Teilen über


Wiederherstellen nach kompromittierter Systemidentität

In diesem Artikel werden die Microsoft-Ressourcen und -Empfehlungen für die Wiederherstellung nach einem systemischen Angriff auf eine Kompromittierung der Identität auf Ihr Unternehmen beschrieben, der bei einem Ransomware-Angriff auftreten kann.

Der Inhalt dieses Artikels basiert auf den bereitgestellten Anleitungen des Microsoft Incident Response-Teams (ehemals DART/CRSP), das auf die Kompromittierungen reagiert und Kunden dabei hilft, cyberresilient zu werden. Weitere Anleitungen des Microsoft Incident Response-Teams finden Sie in der Microsoft-Sicherheitsblogreihe.

Viele Unternehmen sind zu einem cloudbasierten Ansatz übergewechselt, um die Sicherheit ihrer Identitäts- und Zugriffsverwaltung zu erhöhen. Ihr Unternehmen kann jedoch auch über lokale Systeme verfügen und unterschiedliche Methoden der Hybridarchitektur verwenden. In diesem Artikel wird bestätigt, dass sich systemische Identitätsangriffe auf die Cloud-, die lokalen und die Hybridsysteme auswirken, und bietet Empfehlungen und Referenzen für alle diese Umgebungen.

Wichtig

Diese Informationen werden in der vorliegenden Form zur Verfügung gestellt und gelten als allgemeine Anleitung. Für die endgültige Festlegung darüber, wie diese Anleitung auf Ihre IT-Umgebung und Ihre Mandanten anzuwenden ist, muss Ihre individuelle Umgebung und Ihre Bedürfnisse berücksichtigt werden, die jeder Kunde am besten für sich beurteilen kann.

Informationen zu kompromittierten Systemidentitäten

Ein systemischer Angriff auf ein Unternehmen, bei dem eine Identität kompromittiert wird, tritt auf, wenn ein Angreifer erfolgreich Fuß in die Verwaltung der Identitätsinfrastruktur eines Unternehmens gewinnen kann.

Wenn das in Ihrem Unternehmen passiert ist, befinden Sie sich in einem Wettlauf gegen den Angreifer, um Ihre Umgebung zu schützen, bevor weitere Schäden an ihr verursacht werden können.

  • Angreifer mit administrativer Kontrolle über die Identitätsinfrastruktur einer Umgebung können dieses Kontrolle verwenden, um Identitäten und Identitätsberechtigungen in dieser Umgebung zu erstellen, zu ändern oder zu löschen.

    Wenn bei einer lokalen Kompromittierung vertrauenswürdige SAML-Token-Signaturzertifikate nicht in einem HSM gespeichert sind, umfasst der Angriff den Zugriff auf dieses vertrauenswürdige SAML-Token-Signaturzertifikat.

  • Angreifer können dann das Zertifikat verwenden, um SAML-Token zu fälschen, um die Identität aller vorhandenen Benutzer und Konten des Unternehmens ohne Zugriff auf Kontoanmeldeinformationen zu benötigen und ohne Spuren zu hinterlassen, zu anzunehmen.

  • Der Zugriff auf Konten mit stark privilegierten Berechtigungen kann auch verwendet werden, um den vorhandenen Anwendungen Anmeldeinformationen hinzuzufügen, die von Angreifern gesteuert werden, sodass sie unerkannt auf Ihr System zugreifen können, z. B. zum Aufrufen von APIs, indem sie diese Berechtigungen verwenden.

Auf den Angriff reagieren

Das Reagieren auf systemische Identitätskompromittierungen sollte die Schritte umfassen, die in der folgenden Abbildung und Tabelle gezeigt werden:

Schritte für die Wiederherstellung nach einer Identitätskompromittierung.

Schritt BESCHREIBUNG
Einrichten von sicheren Kommunikationsleitungen Ein Unternehmen, das eine systemische Identitätskompromittierung erfahren hat, muss davon ausgehen, dass die gesamte Kommunikation betroffen ist. Bevor Sie eine Wiederherstellungsaktion ergreifen, müssen Sie sicherstellen, dass die Mitglieder Ihres Teams, die für Ihren Untersuchungs- und Reaktionsaufwand entscheidend sind, sicher kommunizieren können.

Das Schützen der Kommunikation muss Ihr allererster Schritt sein, damit Sie ohne das Wissen des Angreifers fortfahren können.
Untersuchen Ihrer Umgebung Nachdem Sie die Kommunikation in Ihrem Kernuntersuchungsteam gesichert haben, können Sie nach anfänglichen Zugriffspunkten und Persistenz-Techniken suchen. Identifizieren Sie Ihre Anhaltpunkte der Kompromittierung und suchen Sie dann nach anfänglichen Zugriffspunkten und Persistenz. Beginnen während Ihrer Wiederherstellungsbemühungen gleichzeitig damit, kontinuierliche Überwachungsvorgänge einzurichten.
Verbessern des Sicherheitsstatus Aktivieren Sie die Sicherheitsfunktionen und -fähigkeiten gemäß den Empfehlungen der bewährten Methode für eine verbesserte Systemsicherheit in der Zukunft.

Stellen Sie sicher, dass Sie Ihren Aufwand für kontinuierliche Überwachung im Laufe der Zeit fortsetzen und sich die Sicherheitslandschaft ändert.
Kontrolle wiedererlangen/beibehalten Sie müssen die administrative Kontrolle über Ihre Umgebung vor dem Angreifer wiedererlangen. Nachdem Sie die Kontrolle wiedererlangt haben und den Sicherheitsstatus Ihres Systems aktualisiert haben, stellen Sie sicher, dass Sie alle möglichen Persistenz-Techniken und neuen Exploits für den anfänglichen Zugriff korrigieren oder blockieren.

Einrichten von sicheren Kommunikationsleitungen

Bevor Sie reagieren, müssen Sie gewährleisten, dass Sie sicher kommunizieren können, ohne dass der Angreifer Sie abhört. Stellen Sie sicher, dass Sie alle Kommunikationen im Zusammenhang mit dem Vorfall isolieren, damit der Angreifer nicht von Ihren Ermittlungen erfährt und von Ihren Reaktionsmaßnahmen überrascht wird.

Zum Beispiel:

  1. Für die erste 1:1 – und Gruppenkommunikation können Sie PSTN-Anrufe, Konferenz-Brücken, die nicht mit der Unternehmensinfrastruktur verbunden sind, und End-to-End-verschlüsselte Messaginglösungen verwenden.

    Kommunikation außerhalb dieser Frameworks sollte als kompromittiert und nicht vertrauenswürdig behandelt werden, es sei denn, sie wird über einen sicheren Kanal überprüft.

  2. Nach diesen ersten Konversationen sollten Sie einen völlig neuen Microsoft 365-Mandanten erstellen, und zwar isoliert vom Produktions-Mandanten Ihres Unternehmens. Erstellen Sie Konten nur für Mitarbeiter in Schlüsselpositionen, die an der Reaktion beteiligt sein müssen.

Wenn Sie einen neuen Microsoft 365-Mandanten erstellen, achten Sie darauf, alle bewährten Methoden für den Mandanten zu befolgen, insbesondere für Administratorkonten und Rechte. Beschränken Sie Administratorrechte ohne Vertrauensstellungen für externe Anwendungen oder Anbieter.

Wichtig

Stellen Sie sicher, dass Sie nicht über Ihren neuen Mandanten in Ihren vorhandenen und möglicherweise kompromittierten E-Mail-Konten kommunizieren.

Weitere Informationen finden Sie unter Bewährte Methoden für die sichere Verwendung von Microsoft 365.

Identifizieren von Anzeichen für eine Kompromittierung

Es wird empfohlen, dass die Kunden die Aktualisierungen von Systemanbietern befolgen, einschließlich von Microsoft und allen Partnern. Außerdem wird das Implementieren neuer bereitgestellter Erkennungen und Schutzmaßnahmen und die Identifizierung veröffentlichter Vorfälle der Kompromittierung (IOCs) empfohlen.

Suchen Sie nach Aktualisierungen in den folgenden Microsoft-Sicherheitsprodukten, und implementieren Sie alle empfohlenen Änderungen:

Die Implementierung neuer Aktualisierungen hilft dabei, alle vorherigen Kampagnen zu identifizieren und zukünftige Kampagnen gegen Ihr System zu verhindern. Beachten Sie, dass Listen mit IOCs möglicherweise nicht vollständig sind und sich mit der Fortsetzung der Untersuchungen erweitern.

Daher wird empfohlen, auch die folgenden Aktionen durchzuführen:

Weitere Informationen finden Sie in der Sicherheitsdokumentation von Microsoft:

Untersuchen Ihrer Umgebung

Sobald Ihr Vorfall-Antwortdienst und Ihre Schlüsselmitarbeiter einen sicheren Ort für die Zusammenarbeit haben, können Sie mit der Untersuchung der kompromittierten Umgebung beginnen.

Sie müssen ein Gleichgewicht zwischen jedem anomalen Verhalten auf den Grund gehen und schnellen Maßnahmen ergreifen finden, um weitere Aktivitäten des Angreifers zu beenden. Jede erfolgreiche Bereinigung erfordert ein Verstehen der anfänglichen Methode der Eingabe- und Persistenz-Methoden, die der Angreifer verwendet hat, so vollständig wie möglich zu diesem Zeitpunkt. Alle Persistenz-Methoden, die während der Untersuchung übersehen werden, können zu einem fortgesetzten Zugriff durch den Angreifer und einer potenziellen erneuten Kompromittierung führen.

An diesem Punkt sollten Sie eine Risikoanalyse durchführen, um Ihre Aktionen zu priorisieren. Weitere Informationen finden Sie unter:

Die Sicherheitsdienste von Microsoft stellen umfangreiche Ressourcen für detaillierte Untersuchungen zur Verfügung. In den folgenden Abschnitten werden die wichtigsten empfohlenen Aktionen beschrieben.

Hinweis

Wenn Sie feststellen, dass eine oder mehrere der aufgelisteten Protokollierungsquellen derzeit nicht Teil Ihres Sicherheitsprogramms sind, empfehlen wir Ihnen, sie so bald wie möglich zu konfigurieren, um Erkennungen und zukünftige Protokollüberprüfungen zu aktivieren.

Stellen Sie sicher, dass Sie Ihre Protokollaufbewahrung so konfigurieren, dass die Untersuchungsziele Ihrer Organisation in Zukunft unterstützt werden. Bewahren Sie den Beweis nach Bedarf für rechtliche, behördliche oder versicherungstechnische Zwecke auf.

Untersuchen und Überprüfen Sie Ihre Cloudumgebungsprotokolle

Untersuchen und überprüfen Sie Ihre Cloudumgebungsprotokolle auf verdächtige Aktionen und Anzeichen einer Kompromittierung durch Angreifer. Überprüfen Sie beispielsweise die folgenden Protokolle:

Überprüfen von Endpunktüberwachungsprotokollen

Überprüfen Sie Ihre Endpunktüberwachungsprotokolle auf lokale Änderungen, z. B. auf die folgenden Arten von Aktionen:

  • Änderungen an der Gruppenmitgliedschaft
  • Erstellung von neuen Benutzerkonten
  • Delegationen innerhalb von Active Directory

Berücksichtigen Sie insbesondere alle diese Änderungen, die zusammen mit anderen typischen Anzeichen einer Kompromittierung oder Aktivität auftreten.

Überprüfen Sie die Administratorrechte in Ihren Umgebungen

Überprüfen Sie die Administratorrechte sowohl in Ihrer Cloudumgebung als auch in ihrer lokalen Umgebung. Zum Beispiel:

Environment BESCHREIBUNG
Alle Cloudumgebungen – Überprüfen Sie alle privilegierten Zugriffsrechte in der Cloud und entfernen Sie alle unnötigen Berechtigungen
– Implementieren Sie Azure AD Privileged Identity Management (PIM)
– Richten Sie Richtlinien für bedingten Zugriff, um den Administratorzugriff während der Härtung zu beschränken, ein
Alle lokalen Umgebungen – Überprüfen Sie den lokalen privilegierten Zugriff und entfernen Sie unnötige Berechtigungen
– Reduzieren Sie die Mitgliedschaft in den integrierten Gruppen
– Überprüfen Sie die Active Directory-Delegationen
– Härten Sie Ihre Ebene 0-Umgebung und beschränken Sie, wer Zugriff auf die Objekte der Ebene-0 hat
Alle Unternehmensanwendungen Überprüfen Sie, ob delegierte Berechtigungen und Zustimmungsberechtigungen erteilt wurden, die eine der folgenden Aktionen zulassen:

– Ändern von privilegierten Benutzern und Rollen
– Lesen oder Zugreifen auf alle Postfächer
– Senden oder Weiterleiten von E-Mails im Namen anderer Benutzer
– Zugreifen auf alle OneDrive oder SharePoint Websiteinhalte
– Hinzufügen von Dienstprinzipals, die Lese-/Schreibzugriff auf das Verzeichnis haben
Microsoft 365-Umgebungen Überprüfen Sie die Zugriffs- und Konfigurationseinstellungen für Ihre Microsoft 365 Umgebung, einschließlich:
– SharePoint Online-Freigaben
– Microsoft Teams
– Power Apps
– Microsoft OneDrive for Business
Überprüfen von Benutzerkonten in Ihren Umgebungen – Überprüfen und entfernen Sie Gastbenutzerkonten, die nicht mehr benötigt werden.
– Überprüfen Sie die E-Mail-Konfigurationen für Delegaten, Postfachordnerberechtigungen, Registrierungen mobiler ActiveSync-Geräte, Posteingangsregeln und Outlook Weboptionen.
– Überprüfen Sie die ApplicationImpersonation-Rechte, und reduzieren Sie die Verwendung der Legacyauthentifizierung so weit wie möglich.
– Überprüfen Sie, ob MFA erzwungen wird und ob die Kontaktinformationen für MFA und Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) für alle Benutzer korrekt sind.

Einrichten der kontinuierlichen Überwachung

Die Erkennung des Angreiferverhaltens umfasst mehrere Methoden und hängt von den Sicherheitstools ab, die Ihrem Unternehmen für die Reaktion auf den Angriff zur Verfügung stehen.

Beispielsweise können Microsoft-Sicherheitsdienste über bestimmte Ressourcen und Anleitungen verfügen, die für den Angriff relevant sind. Die sind in den folgenden Abschnitten beschrieben.

Wichtig

Wenn Ihre Untersuchung Beweise für Administratorberechtigungen findet, die durch die Kompromittierung auf Ihrem System erworben wurden, die Zugriff auf das globale Administratorkonto und/oder das vertrauenswürdige SAML-Token-Signaturzertifikat Ihres Unternehmens gewährt haben, empfehlen wir Ihnen, Maßnahmen zu ergreifen, um die administrative Kontrolle zu wiederherzustellen und zu behalten.

Überwachen mit Microsoft Sentinel

Microsoft Sentinel verfügt über viele integrierte Ressourcen, die Sie bei Ihrer Untersuchung unterstützen. Diese beinhalten z. B. Hunting-Arbeitsmappen und Analyseregeln, die dabei helfen können, die Angriffe in relevanten Bereichen Ihrer Umgebung zu erkennen.

Verwenden Sie den Inhaltshub von Microsoft Sentinel, um erweiterte Sicherheitslösungen und Datenconnectors zu installieren, die Inhalte von anderen Diensten in Ihrer Umgebung streamen. Weitere Informationen finden Sie unter:

Überwachung mit Microsoft Defender for IoT

Wenn Ihre Umgebung auch OT-Ressourcen (operative Technologie) enthält, verfügen Sie möglicherweise über Geräte, die spezielle Protokolle verwenden, die betriebliche Herausforderungen gegenüber der Sicherheit priorisieren.

Stellen Sie Microsoft Defender for IoT bereit, um diese Geräte zu überwachen und zu schützen, insbesondere solche, die nicht durch herkömmliche Sicherheitsüberwachungssysteme geschützt sind. Installieren Sie Defender for IoT-Netzwerksensoren an bestimmten Points of Interest in Ihrer Umgebung, um Bedrohungen in laufenden Netzwerkaktivitäten mit Überwachung ohne Agent und dynamischer Threat Intelligence zu erkennen.

Weitere Informationen finden Sie unter Schnellstart: Erste Schritte mit der Sicherheitsüberwachung von OT-Netzwerken.

Überwachung mit Microsoft Defender XDR

Es wird empfohlen, Microsoft Defender XDR for Endpoint und Microsoft Defender Antivirus auf spezifische Anleitungen zu Überprüfen, die für Ihren Angriff relevant sind.

Weitere Beispiele für Erkennungen, Suchabfragen und Bedrohungsanalyseberichte finden Sie im Microsoft Security Center, z. B. in Microsoft Defender XDR, Microsoft Defender XDR for Identity und Microsoft Defender for Cloud-Apps. Um die Abdeckung zu gewährleisten, stellen Sie sicher, dass Sie den Microsoft Defender for Identity-Agent zusätzlich zu allen Domänencontrollern auf ADFS-Servern installieren.

Weitere Informationen finden Sie unter:

Überwachung mit Microsoft Entra ID

Die Anmeldeprotokolle von Microsoft Entra können zeigen, ob die Multi-Faktor-Authentifizierung korrekt verwendet wird. Greifen Sie direkt über den Microsoft Entra-Bereich im Azure-Portal auf die Anmeldeprotokolle zu, verwenden Sie das Cmdlet Get-MgBetaAuditLogSignIn oder zeigen Sie diese im Bereich Logs von Microsoft Sentinel an.

Suchen oder filtern Sie zum Beispiel die Ergebnisse, wenn das Feld MFA-Ergebnis den Wert von der MFA-Anforderung durch Anspruch im Token erfüllt. Wenn Ihr Unternehmen AD FS verwendet und die protokollierten Ansprüche nicht in der ADFS-Konfiguration enthalten sind, können diese Ansprüche auf Angreiferaktivitäten hinweisen.

Suchen oder filtern Sie Ihre Ergebnisse weiter, um zusätzliches Fehler auszuschließen. Sie können z. B. nur Ergebnisse aus den Verbunddomänen einbeziehen. Wenn Sie verdächtige Anmeldungen finden, führen Sie basierend auf IP-Adressen, Benutzerkonten und so weiter einen Drilldown aus.

In der folgenden Tabelle werden weitere Methoden für die Verwendung von Microsoft Entra-Protokollen in Ihrer Untersuchung beschrieben:

Methode BESCHREIBUNG
Analysieren von riskanten Anmeldeereignisse Microsoft Entra ID und seine Identitätsschutzplattform können Risikoereignisse im Zusammenhang mit der Verwendung von SAML-Tokens erzeugen, die von Angreifern erzeugt wurden.

Diese Ereignisse könnten als unbekannte Eigenschaften, anonyme IP-Adresse, unmöglicher Ortswechsel und so weiter, bezeichnet werden.

Es wird empfohlen, alle Risikoereignisse im Zusammenhang mit den Konten mit Administratorrechten genau zu analysieren, einschließlich aller Konten, die möglicherweise automatisch verworfen oder bereinigt wurden. Beispielsweise kann ein Risikoereignis oder eine anonyme IP-Adresse automatisch bereinigt werden, da der Benutzer die MFA bestanden hat.

Stellen Sie sicher, dass Sie ADFS Connect Health verwenden, damit alle Authentifizierungsereignisse in Microsoft Entra ID sichtbar sind.
Erkennen von Eigenschaften der Domänenauthentifizierung Jeder Versuch des Angreifers, die Authentifizierungsrichtlinien der Domäne zu manipulieren, wird in den Microsoft Entra Audit-Protokollen aufgezeichnet und im Unified Audit-Protokoll angezeigt.

Überprüfen Sie beispielsweise alle Ereignisse im Zusammenhang mit der Set-Domain-Authentifizierung im Unified Audit Log, in den Microsoft Entra Audit Logs und/oder in Ihrer SIEM-Umgebung, um sicherzustellen, dass alle aufgeführten Aktivitäten erwartet und geplant wurden.
Erkennen von Anmeldeinformationen für die OAuth-Anwendungen Angreifer, die die Kontrolle über ein privilegiertes Konto erlangt haben, können nach einer Anwendung suchen, die auf die E-Mails eines Benutzers in dem Unternehmen zugreifen kann. Mit dieser Anwendung können dann von Angreifern kontrollierte Anmeldeinformationen hinzufügt werden.

Beispielsweise können Sie nach einer der folgenden Aktivitäten suchen, die mit dem Verhalten des Angreifers konsistent wäre:
– Hinzufügen oder Aktualisieren von Dienstprinzipal-Anmeldeinformationen
– Aktualisieren von Anwendungszertifikaten und Geheimnissen
– Hinzufügen einer Zuweisung von App-Rollenzuweisungen zu einem Benutzer
– Hinzufügen von Oauth2PermissionGrant
Erkennen des E-Mail-Zugriffs durch Anwendungen Suchen Sie nach dem Zugriff auf E-Mails durch Anwendungen in Ihrer Umgebung. Verwenden Sie zum Beispiel die Funktion Microsoft Purview Audit (Premium), um kompromittierte Konten zu untersuchen.
Erkennen von nicht interaktiven Anmeldungen bei Dienstprinzipals Die Microsoft Entra-Anmeldeberichte enthalten Details zu allen nicht-interaktiven Anmeldungen, bei denen Anmeldeinformationen des Dienstherrn verwendet wurden. Beispielsweise können Sie die Anmeldeberichte verwenden, um wertvolle Daten für Ihre Untersuchung zu finden, z. B. eine IP-Adresse, die vom Angreifer für den Zugriff auf die E-Mail-Anwendungen verwendet wird.

Verbessern des Sicherheitsstatus

Wenn in Ihren Systemen ein Sicherheitsereignis aufgetreten ist, empfiehlt es sich, ihre aktuelle Sicherheitsstrategie und Prioritäten zu reflektieren.

Die Vorfall Antwortdienste werden häufig aufgefordert, Empfehlungen dazu zu geben, welche Investitionen das Unternehmen priorisieren sollte, da sie nun mit neuen Bedrohungen konfrontiert ist.

Zusätzlich zu den Empfehlungen, die in diesem Artikel dokumentiert sind, empfiehlt es sich, die Schwerpunktbereiche zu priorisieren, die auf die von diesem Angreifer verwendeten Techniken nach der Ausnutzung reagieren und die allgemeinen Sicherheitsstatuslücken zu priorisieren, die diese ermöglichen.

In den folgenden Abschnitten werden Empfehlungen zur Verbesserung des allgemeinen Sicherheitsstatus und des Identitätssicherheitsstatus aufgeführt.

Verbessern des allgemeinen Sicherheitsstatus

Wir empfehlen die folgenden Aktionen, um Ihren allgemeinen Sicherheitsstatus sicherzustellen:

Verbessern des Identitätssicherheitsstatus

Wir empfehlen die folgenden Aktionen, um Ihren Identitätsbezogenen Sicherheitsstatus sicherzustellen:

  • Überprüfen Sie die Fünf Schritte zum Schützen Ihrer Identitätsinfrastruktur von Microsoft und priorisieren Sie die Schritte entsprechend Ihrer Identitätsarchitektur.

  • Erwägen Sie die Migration zu Microsoft Entra Sicherheitsstandards für Ihre Authentifizierungsrichtlinie.

  • Beseitigen Sie die Verwendung der Legacyauthentifizierung Ihres Unternehmens, wenn die Systeme oder Anwendungen diese weiterhin benötigen. Weitere Informationen finden Sie unter Blockieren der Legacy-Authentifizierung für Microsoft Entra ID mit Conditional Access.

  • Behandeln Sie Ihre ADFS-Infrastruktur und die AD Connect-Infrastruktur als ein Objekt der Ebene-0.

  • Schränken Sie den lokalen Administratorzugriff auf das System ein, einschließlich des Kontos, das zum Ausführen des ADFS-Diensts verwendet wird.

    Die geringste Berechtigung, die für das Konto, auf dem ADFS läuft, erforderlich ist, ist die Zuweisung für Benutzerrechte Als Dienst anmelden.

  • Beschränken Sie den Administratorzugriff auf eingeschränkte Benutzer und aus eingeschränkten IP-Adressbereichen, indem Sie die Windows Firewall-Richtlinien für einen Remotedesktop verwenden.

    Es wird empfohlen, eine Jumpbox der Ebene 0 oder ein entsprechendes System einzurichten.

  • Blockieren Sie sämtlichen eingehenden SMB-Zugriff auf die Systeme von überall aus der Umgebung. Weitere Informationen finden Sie unter Beyond the Edge: So sichern Sie den SMB-Datenverkehr in Windows. Außerdem wird empfohlen, die Windows Firewall-Protokolle zur Verlaufsüberwachung und proaktiven Überwachung an SIEM zu streamen.

  • Wenn Sie ein Dienstkonto verwenden und von Ihrer Umgebung unterstützt werden, migrieren Sie von einem Dienstkonto zu einem gruppenverwalteten Dienstkonto (gMSA) . Wenn Sie nicht zu einem gMSA wechseln können, rotieren Sie das Kennwort für das Dienstkonto in ein komplexes Kennwort.

  • Stellen Sie sicher, dass die ausführliche Protokollierung auf Ihren ADFS-Systemen aktiviert ist.

Korrigieren und Beibehalten der administrativen Kontrolle

Wenn Ihre Untersuchung ergeben hat, dass der Angreifer die administrative Kontrolle über die Cloud- oder lokale Umgebung des Unternehmens hat, müssen Sie die Kontrolle auf eine Weise wiedererlangen, die sicherstellt, dass der Angreifer nicht persistent ist.

Dieser Abschnitt enthält mögliche Methoden und Schritte, die beim Erstellen Ihres Wiederherstellungsplans für die Administrative Steuerung zu berücksichtigen sind.

Wichtig

Die genauen Schritte, die in Ihrem Unternehmen erforderlich sind, hängen davon ab, welche Persistenz Sie in Ihrer Untersuchung ermittelt haben und wie sicher Sie sind, dass Ihre Untersuchung abgeschlossen wurde und alle möglichen Eingabe- und Persistenzmethoden ermittelt hat.

Stellen Sie sicher, dass alle ausgeführten Aktionen von einem vertrauenswürdigen Gerät ausgeführt werden, das aus einer bereinigten Quelle erstellt wurde. Verwenden Sie zum Beispiel eine neue Arbeitsstation mit privilegiertem Zugang.

Die folgenden Abschnitte enthalten die folgenden Arten von Empfehlungen zur Wartung und Beibehaltung der administrativen Kontrolle:

  • Entfernen der Vertrauensstellung von Ihren aktuellen Servern
  • Rotieren Ihres SAML-Token-Signaturzertifikats oder Ersetzen Ihrer ADFS-Servers, falls erforderlich
  • Spezifische Wartungsaktivitäten für Cloudumgebungen oder lokale Umgebungen

Entfernen Sie die Vertrauensstellung von Ihren aktuellen Servern

Wenn Ihr Unternehmen die Kontrolle über die Token-Signaturzertifikate oder die Verbundvertrauensstellung verloren hat, besteht der sicherste Ansatz darin, die Vertrauensstellung zu entfernen und zur der von Cloud beherrschten Identität zu wechseln, während Sie die lokale Vertrauenswürdigkeit beheben.

Das Entfernen von Vertrauensstellungen und das Wechseln zu einer von Cloud beherrschten Identität erfordert eine sorgfältige Planung. Außerdem ist ein tiefgreifendes Verstehen der Auswirkungen der Isolation der Identität auf den Geschäftsbetrieb erforderlich. Weitere Informationen hierzu, finden Sie unter Schützen von Microsoft 365 vor Angriffen auf die lokale Umgebung.

Rotieren Ihres SAML-Token-Signaturzertifikats

Wenn Ihre Organisation entscheidet, die Vertrauensstellungnicht während der Wiederherstellen der administrativen lokalen Kontrolle aufzuheben, müssen Sie Ihr SAML-Token-Signaturzertifikat rotieren, nachdem Sie die lokale administrative Kontrolle wiedererlangt haben und die Angreifer daran gehindert haben, erneut auf das Signaturzertifikat zuzugreifen.

Durch das einmalige Rotieren des Token-Signaturzertifikats kann das vorherige Token-Signaturzertifikat weiterhin funktionieren. Die Aufrechterhaltung der Funktionsfähigkeit früherer Zertifikate ist eine integrierte Funktion für normale Zertifikatsrotationen. Sie räumt den Unternehmen eine Frist ein, um alle Vertrauensstellungen zu aktualisieren, bevor das Zertifikat abläuft.

Im Falle eines Angriffs, soll der Angreifer überhaupt keinen Zugriff behalten. Stellen Sie sicher, dass der Angreifer nicht die Fähigkeit erlangt, Token für Ihre Domäne zu fälschen.

Weitere Informationen finden Sie unter:

Ersetzen Ihrer ADFS-Server

Wenn Sie sich entscheiden, die ADFS-Server durch bereinigte Systeme zu ersetzen, anstatt Ihr SAML-Token-Signaturzertifikat zu rotieren müssen Sie das vorhandene AD FS aus Ihrer Umgebung entfernen und dann ein neues erstellen.

Weitere Informationen finden Sie unter Entfernen eine Konfiguration.

Cloud-Wartungsaktivitäten

Zusätzlich zu den weiter oben in diesem Artikel aufgeführten Empfehlungen empfehlen wir auch die folgenden Aktivitäten für Ihre Cloudumgebungen:

Aktivität BESCHREIBUNG
Zurücksetzen von Kennwörtern Setzen Sie Kennwörter für alle Break-Glass-Konten zurück und reduzieren Sie die Anzahl der Break-Glass-Konten für die Sicherheit auf das absolute erforderliche Minimum.
Beschränken von Konten mit privilegiertem Zugriff Stellen Sie sicher, dass Dienst- und Benutzerkonten mit privilegiertem Zugriff reine Cloud-Konten sind und keine lokalen Konten verwenden, die mit Microsoft Entra ID synchronisiert oder zusammengeführt werden.
MFA erzwingen Erzwingen Sie die Multi-Factor Authentifizierung (MFA) für alle Benutzer mit erhöhten Rechten in dem Mandanten. Es wird empfohlen, MFA für alle Benutzer in dem Mandanten zu erzwingen.
Begrenzen der Administratorrechte Implementieren von Privileged Identity Management (PIM) und bedingtem Zugriff, um administrativen Zugriff zu begrenzen.

Implementieren Sie für Microsoft 365 Benutzer Privileged Access Management (PAM), um den Zugriff auf sensible Funktionen wie eDiscovery, globaler Administrator, Kontoverwaltung und vieles mehr zu beschränken.
Überprüfen/Reduzieren von delegierten Berechtigungen und Zustimmungszuweisungen Überprüfen und reduzieren Sie alle delegierten Berechtigungen oder Zustimmungszuweisungen für Enterprise Anwendungen, die eine der folgenden Funktionen zulassen:

– Änderung von privilegierten Benutzern und Rollen
– Lesen, Senden von E-Mails oder Zugreifen auf alle Postfächer
– Zugreifen auf OneDrive, Teams oder SharePoint Inhalte
– Hinzufügen von Dienstprinzipals, die Lese-/Schreibzugriff auf das Verzeichnis haben
– Anwendungsberechtigungen im Vergleich zu delegiertem Zugriff

Lokale Wartungsaktivitäten

Zusätzlich zu den weiter oben in diesem Artikel aufgeführten Empfehlungen empfehlen wir auch die folgenden Aktivitäten für Ihre Cloudumgebungen:

Aktivität BESCHREIBUNG
Neuerstellen betroffener Systeme Erstellen Sie die Systeme neu, die während ihrer Untersuchung vom Angreifer als kompromittiert identifiziert wurden.
Entfernen unnötiger Administratorbenutzer Entfernen Sie unnötige Mitglieder aus den Domänenadministratoren, Sicherungsoperatoren und Enterprise Administratorgruppen. Weitere Informationen finden Sie unter Sichern des privilegierten Zugriffs.
Zurücksetzen von Kennwörtern auf privilegierte Konten Setzen Sie Kennwörter aller privilegierten Konten in der Umgebung zurück.

Hinweis: Privilegierte Konten sind nicht auf integrierte Gruppen beschränkt. Sie können auch Gruppen sein, denen der Zugriff auf die Serververwaltung, die Arbeitsstationsverwaltung oder andere Bereiche Ihrer Umgebung übertragen wurde.
Zurücksetzen des krbtgt-Kontos Setzen Sie das krbtgt-Konto zweimal mit dem Skript New-KrbtgtKeys zurück.

Hinweis: Wenn Sie schreibgeschützte Domänencontroller verwenden, müssen Sie das Skript separat für Domänencontroller mit Lese-/Schreibzugriff und für schreibgeschützte Domänencontroller ausführen.
Planen eines Systemneustarts Nachdem Sie überprüft haben, ob keine vom Angreifer erstellten Persistenz-Mechanismen vorhanden sind oder auf Ihrem System verbleiben, planen Sie einen Systemneustart, um das Entfernen von speicherresidenter Schadsoftware zu unterstützen.
Zurücksetzen des DSRM-Kennworts Setzen Sie das DSRM-Kennwort (Verzeichnisdienste-Wiederherstellungsmodus) jedes Domänencontrollers auf ein eindeutiges und komplexes Kennwort zurück.

Beheben oder Blockieren Sie die Persistenz, die während der Untersuchung ermittelt wurde

Die Untersuchung ist ein iterativer Prozess. Sie müssen abwägen zwischen dem Wunsch des Unternehmens, bei der Identifizierung von Anomalien Abhilfe zu schaffen, und dem Risiko, dass der Angreifer durch die Abhilfemaßnahmen auf Ihre Entdeckung aufmerksam wird und Zeit hat, zu reagieren.

Beispielsweise kann ein Angreifer, der die Erkennung wahrnimmt, Techniken ändern oder mehr Persistenz erstellen.

Stellen Sie sicher, dass Sie alle Persistenz-Techniken beheben, die Sie in früheren Phasen der Untersuchung identifiziert haben.

Beheben des Benutzer- und Dienstkontozugriffs

Zusätzlich zu den oben aufgeführten empfohlenen Aktionen empfiehlt es sich, die folgenden Schritte zum Bereinigen und Wiederherstellen von Benutzerkonten zu berücksichtigen:

  • Erzwingen Sie den bedingten Zugriff basierend auf den vertrauenswürdigen Geräten. Wenn möglich, empfehlen wir Ihnen, eine standortabhängige Zugangskontrolle einzuführen, die Ihren Unternehmensanforderungen entspricht.

  • Setzen Sie die Passwörter nach der Entfernung für alle Benutzerkonten zurück, die möglicherweise kompromittiert wurden. Stellen Sie außerdem sicher, dass Sie einen kurzfristigen Plan zum Zurücksetzen von Anmeldeinformationen für alle Konten in Ihrem Verzeichnis implementieren.

  • Widerrufen Sie Aktualisierungstoken sofort nach dem Rotieren Ihrer Anmeldeinformationen.

    Weitere Informationen finden Sie unter:

Nächste Schritte

  • Erhalten Sie Hilfe in Microsoft-Produkten, einschließlich des Microsoft Defender-Portals, des Microsoft Purview-Complianceportals und des Office 365 Security & Compliance Centers, indem Sie in der oberen Navigationsleiste auf die Schaltfläche Hilfe (?) klicken.

  • Wenn Sie Unterstützung bei der Bereitstellung benötigen, wenden Sie sich an FastTrack Support

  • Wenn Sie Anforderungen an den Produktsupport haben, können Sie eine Microsoft-Support-Case-Datei erstellen.

    Wichtig

    Wenn Sie der Meinung sind, dass Sie kompromittiert wurden und Unterstützung durch eine Reaktion auf Vorfälle benötigen, öffnen Sie eine Sev A Microsoft-Support-Anfrage.