Suche

Sprache

Auflösung Active Directory Schutzlücke mit MFA für RDP, PsExec und PowerShell

October 14th, 2021

Startseite » Blog » Auflösung Active Directory Schutzlücke mit MFA für RDP, PsExec und PowerShell

Während der Übergang in die Cloud und die digitale Transformation die IT kontinuierlich umgestalten, Active Directory (AD) ist nach wie vor eine Schlüsselkomponente im Umfeld nahezu jeder Organisation. Die allgemeine Annahme ist, dass die meisten Unternehmen auf absehbare Zeit eine gemischte On-Prem-/Cloud-Umgebung unterhalten werden. Dies führt zu einer kritischen Sicherheitslücke, da AD im Gegensatz zur Cloud keine nativen Identitätsschutzkontrollen wie z MFA, wodurch es einem Angriff, der kompromittierte Anmeldeinformationen verwendet, um auf gezielte Ressourcen zuzugreifen, alarmierend ausgesetzt ist. Während MFA für lokale Anmeldungen und RDP-Verbindungen existiert, fehlt es bei wichtigen Zugriffsschnittstellen wie PsExec, PowerShellund andere, die von Bedrohungsakteuren in großem Umfang genutzt werden seitliche Bewegung und Ransomware-Angriffe. Silverfort's Unified Identitätsschutz ist die erste Lösung, die vollständigen MFA-Schutz bietet Active Directory Umgebungen, wodurch das Risiko kompromittierter Anmeldeinformationen eliminiert und Identitätsschutz auf Cloud-Ebene eingeführt wird MFA für lokale Umgebungen.

Inhaltsverzeichnis

  • Eine kurze MFA-Rekapitulation – Wie funktioniert es und zu welchem ​​Zweck?
  • Was ist also das Problem mit MFA? Active Directory?
  • Authentifizierungsprotokolle, die MFA nicht unterstützen
  • Vertrauen auf Agenten und Proxys = teilweise Abdeckung
  • Silverfort MFA-Schutz für Active Directory
  • MFA für PowerShell
  • MFA für RDP
  • Cool, aber kann Silverfort Stellen Sie MFA für andere Zugriffsmethoden bereit Active Directory Umgebungen?
  • Es ist Zeit zu erkennen, dass MFA-Schutz für Active Directory ist ein Muss

    • Eine kurze MFA-Rekapitulation – Wie funktioniert es und zu welchem ​​Zweck?

    In ihrer einfachsten Form umfasst die Authentifizierung einen Benutzer, der Anmeldeinformationen bereitstellt, und einen Identitätsanbieter, der überprüft, ob die Anmeldeinformationen übereinstimmen, und basierend auf dem Ergebnis den Zugriff auf die angeforderte Ressource entweder gewährt oder verweigert. MFA fungiert als zusätzlicher Schritt . diesem Vorgang – nach positivem Ergebnis der Legitimationsprüfung muss der Nutzer einen weiteren Identitätsnachweis erbringen. Auf diese Weise reichen die Anmeldeinformationen, selbst wenn sie kompromittiert werden, nicht aus, um Zugriff zu gewähren, wodurch das potenzielle Risiko solcher Szenarien erheblich verringert wird.

    Was ist also das Problem mit MFA? Active Directory?

    Authentifizierungsprotokolle, die MFA nicht unterstützen

    Seit dem Kern Active Directory Da die Authentifizierungsinfrastruktur lange vor der Existenz von MFA entworfen und aufgebaut wurde, gibt es keine Möglichkeit, den zuvor beschriebenen MFA-Schritt zum Authentifizierungsprozess hinzuzufügen. Dies gilt in erster Linie für kommandozeilenbasierte Remote-Access-Schnittstellen wie z PsExec, PowerShell PSEnter-Sitzung, WMI. Diese Schnittstellen sind das Werkzeug der Wahl für Systemadministratoren und Helpdesk-Mitarbeiter, um Probleme auf Remote-Computern zu lösen – aber auch für Angreifer, die versuchen, das Netzwerk durch manuelle oder automatisierte seitliche Bewegungen zu kompromittieren.

    Vertrauen auf Agenten und Proxys = teilweise Abdeckung

    RDP zeichnet sich als relativ sichere Alternative zur Remote-Authentifizierung aus, da es die Platzierung des MFA-Prozesses in seinem Authentifizierungsablauf unterstützt. Um diesen Schutz zu platzieren, muss man jedoch entweder einen MFA-Agenten auf jedem geschützten Server installieren oder einen Proxy vor jedem Netzwerksegment platzieren. Dies führt fast immer zu einer Teilabdeckung, da Agenten nie auf 100 % der Maschinen bereitgestellt werden und Proxys Netzwerke, die über die einfachste Topologie hinausgehen, nicht hermetisch abdecken können.

    Silverfort MFA-Schutz für Active Directory

    Das Silverfort Die Unified Identity Protection-Plattform bietet End-to-End-Lösungen MFA zu Active Directory Umgebungen und schließt die Lücken in der herkömmlichen MFA-Anwendung. Nutzung agentenloser und Proxy-loser Technologie, Silverfort analysiert jeden Active Directory verarbeitet die Authentifizierungsanfrage und sendet bei Bedarf eine MFA-Benachrichtigung an den anfragenden Benutzer. Erst nach erfolgreicher Verifizierung geht das Silverfort anweisen Active Directory um dem Benutzer den Zugriff auf die angeforderte Ressource zu ermöglichen. Dieser Prozess ist völlig unabhängig von der Zugriffsmethode, d. h. der Aktivierung Silverfort zum Erweitern des MFA-Schutzes auf Folgendes:

    MFA für PowerShell

    PowerShell hat sich zunehmend zum Werkzeug der Wahl für die Systemadministration entwickelt und enthält verschiedene Cmdlets und Dienstprogramme für den Fernzugriff. Leider hat seine Verwendung bei Cyberangriffen in direktem Verhältnis zugenommen. Silverfort ermöglicht seinen Benutzern die Durchsetzung MFA auf PowerShell Verbindungen, die entweder auf Regeln oder der automatischen Erkennung von Risikoindikatoren basieren.

    MFA für Remote-Powershell

    MFA für RDP

    Im Gegensatz zu seinen Kollegen ist RDP nicht befehlszeilenbasiert, sondern ermöglicht die direkte Interaktion mit der GUI der Remote-Maschinen. Dies erweitert seine Nutzung auf einen großen Teil der nicht-technischen Mitglieder von Organisationen, insbesondere in der Ära der COVID-Fernarbeitskräfte. Während traditionelles MFA auf RDP angewendet werden kann, unterliegt es den Einschränkungen von Proxys und Agenten, die wir zuvor beschrieben haben, was fast immer zu einer teilweisen Abdeckung führt, die Angreifern eine Lücke lässt, die sie ausnutzen können.

    Im Gegensatz dazu SilverfortDie agentenlose und Proxy-lose Technologie setzt sich nahtlos durch MFA auf RDP Verbindungen in der Umgebung, um eine durchgängige Sicherheit zu gewährleisten.

    MFA für RDP

    Cool, aber kann Silverfort Stellen Sie MFA für andere Zugriffsmethoden bereit Active Directory Umgebungen?

    Das Konzept ist einfach – wenn sich die Ressource authentifiziert Active Directory, Silverfort kann MFA durchsetzen. So einfach ist das. Dies gilt unabhängig von den Zugriffsmethoden. Wir haben PowerShell Platz gewidmet, MFA für PsExec und RDP, da sie äußerst verbreitet sind, aber die gleiche Schutzlogik gilt gleichermaßen für alle vorhandenen oder zukünftigen Authentifizierungsvektoren, die durchlaufen werden Active Directory – WMI, Datenbankverbindungen, lokale Anwendungen oder andere.

    Es ist Zeit zu erkennen, dass MFA-Schutz für Active Directory ist ein Muss

    Active Directory ist hier, um zu bleiben. Cyberangriffe gedeihen auf der historischen Abwesenheit von aktiver Identitätsschutz für Active Directory Dies bedeutet in der Praxis, dass das Spiel vorbei ist, wenn die Anmeldeinformationen Ihrer Benutzerkonten kompromittiert werden. Die gute Nachricht ist, dass wir das nicht länger akzeptieren müssen – Silverfort macht MFA für Active Directory zugänglich, umfassend und einfach bereitzustellen, wodurch Ihr Unternehmen widerstandsfähiger gegen Cyberangriffe wird als je zuvor.

    Erfahren Sie mehr darüber Silverfort:

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt