Microsoft DART Ransomware Ansatz und bewährte Methoden

Von Menschen betriebene Ransomware ist kein Problem der Schadsoftware – es ist ein Problem von menschlichen Kriminellen. Die Lösungen, die zur Bewältigung von Rohstoffproblemen eingesetzt werden, reichen nicht aus, um eine Bedrohung zu verhindern, die eher einem nationalstaatlichen Gefährder ähnelt:

• Deaktivierung oder Deinstallation Ihrer Antiviren-Software vor der Verschlüsselung von Dateien
• Deaktivierung von Sicherheitsdiensten und Protokollierung, um eine Entdeckung zu vermeiden
• Findet und beschädigt oder löscht Backups, bevor er eine Lösegeldforderung stellt

Diese Aktionen werden in der Regel mit legitimen Programmen durchgeführt, die Sie möglicherweise bereits zu Verwaltungszwecken in Ihrer Umgebung haben. In kriminellen Händen werden diese Tools böswillig für Angriffe eingesetzt.

Die Reaktion auf die zunehmende Bedrohung durch Ransomware erfordert eine Kombination aus moderner Unternehmenskonfiguration, aktuellen Sicherheitsprodukten und der Wachsamkeit von geschultem Sicherheitspersonal, um die Bedrohungen zu erkennen und darauf zu reagieren, bevor Daten verloren gehen.

Das Microsoft Detection and Response Team (DART) reagiert auf Sicherheitsprobleme, um Kunden dabei zu helfen, sich gegen Cyberangriffe zu schützen. DART bietet reaktive Reaktion auf Vorfälle vor Ort und proaktive Remote-Untersuchungen. DART nutzt die strategischen Partnerschaften von Microsoft mit Sicherheitsorganisationen auf der ganzen Welt und internen Microsoft-Produktgruppen, um eine möglichst vollständige und gründliche Untersuchung durchzuführen.

In diesem Artikel wird beschrieben, wie DART mit Ransomware-Angriffen für Microsoft-Kunden umgeht, so dass Sie erwägen können, Elemente des Ansatzes und der bewährten Praktiken für Ihr eigenes Sicherheitsprogramm zu übernehmen.

In diesen Abschnitten finden Sie die folgenden Details:

• Wie DART die Microsoft Sicherheitsdienste nutzt
• Der DART-Ansatz zur Durchführung von Ransomware-Vorfalluntersuchungen
• DART-Empfehlungen und Best Practices

Hinweis

Der Inhalt dieses Artikels stammt aus Ein Leitfaden zur Bekämpfung von Ransomware, die von Menschen gesteuert wird: Teil 1 and Ein Leitfaden zur Bekämpfung von Ransomware, die von Menschen gesteuert wird: Teil 2 der Blog-Einträge des Microsoft-Sicherheitsteams.

Wie DART die Microsoft Sicherheitsdienste nutzt

DART stützt sich bei allen Untersuchungen in hohem Maße auf Daten und nutzt bestehende Implementierungen von Microsoft-Sicherheitsdiensten wie Microsoft Defender for Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identity und Microsoft Defender for Cloud Apps.

Defender für Endpunkt

Defender for Endpoint ist Microsofts Sicherheitsplattform für Unternehmensnetzwerke, die Analysten dabei unterstützt, fortschrittliche Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Defender for Endpoint kann Angriffe mithilfe von fortschrittlichen Verhaltensanalysen und maschinellem Lernen erkennen. Ihre Analysten können Defender for Endpoint für die Verhaltensanalyse von Angreifern verwenden.

Hier sehen Sie ein Beispiel für eine Warnung in Microsoft Defender for Endpoint für einen Pass-the-Ticket-Angriff.

Ihre Analysten können auch erweiterte Suchabfragen durchführen, um Indikatoren für eine Kompromittierung (Indicators of Compromise - IOCs) zu erkennen oder nach bekannten Verhaltensweisen zu suchen, wenn sie eine Gruppe von Bedrohungsakteuren identifizieren.

Hier ist ein Beispiel dafür, wie erweiterte Suchanfragen verwendet werden können, um bekannte Angreifer aufzuspüren.

Mit Defender for Endpoint haben Sie Zugang zu einem Echtzeit-Überwachungs- und Analysedienst auf Expertenebene, der von den Microsoft Threat-Experten für laufende Aktivitäten verdächtiger Akteure eingesetzt wird. Außerdem können Sie bei Bedarf mit Experten zusammenarbeiten, um weitere Erkenntnisse über Benachrichtigungen und Vorfälle zu gewinnen.

Hier ist ein Beispiel dafür, wie Defender for Endpoint detaillierte Ransomware-Aktivitäten anzeigt.

Defender für Identität

Sie verwenden Defender for Identity, um bekannte kompromittierte Konten zu untersuchen und um potenziell kompromittierte Konten in Ihrem Unternehmen zu finden. Defender for Identity sendet Warnmeldungen zu bekannten bösartigen Aktivitäten, die von Akteuren häufig genutzt werden, wie DCSync-Angriffe, Versuche der Remotecodeausführung und Pass-the-Hash-Angriffe. Mit Defender for Identity können Sie verdächtige Aktivitäten und Konten ausfindig machen, um die Untersuchung einzugrenzen.

Hier sehen Sie ein Beispiel dafür, wie Defender for Identity Warnungen für bekannte bösartige Aktivitäten im Zusammenhang mit Ransomware-Angriffen versendet.

Defender for Cloud Apps

Defender for Cloud Apps (früher bekannt als Microsoft Cloud App Security) ermöglicht es Ihren Analysten, ungewöhnliches Verhalten in Cloud-Apps zu erkennen, um Ransomware, gefährdete Benutzer oder bösartige Anwendungen zu identifizieren. Defender for Cloud Apps ist der Cloud Access Security Broker (CASB) von Microsoft, der die Überwachung von Cloud-Diensten und des Datenzugriffs von Benutzern auf Cloud-Dienste ermöglicht.

Hier sehen Sie ein Beispiel für das Dashboard von Defender for Cloud Apps, mit dem Sie ungewöhnliches Verhalten in Cloud-Apps erkennen können.

Microsoft-Sicherheitsbewertung

Das Set von Microsoft Defender XDR-Diensten bietet Live-Empfehlungen zur Behebung, um die Angriffsfläche zu reduzieren. Der Microsoft Secure Score ist ein Maß für die Sicherheitslage eines Unternehmens, wobei eine höhere Zahl anzeigt, dass mehr Verbesserungsmaßnahmen ergriffen worden sind. In der Secure Score-Dokumentation erfahren Sie mehr darüber, wie Ihr Unternehmen diese Funktion nutzen kann, um Abhilfemaßnahmen zu priorisieren, die auf seiner Umgebung basieren.

Der DART-Ansatz zur Durchführung von Ransomware-Vorfalluntersuchungen

Sie sollten alle Anstrengungen unternehmen, um herauszufinden, wie der Angreifer Zugang zu Ihren Ressourcen erhalten hat, damit Schwachstellen behoben werden können. Andernfalls ist es sehr wahrscheinlich, dass die gleiche Art von Angriffen in der Zukunft erneut erfolgen wird. In einigen Fällen unternimmt der Bedrohungsakteur Schritte, um seine Spuren zu verwischen und Beweise zu vernichten, sodass es möglich ist, dass die gesamte Ereigniskette nicht offensichtlich ist.

Im Folgenden finden Sie die drei wichtigsten Schritte bei der Untersuchung von DART-Ransomware:

Schritt	Ziel	Einstiegsfragen
1. Beurteilung der aktuellen Situation	Grundlegendes zum Umfang	Was hat Sie auf einen Ransomware-Angriff aufmerksam gemacht? Wann haben Sie zum ersten Mal von dem Vorfall erfahren? Welche Protokolle sind verfügbar und gibt es Anzeichen dafür, dass der Akteur derzeit auf Systeme zugreift?
2. Identifikation der betroffenen Line-of-Business (LOB) Anwendungen	Systeme wieder online bringen	Ist für die Anwendung eine Identität erforderlich? Sind Backups der Anwendung, der Konfiguration und der Daten verfügbar? Werden der Inhalt und die Integrität der Backups regelmäßig anhand einer Wiederherstellungsübung überprüft?
3. Ermittlung des Verfahrens zur Wiederherstellung von Kompromissen (CR)	Entfernen Sie die Angreiferkontrolle aus der Umgebung	N/V

Schritt 1: Bewerten Sie die aktuelle Situation

Eine Bewertung der aktuellen Situation ist entscheidend, um das Ausmaß des Vorfalls zu verstehen und die besten Mitarbeiter für die Planung und den Umfang der Untersuchungs- und Abhilfemaßnahmen zu bestimmen. Die folgenden ersten Fragen sind entscheidend, um die Situation zu klären.

Wie haben Sie von dem Ransomware-Angriff erfahren?

Wenn Ihre IT-Mitarbeiter die anfängliche Bedrohung erkannt haben, weil sie z. B. das Löschen von Backups, Virenwarnungen, EDR-Warnungen (Endpoint Detection and Response) oder verdächtige Systemänderungen bemerken, ist es oft möglich, schnell entscheidende Maßnahmen zu ergreifen, um den Angriff zu vereiteln, in der Regel durch die Deaktivierung aller ein- und ausgehenden Internetkommunikation. Diese Bedrohung kann den Geschäftsbetrieb vorübergehend beeinträchtigen, aber das wäre in der Regel viel weniger schlimm als ein Angreifer, der Ransomware einsetzt.

Wenn die Bedrohung durch einen Anruf eines Benutzers beim IT-Helpdesk identifiziert wird, kann es genug Vorwarnung geben, um Abwehrmaßnahmen zu ergreifen, um die Auswirkungen des Angriffs zu verhindern oder zu minimieren. Wenn die Bedrohung von einer externen Stelle (z. B. einer Strafverfolgungsbehörde oder einem Finanzinstitut) identifiziert wurde, ist der Schaden wahrscheinlich bereits angerichtet und Sie werden in Ihrer Umgebung Beweise dafür finden, dass der Bedrohungsakteur die administrative Kontrolle über Ihr Netzwerk erlangt hat. Die Beweise dafür können von Ransomware-Notizen über gesperrte Bildschirme bis hin zu Lösegeldforderungen reichen.

Wann (Datum/Zeit) haben Sie zum ersten Mal von dem Vorfall erfahren?

Die Festlegung des Datums und der Uhrzeit der ersten Aktivität ist wichtig, da sie dazu beiträgt, den Umfang der ersten Triage für schnelle Erfolge des Angreifers einzugrenzen. Weitere Fragen könnten sein:

• Welche Aktualisierungen fehlten an diesem Tag? Dies ist wichtig, um zu verstehen, welche Schwachstellen der Angreifer ausgenutzt haben könnte.
• Welche Konten wurden an diesem Tag verwendet?
• Welche neuen Konten wurden seit diesem Datum erstellt?

Welche Protokolle sind verfügbar, und gibt es Anzeichen dafür, dass der Akteur derzeit auf Systeme zugreift?

Protokolle – z. B. von Antivirenprogrammen, EDR und virtuellen privaten Netzwerken (VPN) – sind ein Indikator für eine vermutete Kompromittierung. Zu den Folgefragen können gehören:

• Werden die Protokolle in einer SIEM-Lösung (Security Information und Event Management) – wie Microsoft Sentinel, Splunk, ArcSight und andere – gesammelt und sind sie aktuell? Wie lange werden diese Daten aufbewahrt?
• Besteht der Verdacht, dass ein System kompromittiert wurde und ungewöhnliche Aktivitäten aufweist?
• Gibt es verdächtige kompromittierte Konten, die anscheinend aktiv vom Angreifer genutzt werden?
• Gibt es in EDR-, Firewall-, VPN-, Web-Proxy- und anderen Protokollen Hinweise auf aktive Command and Controls (C2s)?

Um die aktuelle Situation zu beurteilen, benötigen Sie möglicherweise einen Active Directory Domain Services (AD DS)-Domänencontroller, der nicht kompromittiert wurde, ein aktuelles Backup eines Domänencontrollers oder einen Domänencontroller, der vor kurzem wegen Wartungsarbeiten oder Upgrades offline genommen wurde. Stellen Sie außerdem fest, ob die Multifaktor-Authentifizierung (MFA) für alle Mitarbeiter des Unternehmens erforderlich war und ob Microsoft Entra ID verwendet wurde.

Schritt 2: Identifizieren Sie die LOB-Anwendungen, die aufgrund des Vorfalls nicht verfügbar sind

Dieser Schritt ist entscheidend, um herauszufinden, wie Sie die Systeme am schnellsten wieder in Betrieb nehmen und gleichzeitig die erforderlichen Beweise beschaffen können.

Ist für die Anwendung eine Identität erforderlich?

• Wie erfolgt die Authentifizierung?
• Wie werden Berechtigungsnachweise wie Zertifikate oder Sicherheitsdaten gespeichert und verwaltet?

Sind getestete Backups der Anwendung, der Konfiguration und der Daten verfügbar?

• Werden die Inhalte und die Integrität der Backups regelmäßig anhand einer Wiederherstellungsübung überprüft? Diese Überprüfung ist besonders wichtig nach Änderungen im Konfigurationsmanagement oder nach Versions-Upgrades.

Schritt 3: Bestimmen Sie den Prozess zur Wiederherstellung der Kompromisse

Dieser Schritt kann notwendig sein, wenn Sie festgestellt haben, dass die Kontrollebene, bei der es sich in der Regel um AD DS handelt, kompromittiert worden ist.

cIhre Untersuchung sollte immer das Ziel haben, Ergebnisse zu liefern, die direkt in den CR-Prozess einfließen. CR ist der Prozess, der Angreifern die Kontrolle über eine Umgebung entzieht und die Sicherheit innerhalb eines bestimmten Zeitraums taktisch erhöht. CR findet nach einem Sicherheitsverstoß statt. Wenn Sie mehr über CR erfahren möchten, lesen Sie den Blog-Artikel des Microsoft Compromise Recovery Security Practice-Teams CRSP: The emergency team fighting cyber attacks beside customers.

Nachdem Sie die Antworten auf die Fragen in den Schritten 1 und 2 gesammelt haben, können Sie eine Liste von Aufgaben erstellen und die Verantwortlichen zuweisen. Ein Schlüsselfaktor für eine erfolgreiche Reaktion auf einen Vorfall ist die gründliche, detaillierte Dokumentation jedes einzelnen Arbeitsschrittes (z. B. Eigentümer, Status, Ergebnisse, Datum und Uhrzeit), sodass die Zusammenstellung der Ergebnisse am Ende des Einsatzes ein unkomplizierter Prozess ist.

DART-Empfehlungen und Best Practices

Im Folgenden finden Sie die Empfehlungen und bewährten Praktiken von DART für die Eindämmung und die Aktivitäten nach einem Vorfall.

Eindämmung

Die Eindämmung kann erst erfolgen, wenn Sie ermittelt haben, was eingedämmt werden muss. Im Falle von Ransomware besteht das Ziel des Angreifers darin, Anmeldeinformationen zu erhalten, die die administrative Kontrolle über einen hochverfügbaren Server ermöglichen, und dann die Ransomware zu installieren. In einigen Fällen identifiziert der Bedrohungsakteur sensible Daten und exfiltriert sie an einen Ort, den er kontrolliert.

Die taktische Wiederherstellung hängt von der Umgebung, der Branche und dem Grad der IT-Kompetenz und -Erfahrung Ihres Unternehmens ab. Die unten beschriebenen Schritte werden für kurzfristige und taktische Eindämmungsschritte empfohlen, die Ihre Organisation ausführen kann. Weitere Informationen über langfristige Anleitungen finden Sie unter Sicherung des privilegierten Zugriffs. Einen umfassenden Überblick über Ransomware und Erpressung sowie darüber, wie Sie Ihr Unternehmen vorbereiten und schützen können, finden Sie unter Ransomware, die von Menschen gesteuert wird.

Die folgenden Schritte zur Eindämmung können gleichzeitig durchgeführt werden, wenn neue Bedrohungsvektoren entdeckt werden.

Schritt 1: Beurteilen Sie den Umfang der Situation

• Welche Benutzerkonten wurden kompromittiert?
• Welche Geräte sind betroffen?
• Welche Anwendungen sind betroffen?

Schritt 2: Erhalten Sie bestehende Systeme

• Deaktivieren Sie alle privilegierten Benutzerkonten mit Ausnahme einer kleinen Anzahl von Konten, die von Ihren Administratoren verwendet werden, um die Integrität Ihrer AD DS-Infrastruktur wiederherzustellen. Wenn Sie glauben, dass ein Benutzerkonto kompromittiert ist, deaktivieren Sie es sofort.
• Isolieren Sie kompromittierte Systeme vom Netzwerk, aber schalten Sie sie nicht ab.
• Isolieren Sie mindestens einen bekannt guten Domänencontroller in jeder Domäne – noch besser wären zwei. Trennen Sie sie entweder vom Netzwerk oder schalten Sie sie ganz ab. Ziel ist es, die Ausbreitung von Ransomware auf kritische Systeme zu stoppen – wobei die Identität zu den am meisten gefährdeten gehört. Wenn alle Ihre Domänencontroller virtuell sind, stellen Sie sicher, dass die System- und Datenlaufwerke der Virtualisierungsplattform auf externen Offline-Medien gesichert werden, die nicht mit dem Netzwerk verbunden sind, für den Fall, dass die Virtualisierungsplattform selbst gefährdet ist.
• Isolieren Sie kritische, als gut bekannte Anwendungsserver, z. B. SAP, Konfigurationsmanagement-Datenbank (CMDB), Abrechnungs- und Buchhaltungssysteme.

Diese beiden Schritte können gleichzeitig durchgeführt werden, wenn neue Bedrohungsvektoren entdeckt werden. Deaktivieren Sie diese Bedrohungsvektoren und versuchen Sie dann, ein bekannt gutes System zu finden, das Sie vom Netzwerk isolieren können.

Weitere taktische Eindämmungsmaßnahmen können sein:

• Setzen Sie das krbtgt-Passwort zurück, und zwar zweimal in schneller Folge. Erwägen Sie die Verwendung eines skriptgesteuerten, wiederholbaren Prozesses. Mit diesem Skript können Sie das Kennwort des krbtgt-Kontos und die zugehörigen Schlüssel zurücksetzen und gleichzeitig die Wahrscheinlichkeit von Problemen bei der Kerberos-Authentifizierung minimieren, die durch diesen Vorgang verursacht werden. Um mögliche Probleme zu minimieren, kann die Lebensdauer von krbtgt vor dem ersten Zurücksetzen des Kennworts ein oder mehrere Male reduziert werden, so dass die beiden Rücksetzungen schnell durchgeführt werden. Beachten Sie, dass alle Domänencontroller, die Sie in Ihrer Umgebung behalten möchten, online sein müssen.

• Verteilen Sie eine Gruppenrichtlinie auf die gesamte(n) Domäne(n), die eine privilegierte Anmeldung (Domänenadministratoren) nur auf Domänencontrollern und privilegierten, administrativen Workstations (falls vorhanden) verhindert.

• Installieren Sie alle fehlenden Sicherheitsupdates für Betriebssysteme und Anwendungen. Jedes fehlende Update ist ein potenzieller Bedrohungsvektor, den Angreifer schnell erkennen und ausnutzen können. Die Bedrohungs- und Sicherheitsverwaltung von Microsoft Defender für Endpoint bietet eine einfache Möglichkeit, genau zu sehen, was fehlt – und welche Auswirkungen die fehlenden Updates haben könnten.

  • Bei Geräten mit Windows 10 (oder höher) stellen Sie sicher, dass die aktuelle Version (oder n-1) auf jedem Gerät ausgeführt wird.

  • Setzen Sie Regeln zur Reduzierung der Angriffsfläche (ASR) ein, um die Infektion mit Malware zu verhindern.

  • Aktivieren Sie alle Windows 10 Sicherheitsfunktionen.

• Stellen Sie sicher, dass jede nach außen gerichtete Anwendung, einschließlich des VPN-Zugangs, durch eine mehrstufige Authentifizierung geschützt ist, vorzugsweise mit einer Authentifizierungsanwendung, die auf einem gesicherten Gerät ausgeführt wird.

• Führen Sie bei Geräten, die Defender for Endpoint nicht als primäre Antiviren-Software verwenden, einen vollständigen Scan mit Microsoft Safety Scanner auf isolierten, als sicher bekannten Systemen durch, bevor Sie sie wieder mit dem Netzwerk verbinden.

• Aktualisieren Sie bei älteren Betriebssystemen auf ein unterstütztes Betriebssystem oder stellen Sie diese Geräte außer Betrieb. Wenn diese Optionen nicht zur Verfügung stehen, ergreifen Sie alle möglichen Maßnahmen, um diese Geräte zu isolieren, einschließlich Netzwerk-/VLAN-Isolierung, Internetprotokollsicherheitsregeln (IPsec) und Anmeldebeschränkungen, so dass nur die Benutzer/Geräte auf die Anwendungen zugreifen können, die für die Geschäftskontinuität sorgen.

Die risikoreichsten Konfigurationen bestehen darin, dass unternehmenskritische Systeme auf Legacy-Betriebssystemen, die so alt sind wie Windows NT 4.0, und Anwendungen auf Legacy-Hardware laufen. Nicht nur, dass diese Betriebssysteme und Anwendungen unsicher und anfällig sind, wenn die Hardware ausfällt, können Backups in der Regel auch nicht auf moderner Hardware wiederhergestellt werden. Wenn kein Ersatz für die alte Hardware verfügbar ist, werden diese Anwendungen nicht mehr funktionieren. Ziehen Sie unbedingt in Erwägung, diese Anwendungen so zu konvertieren, dass sie auf aktuellen Betriebssystemen und Hardware laufen.

Aktivitäten nach einem Vorfall

DART empfiehlt, die folgenden Sicherheitsempfehlungen und bewährten Praktiken nach jedem Vorfall umzusetzen.

• Stellen Sie sicher, dass für E-Mail- und Collaboration-Lösungen Best Practices gelten, die es Angreifern erschweren, sie zu missbrauchen, und gleichzeitig internen Benutzern den einfachen und sicheren Zugriff auf externe Inhalte ermöglichen.

• Befolgen Sie bewährte Methoden zur Zero Trust-Sicherheit für Remotezugriffslösungen für interne Organisationsressourcen.

• Beginnen Sie bei Administratoren mit kritischen Auswirkungen und befolgen Sie die besten Praktiken für die Kontosicherheit, einschließlich der Verwendung von passwortloser Authentifizierung oder MFA.

• Implementieren Sie eine umfassende Strategie, um das Risiko einer Kompromittierung des privilegierten Zugangs zu verringern.

  • Verwenden Sie für den administrativen Zugriff auf die Cloud und den Forest/Domain das Privileged Access Model (PAM) von Microsoft.

  • Verwenden Sie für die administrative Verwaltung von Endgeräten die Lösung für lokale administrative Kennwörter (LAPS).

• Implementieren Sie eine Datensicherung, um Ransomware-Techniken zu blockieren und eine schnelle und zuverlässige Wiederherstellung nach einem Angriff zu gewährleisten.

• Überprüfen Sie Ihre kritischen Systeme. Prüfen Sie den Schutz und die Backups gegen absichtliches Löschen oder Verschlüsseln durch Angreifer. Es ist wichtig, dass Sie diese Backups regelmäßig testen und validieren.

• Stellen Sie sicher, dass gängige Angriffe auf Endgeräte, E-Mail und Identität schnell erkannt und behoben werden.

• Entdecken Sie aktiv die Sicherheitslage Ihrer Umgebung und verbessern Sie diese kontinuierlich.

• Aktualisieren Sie die organisatorischen Abläufe zur Bewältigung größerer Ransomware-Ereignisse und optimieren Sie das Outsourcing, um Reibungsverluste zu vermeiden.

PAM

Die Verwendung von PAM (früher als mehrstufiges Verwaltungsmodell bekannt) verbessert den Sicherheitsstatus von Microsoft Entra ID. Dies umfasst Folgendes:

• Aufteilung der administrativen Konten in einer „geplanten“ Umgebung – ein Konto für jede Ebene, normalerweise vier:

• Control Plane (früher Tier 0): Verwaltung von Domänencontrollern und anderen wichtigen Identitätsdiensten, wie z.B. Active Directory Federation Services (ADFS) oder Microsoft Entra Connect. Dazu gehören auch Serveranwendungen, die administrative Berechtigungen für AD DS benötigen, wie z. B. Exchange Server.

• Die nächsten beiden Ebenen waren früher Tier 1:

  • Management-Ebene: Vermögensverwaltung, Überwachung und Sicherheit.

  • Daten-/Workload-Ebene: Anwendungen und Anwendungsserver.

• Die nächsten beiden Ebenen waren früher Tier 2:

  • Benutzerzugriff: Zugriffsrechte für Benutzer (z. B. Konten).

  • App-Zugang: Zugriffsrechte für Anwendungen.

• Jede dieser Ebenen verfügt über einen separaten Verwaltungsarbeitsplatz für jede Ebene und hat nur Zugriff auf die Systeme in dieser Ebene. Anderen Konten aus anderen Ebenen wird der Zugriff auf Workstations und Server in den anderen Ebenen durch die Zuweisung von Benutzerrechten für diese Rechner verweigert.

Das Nettoergebnis des PAM ist, dass:

• Ein kompromittiertes Benutzerkonto hat nur Zugriff auf die Ebene, zu der es gehört.

• Sensiblere Benutzerkonten werden sich nicht bei Workstations und Servern mit einer niedrigeren Sicherheitsstufe anmelden, was die Seitwärtsbewegungen reduziert.

LAPS

Standardmäßig verfügen Microsoft Windows und AD DS über keine zentrale Verwaltung lokaler Administratorkonten auf Workstations und Mitgliedsservern. Dies kann dazu führen, dass für alle diese lokalen Konten oder zumindest für Gruppen von Rechnern ein gemeinsames Passwort vergeben wird. Diese Situation ermöglicht es Angreifern, ein lokales Administratorkonto kompromittieren und dann über dieses Konto Zugang zu anderen Workstations oder Servern im Unternehmen erhalten.

Microsofts LAPS entschärft dies, indem es eine Gruppenrichtlinienerweiterung auf Client-Seite verwendet, die das lokale administrative Kennwort in regelmäßigen Abständen auf Workstations und Servern gemäß der festgelegten Richtlinie ändert. Jedes dieser Passwörter ist anders und wird als Attribut im AD DS-Computerobjekt gespeichert. Dieses Attribut kann von einer einfachen Client-Anwendung abgerufen werden, abhängig von den Berechtigungen, die diesem Attribut zugewiesen sind.

Für LAPS muss das AD DS-Schema erweitert werden, um das zusätzliche Attribut zu ermöglichen, die LAPS-Gruppenrichtlinienvorlagen müssen installiert werden und eine kleine clientseitige Erweiterung muss auf jeder Arbeitsstation und jedem Mitgliedsserver installiert werden, um die clientseitige Funktionalität bereitzustellen.

Sie können LAPS aus dem Microsoft Download Center herunterladen.

Zusätzliche Ressourcen zu Ransomware

Wichtige Informationen von Microsoft:

• Die wachsende Bedrohung durch Ransomware, Blogbeitrag auf Microsoft On the Issues vom 20. Juli 2021
• Von Menschen platzierte Ransomware
• Schneller Schutz vor Ransomware und Erpressung
• Microsoft Digital Defense Bericht 2021 (siehe Seiten 10 bis 19)
• Bericht zur Bedrohungsanalyse Ransomware: Eine weit verbreitete und fortlaufende Bedrohung im Microsoft Defender-Portal
• Fallstudie: Microsoft DART Ransomware

Microsoft 365:

• Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
• Schutz vor Schadsoftware und Ransomware in Microsoft 365
• Schützen Ihres Windows 10-PCs vor Ransomware
• Behandeln von Ransomware in SharePoint Online
• Analyseberichte zur Bedrohung durch Ransomware im Microsoft Defender-Portal

Microsoft Defender XDR:

• Suchen nach Ransomware mit erweitertem Hunting

Microsoft Azure:

• Azure-Schutzmaßnahmen für Ransomware-Angriffe
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
• Wiederherstellen nach kompromittierter Systemidentität
• Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
• Fusion-Erkennung für Ransomware in Microsoft Sentinel

Microsoft Defender for Cloud-Apps:

• Erstellen Sie Richtlinien zur Anomalieerkennung in Defender for Cloud-Apps

Blogbeiträge des Microsoft-Sicherheitsteams:

• Drei Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021)

• Ein Leitfaden zur Bekämpfung von Ransomware, die von Menschen ausgeführt wird: Teil 1 (September 2021)

  Wichtige Schritte zur Untersuchung von Ransomware-Vorfällen durch Microsofts DART.

• Ein Leitfaden zur Bekämpfung von Ransomware, die von Menschen ausgeführt wird: Teil 2 (September 2021)

  Empfehlungen und bewährte Methoden.

• Durch das Verständnis von Cybersicherheitsrisiken widerstandsfähig werden: Teil 4 – Bewältigung aktueller Bedrohungen (Mai 2021)

  Weitere Informationen finden Sie im Abschnitt Ransomware.

• Von Menschen durchgeführte Ransomware-Angriffe: Ein vermeidbarer Notfall (März 2020)

  Enthält Analysen der Angriffskette für tatsächliche Angriffe.

• Reaktion auf Ransomware – zahlen oder nicht zahlen? (Dezember 2019)

• Transparente Reaktion auf Ransomware-Angriffe von Norsk Soll (Dezember 2019)