Definition
Der Active-Directory Penetrationstest beschäftigt sich mit dem weit verbreiteten Verzeichnisdienst der Firma Microsoft:
- Microsoft Active Directory "on premise" und/oder
- Microsoft Entra ID (ehemals Microsoft Azure AD)
Der Verzeichnisdienst stellt eine essenzielle Komponente jeder IT-Umgebung dar und bietet sich deswegen Angreifern als lukratives Ziel an.
Bei einem AD-Penetrationstest überprüft ein Pentester die Active-Directory Implementierung auf eine sichere Konfiguration, identifiziert inaktive Benutzerkonten und Gruppen, untersucht Richtlinien auf Fehlkonfigurationen, verifiziert Berechtigungen auf Konformität und deckt Systeme mit veralteten Betriebssystemen auf.
Als Grundlage setzt der AD-Penetrationstest auf den von Microsoft veröffentlichten „best-practice“ zur Sicherung von Active-Directory Umgebungen und die weltweit bekannten Benchmarks des "Center for Internert Security (CIS)" für Microsoft.
Voraussetzungen
Damit ein Penetrationstest reibungslos und erfolgreich durchgeführt werden kann, müssen einige organisatorische und technische Vorbereitungen getroffen werden.
Prüfobjekt
Durch die Einführung des Hacker-Paragraphs (§202c StGB) ist ein „Ethical-Hacker“ dazu verpflichtet im Vorhinein mit dem Auftraggeber das Prüfobjekt festzulegen.
Prüftiefe
Penetrationstests können unterschiedlich und je nach Situation mehr oder weniger invasiv gestaltet werden. DriveByte bietet drei vom BSI definierte Prüftiefen für Penetrationstests an.
Prüfort
Für einzelne Prüfobjekte oder für das Projekt allgemein, muss der Prüfort festgelegt werden. In den meisten Fällen ist es bei Penetrationstests durch Einsatz eines „Jump-Host“ möglich, alle Prüfobjekte über das Internet zu überprüfen, somit ist die physische Präsenz eines Pentesters nicht notwendig.
Prüfbedingungen
Verschiedene Prüfbedingungen können für alle oder einzelne Prüfobjekte festgelegt werden. Die Prüfbedingungen können vom Kunden definiert und verbindlich in der Vorlage festgehalten werden.
Prüfzeitraum
Für eine effiziente Ausführung eines Penetrationstests wird ein geregelter und vorher definierter Prüfzeitraum vorausgesetzt. Der Kunde setzt je nach Wunsch, aber auch nach Verfügbarkeit des Dienstleisters, den Prüfzeitraum verbindlich in der Vorlage fest.
Verantwortlichkeiten
Für einen erfolgreichen Penetrationstest müssen Seitens Auftraggeber und Auftragnehmer verantwortliche für das durchzuführende Projekt festgelegt werden. Auf Seite des Auftraggebers müssen ein Projektleiter und ein technischer Ansprechpartner festgelegt werden.
Ablauf
DriveByte erkennt den Penetration Testing Execution Standard PTES als Referenzrahmen für die Durchführung von Penetrationstests an. Der PTES besteht aus sieben Hauptabschnitten:
startVorbereitungsphase
searchSammeln von Erkenntnissen
crisis_alertBedrohungsmodellierung
bug_reportSchwachstellenanalyse
dangerousAusnutzung
dynamic_feedSteuerung und Kontrolle
summarizeBerichterstattung
Dokumentation
Die gefundenen Schwachstellen werden nach Kritikalität und betroffenen Teilprüfobjekte gruppiert und ausführlich dokumentiert. Für die Bewertung der gefundenen Schwachstellen verwendet DriveByte das weit verbreitete Common Vulnerability Scoring System Version CVSS 4.0.
descriptionBeschreibung Prüfobjekt
listAufzählung Prüfbedingungen
shortcutC-Level Zusammenfassung
startBeschreibung Vorgehensweise
terminalAufzählung Schwachstellen
flagHandlungsempfehlungen
Wissen Sie, wie es um die Sicherheit Ihres Active-Directory steht?
Sicherheitslücken in Ihrem Active-Directory identifizieren und teure Folgen vermeiden. Jetzt kostenlos einen Beratungstermin vereinbaren.
Häufig gestellte Frage
Wir beantworten Ihnen die wichtigsten Fragen im Voraus, damit Sie bestens informiert sind.
Was kostet ein Active Directory Penetrationstest?
Was sind Black, White und Grey Box Penetrationstests?
Wie lange dauert ein Active Directory Penetrationstest?
Wird ein Penetrationstest den Geschäftsbetrieb beeinträchtigen?
Was sind die Voraussetzungen für einen Penetrationstest?
Was geschieht, wenn eine Sicherheitslücke gefunden wird?
Gibt es im Anschluss an den Test einen Abschlussbericht?
Gibt es im Anschluss an den Test einen Abschlussbericht?