domain-Controller zu verschlüsseln. Dann ist die gesamte Netzwerk- und Mandanten-Verwaltung via Active Directory (AD) bedroht.
Wenn sich IT-Teams dieser Gefahr nicht bewusst sind und keine entsprechenden Vorkehrungen treffen, gefährdet das im Fall der Fälle den Geschäftsbetrieb erheblich. Schließlich hängt die gesamte Microsoft-Infrastruktur im Unternehmen vom Active Directory ab. Ohne das Verzeichnissystem können Microsoft-Dienste wie Exchange, SharePoint oder SQL-Server nicht arbeiten. Jedoch vertrauen viele IT-Verantwortliche darauf, dass ihrem unternehmensweiten Active Directory nichts zustoßen wird. Dementsprechend sind sie nicht auf einen Angriff oder Ausfall vorbereitet.
An den Ernstfall denken
IT-Entscheider sollten sich echtzeitig auf den Ernstfall vorbereiten. Zunächst empfiehlt es sich, Notfallwiederherstellungspläne zu entwickeln und diese auch durchzutesten. So steht ein (oft virtuelles) Testlabor am Anfang der Maßnahmen.
Dieses dient dazu, die Reaktion auf Angriffe und Fehlfunktionen zu proben. Dabei ist es wichtig, ein genaues Abbild der tatsächlichen Active-Directory-Struktur zu schaffen, denn nur so sind die Tests realitätsnah.
Eine selbstgeschaffene Testumgebung ist aufwendig
Jedoch ist die Schaffung eines virtuellen Testlabors mit einigen Mühen verbunden. So umfasst die Wiederherstellung von Active Directory innerhalb eines Testfelds die Erstellung von Systemen mit übereinstimmenden Servernamen und die Ausführung vom Domain Controller Promoter (DCPromo), um einen leeren Forest (Active-Directory-Gesamtstruktur) zu erstellen.
Außerdem kommt die anschließende Wiederherstellung von Systemstatus-Backups hinzu. Diese mag auch intuitiv gestaltet sein, allerdings müssen die Active-Directory-Administratoren denselben Systemstatus auf derselben Betriebssystemversion, demselben Patch-Level und mitunter derselben Hardware wiederherstellen. Das erweist sich in den meisten Fällen als sehr schwierig.
Ferner gehört zur Schaffung eines Testlabors, dass für ein Abbild des Verzeichnisses sämtliche Active-Directory-Nutzer und -Gruppen aus dem produktiven Umfeld exportiert und diese unter Zuhilfenahme von Skripten in einer separaten Testumgebung erstellt werden.
Um diese vollständige Kopie korrekt zu erstellen, ist eine profunde Kenntnis des Scriptings notwendig. Die Tatsache, dass sich Produktions- und Testsysteme nie in derselben Umgebung befinden, erschwert die Sache zusätzlich.
Selbst bei gleicher Benennung der Gesamtstruktur, Domänen, Benutzer und Gruppen gelten unterschiedliche Sicherheitskennungen (SIDs). Diese besitzen eindeutige, unveränderliche Kennungen die bei der Vergabe von Berechtigungen auf Dateien, Ordner und andere Windows-Ressourcen Anwendung finden. So können zwei erstellte Forests nicht dieselben SIDs besitzen, was dazu führt, dass man einen Anwendungsserver nicht in eine Testumgebung verschieben kann, weil sich sonst die SIDs ändern könnten, was bei der Rechtevergabe zu Problemen führt.
Dies sind nur zwei Beispiele dafür, dass die eigenständige Erstellung eines Testlabors schwierig ist und einiges an Personalressourcen bindet. Außerdem bildet das Labor so eine eigene, zweite Umgebung mit einem unabhängig arbeitenden Active Directory. Daher werden Veränderungen im Produktivumfeld nicht im Testlabor reflektiert, weshalb letzteres irgendwann die Aktualität und folglich auch seinen Sinn verliert.
Mit entsprechenden Tools können Admins dieser Problematik begegnen. Mit diesen können Administratoren beispielsweise ein virtuelles Testlabor erstellen, mit dem sie ihre zu dem Zeitpunkt tatsächlich vorliegende Produktivumgebung abbilden können. So sind keine manuellen Aktualisierungsmaßnahmen nötig.
Ein Wiederherstellungs-Tool spielt aber auch auf anderen Feldern seine Stärken aus. Es kann außerdem den Online-Zustand des Active Directory sowohl mit der ihm zugeordneten Sicherung abgleichen als auch verschiedene Sicherungen untereinander vergleichen und entsprechende Vergleichsberichte erstellen. Mit der schnellen Identifizierung gelöschter oder geänderter Attribute und Objekte ist eine schnellere Wiederherstellung möglich, da unnötige Schritte eingespart werden können.
Ferner unterstützen spezialisierte Werkzeuge die Wiederherstellung bei hybriden Umgebungen aus Active Directory und Azure Active Directory. Denn bei der gleichzeitigen Verwendung beider Verzeichnisdienste, ist sowohl die Verfügbarkeit als auch die Integrität beider Systeme notwendig.
Daher sollte eine entsprechende Wiederherstellungsplattform ein Dashboard bieten, das zwischen Hybrid- und reinen Cloud-Objekten unterscheiden kann. Außerdem sollte es Berichte zu Unterschieden zwischen den produktiven Systemen und ihren Sicherungen sofort erstellen und die Wiederherstellung sowohl in Active Directory als auch in Azure Active Directory durchführen können.
Bare Metal Recovery, wenn nichts mehr geht
Falls jedoch alle Vorsichtsmaßnahmen versagen oder es sich um ein größeres strukturelles Problem handelt, kommt der Systemadministrator um eine Bare Metal Recovery kaum herum.
Das kann dann der Fall sein, wenn beispielsweise Cyberkriminelle Ransomware dazu einsetzen, die Daten des Unternehmens zu verschlüsseln und erst nach der Zahlung einer Lösegeldforderung wieder freizugeben. In diesem Fall können auch die Backups der Systeme von der erpresserischen Verschlüsselung betroffen sein. Auch wenn einige dieser Sicherheitskopien nicht betroffen sind, wird ihre Auffindung – wie es etwa bei der NotPetya-Attacke im Jahr 2017 der Fall war – zu einem Problem.
Wie kann ein Unternehmen in diesem Katastrophenfall am besten vorgehen? Zunächst sollte es sich auf dieses Ereignis bereits im Vorfeld vorbereiten und eine Backup-Lösung wählen, die Datensicherung über Bare Metal Recovery unterstützt und diese Sicherungen auch regelmäßig auf Malware untersuchen kann.
Hier befinden sich alle für den Start der Wiederherstellung notwendigen Bestandteile auf einem bootfähigen Datenträger. Bei diesem Prozess werden nicht nur die eigentlichen Daten zurückgeschrieben, sondern auch das Betriebssystem und sämtliche zugehörigen Komponenten.
Die Wiederherstellung wird auf dem nackten Metall ausgeführt. Bei einem Ransomware-Angriff liegt ohnehin nicht viel mehr vor als die reine Hardware. Je nach Angriffsszenario kann auch eine gemischte Strategie in Betracht gezogen werden, das bedeutet, einige Systeme werden von Grund auf von der Sicherung wiederhergestellt, auf anderen Systemen wird ein frisches und sauberes Betriebssystem ausgerollt und Active Directory auf dieser Basis wiederhergestellt.
„IT-Entscheider sollten sich rechtzeitig auf den Ernstfall vorbereiten. Zunächst empfiehlt es sich, Notfallwiederherstellungspläne zu entwickeln und diese auch durchzutesten.“
Bert Skorupski, Quest Software
Bei einem solch schwer geschädigten System würde dies weder manuell in einem akzeptablen Zeitrahmen und entsprechender Vollständigkeit erfolgen, noch eignen sich die Bordmittel der Betriebssystem-Hersteller dazu.
Jedoch kann sich ein angegriffenes Unternehmen keine Wartezeit leisten, denn es muss wieder zurück in einen arbeitsfähigen Modus kommen. Daher ist es wichtig, dass die Backup-Lösung die notwendigen Schritte automatisiert durchführt. Diese wären beispielsweise die Rekonstruktion der Active-Directory-Dienste – entweder auf Basis des Bare Metal Recovery, oder auf Basis frisch installierter Betriebssysteme – die Bereinigung der Metadaten, die Wiederherstellung der Trusts, der Rücksetzung von Passwörtern der hochprivilegierten Konten und schließlich dem Neustart der Replikation.
Ein entsprechendes Tool unterstützt die Vorbereitung auf den Ernstfall durch die richtige Backup- und Wiederherstellungsstrategie. Bei einer Ransomware-Attacke, in der weite Teile der IT betroffen und damit unbrauchbar sind, kann die schnelle Wiederherstellung des Betriebszustandes vor dem Angriff entscheidend sein für das weitere Bestehen des Unternehmens. Eine Betriebsunterbrechung kann auch in glimpflicheren Fällen viel Geld, Marktanteile und Arbeitsplätze kosten. Active Directory und Azure Active Directory sind Schlüsselsysteme – daher sollten IT-Entscheider sich lieber heute als morgen eingehend mit ihrem Schutz befassen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.