Ransomware-Vorgehensweise und bewährte Methoden des Microsoft Incident Response-Teams

Von Menschen betriebene Ransomware ist kein Problem der Schadsoftware – es ist ein Problem von menschlichen Kriminellen. Die Lösungen, die zur Bewältigung von Rohstoffproblemen eingesetzt werden, reichen nicht aus, um eine Bedrohung zu verhindern, die eher einem nationalstaatlichen Gefährder ähnelt:

• Deaktivierung oder Deinstallation Ihrer Antiviren-Software vor der Verschlüsselung von Dateien
• Deaktivierung von Sicherheitsdiensten und Protokollierung, um eine Entdeckung zu vermeiden
• Findet und beschädigt oder löscht Backups, bevor er eine Lösegeldforderung stellt

Diese Aktionen werden häufig mit legitimen Programmen durchgeführt, z. B. Quick Assist im Mai 2024, die Sie in Ihrer Umgebung möglicherweise bereits für administrative Zwecke verwenden. In kriminellen Händen werden diese Tools verwendet, um Angriffe durchzuführen.

Die Reaktion auf die zunehmende Bedrohung von Ransomware erfordert eine Kombination aus moderner Unternehmenskonfiguration, up-to-Datum-Sicherheitsprodukten und geschulten Sicherheitsmitarbeitern, um bedrohungen zu erkennen und darauf zu reagieren, bevor Daten verloren gehen.

Das Microsoft Incident Response-Team (früher DART/CRSP) reagiert auf Sicherheitskompromittierungen, um Kunden dabei zu helfen, Cybersicherheit zu schaffen. Microsoft Incident Response bietet vor Ort reaktive Vorfallreaktionen und proaktive Remoteuntersuchungen. Microsoft Incident Response nutzt die strategischen Microsoft-Partnerschaften mit Sicherheitsorganisationen auf der ganzen Welt und mit internen Microsoft-Produktgruppen, um die umfassendste und gründlichste Untersuchung zu ermöglichen.

In diesem Artikel wird beschrieben, wie Microsoft Incident Response Ransomware-Angriffe behandelt, um Microsoft-Kunden in bewährten Methoden für Ihr eigenes Playbook für Sicherheitsvorgänge zu unterstützen. Informationen dazu, wie Microsoft die neueste KI für die Ransomware-Abwehr einsetzt, finden Sie im Artikel zur Microsoft Security Copilot-Abwehr von Ransomware-Angriffen.

Wie Microsoft Incident Response Microsoft-Sicherheitsdienste verwendet

Microsoft Incident Response basiert stark auf Daten für alle Untersuchungen und verwendet Microsoft-Sicherheitsdienste wie Microsoft Defender für Office 365, Microsoft Defender für Endpunkt, Microsoft Defender for Identityund Microsoft Defender für Cloud Apps.

Informationen zu den neuesten Sicherheitsupdates des Microsoft Incident Response-Teams finden Sie im Ninja Hub.

Microsoft Defender für den Endpunkt

Defender for Endpoint ist Microsofts Sicherheitsplattform für Unternehmensnetzwerke, die Analysten dabei unterstützt, fortschrittliche Bedrohungen zu verhindern, zu erkennen, zu untersuchen und darauf zu reagieren. Defender for Endpoint kann Angriffe mithilfe von fortschrittlichen Verhaltensanalysen und maschinellem Lernen erkennen. Ihre Analysten können Defender für Endpunkt nutzen, um Verhaltensanalysen von Bedrohungsakteuren zu bewerten.

Ihre Analysten können auch erweiterte Suchabfragen ausführen, um Indikatoren für Kompromittierung (IOCs) zu identifizieren oder nach bekannten Bedrohungsakteurverhalten zu suchen.

Defender für Endpunkt bietet Ihnen einen Echtzeitzugriff auf Microsoft Defender Experts, um Ihre Umgebung auf verdächtige Aktivitäten von Akteuren zu überwachen und diese Aktivitäten zu analysieren. Außerdem können Sie bei Bedarf mit Experten zusammenarbeiten, um weitere Erkenntnisse über Benachrichtigungen und Vorfälle zu gewinnen.

Microsoft Defender for Identity

Defender for Identity untersucht bekannte kompromittierte Konten, um andere potenziell kompromittierte Konten in Ihrer Organisation zu identifizieren. Defender for Identity sendet Warnungen für bekannte schädliche Aktivitäten wie DCSync-Angriffe, Remotecodeausführungsversuche und Pass-the-Hash-Angriffe.

Microsoft Defender for Cloud Apps

Defender for Cloud Apps (früher bekannt als Microsoft Cloud App Security) ermöglicht Es Ihrem Analysten, ungewöhnliches Verhalten in Cloudanwendungen zu erkennen, um Ransomware, kompromittierte Benutzer oder nicht autorisierte Anwendungen zu identifizieren. Defender für Cloud Apps ist die CasB-Lösung (Cloud Access Security Broker) von Microsoft, die die Überwachung von Clouddiensten und Daten ermöglicht, auf die Benutzer in Clouddiensten zugreifen können.

Microsoft-Sicherheitsbewertung

Microsoft Defender XDR-Dienste stellen Empfehlungen zur sofortigen Behebung zur Verfügung, um die Angriffsfläche zu reduzieren. Der Microsoft Secure Score ist ein Maß für die Sicherheitslage eines Unternehmens, wobei eine höhere Zahl anzeigt, dass mehr Verbesserungsmaßnahmen ergriffen worden sind. Lesen Sie die-Dokumentation zur Sicherheitsbewertung, um mehr darüber zu erfahren, wie Ihre Organisation diese Funktion verwenden kann, um Korrekturmaßnahmen in ihrer Umgebung priorisieren zu können.

Das Verfahren von Microsoft Incident Response zum Untersuchen von Ransomware-Vorfällen

Die Ermittlung, wie ein Bedrohungsakteur Zugriff auf Ihre Umgebung erhält, ist entscheidend für die Identifizierung von Sicherheitsrisiken, das Durchführen von Angriffsminderungen und die Verhinderung zukünftiger Angriffe. In einigen Fällen führt der Bedrohungsakteur Schritte aus, um ihre Spuren abzudecken und Beweise zu zerstören, sodass es möglich ist, dass die gesamte Ereigniskette möglicherweise nicht offensichtlich ist.

Im Folgenden sind drei wichtige Schritte bei Ransomware-Untersuchungen von Microsoft Incident Response aufgeführt:

Schritt	Ziel	Einstiegsfragen
1. Beurteilung der aktuellen Situation	Grundlegendes zum Umfang	Was hat Sie auf einen Ransomware-Angriff aufmerksam gemacht? Wann haben Sie zum ersten Mal von dem Vorfall erfahren? Welche Protokolle sind verfügbar und gibt es Anzeichen dafür, dass der Akteur derzeit auf Systeme zugreift?
2. Identifikation der betroffenen Line-of-Business (LOB) Anwendungen	Systeme wieder online bringen	Ist für die Anwendung eine Identität erforderlich? Sind Backups der Anwendung, der Konfiguration und der Daten verfügbar? Werden der Inhalt und die Integrität der Backups regelmäßig anhand einer Wiederherstellungsübung überprüft?
3. Ermittlung des Verfahrens zur Wiederherstellung von Kompromissen (CR)	Entfernen eines Bedrohungsakteurs aus der Umgebung	N/V

Schritt 1: Bewerten Sie die aktuelle Situation

Eine Bewertung der aktuellen Situation ist entscheidend, um das Ausmaß des Vorfalls zu verstehen und die besten Mitarbeiter für die Planung und den Umfang der Untersuchungs- und Abhilfemaßnahmen zu bestimmen. Das Stellen der folgenden anfänglichen Fragen ist entscheidend, um die Quelle und den Umfang der Situation zu ermitteln.

Wie haben Sie den Ransomware-Angriff identifiziert?

Wenn Ihre IT-Mitarbeiter die anfängliche Bedrohung identifiziert haben, z. B. gelöschte Sicherungen, Antivirenwarnungen, Endpunkterkennungs- und Reaktionswarnungen (EDR) oder verdächtige Systemänderungen, ist es häufig möglich, schnelle entscheidende Maßnahmen zu ergreifen, um den Angriff zu verhindern. Diese Maßnahmen umfassen in der Regel das Deaktivieren aller eingehenden und ausgehenden Internetkommunikation. Während diese Maßnahme sich vorübergehend auf Geschäftsvorgänge auswirken könnte, wäre sie normalerweise von viel geringerer Bedeutung als eine erfolgreiche Ransomware-Bereitstellung.

Wenn die Bedrohung durch einen Anruf eines Benutzers beim IT-Helpdesk identifiziert wird, kann es genug Vorwarnung geben, um Abwehrmaßnahmen zu ergreifen, um die Auswirkungen des Angriffs zu verhindern oder zu minimieren. Wenn eine externe Stelle wie eine Strafverfolgungsbehörde oder ein Finanzinstitut die Bedrohung identifiziert hat, ist es wahrscheinlich, dass der Schaden bereits eingetreten ist. An diesem Punkt hat der Bedrohungsakteur möglicherweise administrative Kontrolle über Ihr Netzwerk. Dieser Beweis kann von Ransomware-Notizen bis hin zu gesperrten Bildschirmen bis hin zu Lösegeldanforderungen reichen.

Wann (Datum/Zeit) haben Sie zum ersten Mal von dem Vorfall erfahren?

Das Festlegen des Anfangsaktivitätsdatums und -uhrzeits ist wichtig, um den Umfang der anfänglichen Triage für die Aktivität des Bedrohungsakteurs einzuschränken. Weitere Fragen könnten sein:

• Welche Aktualisierungen fehlten an diesem Tag? Es ist wichtig, alle ausgenutzten Sicherheitsrisiken zu identifizieren.
• Welche Konten wurden an diesem Tag verwendet?
• Welche neuen Konten wurden seit diesem Datum erstellt?

Welche Protokolle sind verfügbar, und gibt es Anzeichen dafür, dass der Akteur derzeit auf Systeme zugreift?

Protokolle, z. B. aus Antivirensoftware, EDR und virtuellen privaten Netzwerken (VPN), können Hinweise auf vermutete Kompromittierungen enthalten. Zu den Folgefragen können gehören:

• Werden die Protokolle in einer SIEM-Lösung (Security Information und Event Management) – wie Microsoft Sentinel, Splunk, ArcSight und andere – gesammelt und sind sie aktuell? Wie lange werden diese Daten aufbewahrt?
• Gibt es verdächtige kompromittierte Systeme, die ungewöhnliche Aktivitäten erleben?
• Gibt es verdächtige kompromittierte Konten, die scheinbar unter aktiver Kontrolle des Bedrohungsakteurs liegen?
• Gibt es in EDR-, Firewall-, VPN-, Web-Proxy- und anderen Protokollen Hinweise auf aktive Command and Controls (C2s)?

Um die Situation zu bewerten, benötigen Sie möglicherweise einen Active Directory Domain Services (AD DS)-Domänencontroller, der nicht kompromittiert wurde, eine kürzliche Sicherung eines Domänencontrollers oder ein neuer Domänencontroller, der für Wartung oder Upgrades offline geschaltet wurde. Stellen Sie außerdem fest, ob die Multifaktor-Authentifizierung (MFA) für alle Mitarbeiter des Unternehmens erforderlich war und ob Microsoft Entra ID verwendet wurde.

Schritt 2: Identifizieren Sie die LOB-Anwendungen, die aufgrund des Vorfalls nicht verfügbar sind

Dieser Schritt ist entscheidend bei der Ermittlung der schnellsten Möglichkeit, Systeme wieder online zu bekommen und dabei die erforderlichen Nachweise zu erhalten.

Ist für die Anwendung eine Identität erforderlich?

• Wie erfolgt die Authentifizierung?
• Wie werden Berechtigungsnachweise wie Zertifikate oder Sicherheitsdaten gespeichert und verwaltet?

Sind getestete Backups der Anwendung, der Konfiguration und der Daten verfügbar?

• Werden die Inhalte und die Integrität der Backups regelmäßig anhand einer Wiederherstellungsübung überprüft? Diese Überprüfung ist wichtig nach Änderungen an der Konfigurationsverwaltung oder nach Versionsupgrades.

Schritt 3: Bestimmen Sie den Prozess zur Wiederherstellung der Kompromisse

Dieser Schritt kann erforderlich sein, wenn die Steuerebene, die in der Regel AD DS ist, kompromittiert wurde.

Ihre Untersuchung sollte immer Ergebnisse liefern, die direkt in den CR-Prozess einfließen. CR ist der Prozess, mit dem die Steuerung von Bedrohungsakteurn aus einer Umgebung entfernt wird und die Sicherheitslage innerhalb eines festgelegten Zeitraums taktisch erhöht wird. CR findet nach einem Sicherheitsverstoß statt. Wenn Sie mehr über CR erfahren möchten, lesen Sie den Blog-Artikel des Microsoft Compromise Recovery Security Practice-Teams CRSP: The emergency team fighting cyber attacks beside customers.

Nachdem Sie Antworten auf die Fragen in den Schritten 1 und 2 gesammelt haben, können Sie eine Liste von Aufgaben erstellen und Besitzer zuweisen. Die erfolgreiche Reaktion auf Vorfälle setzt die gründliche und detaillierte Dokumentation jeder einzelnen Komponente voraus (z. B. Besitzer, Status, Ergebnisse, Datum und Uhrzeit), um Ergebnisse kompilieren zu können.

Empfehlungen und bewährte Methoden von Microsoft Incident Response

Im Folgenden finden Sie Empfehlungen und bewährte Methoden von Microsoft Incident Response für die Schadensbegrenzung und Aktivitäten nach Vorfällen.

Eindämmung

Die Eindämmung kann erst erfolgen, wenn Sie ermittelt haben, was eingedämmt werden muss. Im Falle von Ransomware zielt der Bedrohungsakteur darauf ab, Anmeldeinformationen für die administrative Kontrolle über einen hoch verfügbaren Server zu erhalten und dann die Ransomware bereitzustellen. In einigen Fällen identifiziert der Bedrohungsakteur sensible Daten und exfiltriert sie an einen Ort, den er kontrolliert.

Taktische Wiederherstellungsprozesse sind spezifisch auf die Umgebung, Branche und das Niveau der IT-Kompetenz und -Erfahrung Ihrer Organisation zugeschnitten. Die unten beschriebenen Schritte werden für kurzfristige und taktische Eindämmung empfohlen. Weitere Informationen zu langfristigen Anleitungen finden Sie unter „Sicherung des privilegierten Zugriffs“. Eine umfassende Übersicht über die Verteidigung gegen Ransomware und Erpressung finden Sie unter Von Menschen platzierte Ransomware.

Die folgenden Eindämmungsschritte können ausgeführt werden, wenn neue Bedrohungsvektoren ermittelt werden.

Schritt 1: Beurteilen Sie den Umfang der Situation

• Welche Benutzerkonten wurden kompromittiert?
• Welche Geräte sind betroffen?
• Welche Anwendungen sind betroffen?

Schritt 2: Erhalten Sie bestehende Systeme

• Deaktivieren Sie alle privilegierten Benutzerkonten mit Ausnahme einer kleinen Anzahl von Konten, die von Ihren Administratoren verwendet werden, um dabei zu helfen, die Integrität Ihrer Active Directory Domain Services (AD DS)-Infrastruktur zurückzusetzen. Wenn Sie glauben, dass ein Benutzerkonto kompromittiert ist, deaktivieren Sie es sofort.
• Isolieren Sie kompromittierte Systeme aus dem Netzwerk, deaktivieren Sie sie jedoch nicht.
• Isolieren Sie mindestens einen (idealerweise zwei) bekannte gute Domänencontroller in jeder Domäne. Trennen Sie sie entweder vom Netzwerk, oder deaktivieren Sie sie, um die Verbreitung von Ransomware auf kritische Systeme zu verhindern und die Identität als anfälligsten Angriffsvektor zu priorisieren. Wenn alle Domänencontroller virtuell sind, stellen Sie sicher, dass das System und die Datenlaufwerke der Virtualisierungsplattform auf offline externen Medien gesichert werden, die nicht mit dem Netzwerk verbunden sind.
• Isolieren Sie kritische, als gut bekannte Anwendungsserver, z. B. SAP, die Datenbank für die Konfigurationsverwaltung (CMDB), Abrechnungssysteme und Buchhaltungssysteme.

Diese beiden Schritte können gleichzeitig ausgeführt werden, da neue Bedrohungsvektoren erkannt werden. Um die Bedrohung vom Netzwerk zu isolieren, deaktivieren Sie diese Bedrohungsvektoren, und suchen Sie dann nach einem bekannten, nicht gefährdeten System.

Weitere taktische Eindämmungsaktionen sind:

• Setzen Sie das krbtgt-Kennwort zweimal in schneller Folge zurück. Erwägen Sie die Verwendung eines skriptgesteuerten, wiederholbaren Prozesses. Mit diesem Skript können Sie das Krbtgt-Kontokennwort und zugehörige Schlüssel zurücksetzen und gleichzeitig die Wahrscheinlichkeit von Kerberos-Authentifizierungsproblemen minimieren. Um Probleme zu minimieren, kann die Lebensdauer von krbtgt mindestens ein Mal reduziert werden, bevor das erste Kennwort zurückgesetzt wird, um diese Schritte schnell auszuführen. Alle Domänencontroller, die Sie in Ihrer Umgebung beibehalten möchten, müssen online sein.

• Verteilen Sie eine Gruppenrichtlinie auf die Domäne(n), die eine privilegierte Anmeldung (Domänenadministratoren) nur für Domänencontroller und privilegierte, administrative Workstations (wenn vorhanden) zulässt.

• Installieren Sie alle fehlenden Sicherheitsupdates für Betriebssysteme und Anwendungen. Jedes fehlende Update ist ein potenzieller Bedrohungsvektor, den Ransomware-Akteure schnell identifizieren und verwenden können. Das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt bietet eine einfache Möglichkeit, genau zu sehen, was fehlt, und welche Auswirkungen die fehlenden Updates haben könnten.

  • Bei Geräten mit Windows 10 (oder höher) stellen Sie sicher, dass die aktuelle Version (oder n-1) auf jedem Gerät ausgeführt wird.

  • Setzen Sie Regeln zur Reduzierung der Angriffsfläche (ASR) ein, um die Infektion mit Malware zu verhindern.

  • Aktivieren Sie alle Windows 10 Sicherheitsfunktionen.

• Überprüfen Sie, ob jede externe Anwendung, einschließlich VPN-Zugriff, durch mehrstufige Authentifizierung (MFA) geschützt ist, vorzugsweise mithilfe einer Authentifizierungsanwendung, die auf einem gesicherten Gerät ausgeführt wird.

• Für Geräte, die Defender für Endpunkt nicht als primäre Antivirensoftware verwenden, führen Sie einen vollständigen Scan mit Microsoft Safety Scanner auf isolierten bekannten sicheren Systemen durch, bevor Sie sie erneut mit dem Netzwerk verbinden.

• Führen Sie für alle älteren Betriebssysteme ein Upgrade auf ein unterstütztes Betriebssystem (Os) aus, oder setzen Sie diese Geräte außer Betrieb. Wenn diese Optionen nicht verfügbar sind, ergreifen Sie alle möglichen Maßnahmen, um diese Geräte zu isolieren, einschließlich Netzwerk-/VLAN-Isolation, Internetprotokollsicherheitsregeln (Internet Protocol Security, IPsec) und Anmeldeeinschränkungen. Diese Schritte tragen dazu bei, sicherzustellen, dass diese Systeme nur von den Benutzern/Geräten zugänglich sind, um geschäftskontinuität zu gewährleisten.

Die risikoreichsten Konfigurationen bestehen darin, dass unternehmenskritische Systeme auf Legacy-Betriebssystemen, die so alt sind wie Windows NT 4.0, und Anwendungen auf Legacy-Hardware laufen. Nicht nur diese Betriebssysteme und Anwendungen sind unsicher und anfällig, aber wenn diese Hardware fehlschlägt, können Sicherungen in der Regel nicht auf moderner Hardware wiederhergestellt werden. Diese Anwendungen können nicht ohne Legacyhardware funktionieren. Erwägen Sie dringend, diese Anwendungen so zu konvertieren, dass sie auf aktuellen OSs und Hardware ausgeführt werden.

Aktivitäten nach einem Vorfall

Microsoft Incident Response empfiehlt die Implementierung der folgenden Sicherheitsempfehlungen und bewährten Methoden nach jedem Vorfall.

• Stellen Sie sicher, dass bewährte Methoden für E-Mail- und Zusammenarbeitslösungen vorhanden sind, um zu verhindern, dass Bedrohungsakteure sie verwenden, während interne Benutzer problemlos und sicher auf externe Inhalte zugreifen können.

• Befolgen Sie bewährte Methoden zur Zero Trust-Sicherheit für Remotezugriffslösungen für interne Organisationsressourcen.

• Beginnen Sie mit Administratoren mit kritischer Bedeutung, und befolgen Sie bewährte Methoden für die Kontosicherheit, einschließlich der kennwortlosen Authentifizierung oder MFA.

• Implementieren Sie eine umfassende Strategie, um das Risiko einer Kompromittierung des privilegierten Zugangs zu verringern.

  • Verwenden Sie für den administrativen Zugriff auf die Cloud und den Forest/Domain das Privileged Access Model (PAM) von Microsoft.

  • Verwenden Sie für die administrative Verwaltung von Endgeräten die Lösung für lokale administrative Kennwörter (LAPS).

• Implementieren Sie die Datensicherung, um Ransomware-Techniken zu blockieren und eine schnelle und zuverlässige Wiederherstellung von einem Angriff sicherzustellen.

• Überprüfen Sie Ihre kritischen Systeme. Überprüfen Sie die Umgebung, ob sie geschützt und Backups vorhanden sind, damit Bedrohungsakteure keine Dateien entfernen oder durch Verschlüsselung blockieren können. Überprüfen, testen und validieren Sie diese Sicherungen regelmäßig.

• Stellen Sie sicher, dass häufige Angriffe auf Endpunkte, E-Mails und Identitäten schnell erkannt und behoben werden.

• Entdecken Sie aktiv die Sicherheitslage Ihrer Umgebung und verbessern Sie diese kontinuierlich.

• Aktualisieren Sie die organisatorischen Abläufe zur Bewältigung größerer Ransomware-Ereignisse und optimieren Sie das Outsourcing, um Reibungsverluste zu vermeiden.

PAM

Die Verwendung von PAM (früher als mehrstufiges Verwaltungsmodell bekannt) verbessert den Sicherheitsstatus von Microsoft Entra ID. Dies umfasst Folgendes:

• Aufteilung der administrativen Konten in einer „geplanten“ Umgebung, d. h. ein Konto für jede Ebene (in der Regel vier Ebenen):

• Kontrollebene (früher Stufe 0): Verwaltung von Domänencontrollern und anderen wichtigen Identitätsdiensten, z. B. Active Directory-Verbunddienste (ADFS) oder Microsoft Entra Connect. Dazu gehören auch Serveranwendungen, die Administratorberechtigungen für AD DS erfordern, z. B. Exchange Server.

• Die nächsten beiden Ebenen waren früher Tier 1:

  • Management-Ebene: Vermögensverwaltung, Überwachung und Sicherheit.

  • Daten-/Workload-Ebene: Anwendungen und Anwendungsserver.

• Die nächsten beiden Ebenen waren früher Tier 2:

  • Benutzerzugriff: Zugriffsrechte für Benutzer (z. B. Konten).

  • App-Zugang: Zugriffsrechte für Anwendungen.

• Jede dieser Ebenen verfügt über eine eigene Verwaltungsworkstation für jede Ebene und hat ausschließlich Zugriff auf die Systeme in dieser Ebene. Konten aus anderen Ebenen wird der Zugriff auf Workstations und Server durch die Zuweisung von Benutzerrechten für diese Geräte verweigert.

PAM stellt Folgendes sicher:

• Ein kompromittiertes Benutzerkonto kann nur auf die eigene Ebene zugreifen.

• Sensiblere Benutzerkonten können nicht auf Workstations und Server auf einer Ebene mit einer niedrigeren Sicherheitsstufe zugreifen. Dadurch wird verhindert, dass Bedrohungsakteur lateral bewegt wird.

LAPS

Standardmäßig verfügen Microsoft Windows und AD DS über keine zentrale Verwaltung lokaler Administratorkonten auf Workstations und Mitgliedsservern. Dieser Mangel an Verwaltung kann zu einem gemeinsamen Kennwort für alle diese lokalen Konten oder zumindest für Gerätegruppen führen. In dieser Situation können Bedrohungsakteure ein lokales Administratorkonto kompromittieren, um dann auf andere Arbeitsstationen oder Server in der Organisation zuzugreifen.

Microsoft LAPS reduziert diese Bedrohung durch eine clientseitige Gruppenrichtlinienerweiterung, die das lokale administrative Kennwort für Workstations und Server gemäß der festgelegten Richtlinie in regelmäßigen Abständen ändert. Jedes dieser Kennwörter ist unterschiedlich und wird als Attribut im AD DS-Computerobjekt gespeichert. Dieses Attribut kann von einer einfachen Client-Anwendung abgerufen werden, abhängig von den Berechtigungen, die diesem Attribut zugewiesen sind.

Das AD DS-Schema muss für LAPS erweitert werden, um das zusätzliche Attribut zu unterstützen. Die LAPS-Gruppenrichtlinienvorlagen müssen installiert werden. Auf jeder Workstation und jedem Mitgliedsserver muss eine kleine clientseitige Erweiterung installiert werden, um die clientseitige Funktionalität bereitzustellen.

Sie können LAPS über das Microsoft Download Center herunterladen.

Zusätzliche Ressourcen zu Ransomware

Die folgenden Microsoft-Ressourcen helfen, Ransomware-Angriffe zu erkennen und Organisationsressourcen zu schützen:

• Von Menschen platzierte Ransomware

• Schneller Schutz vor Ransomware und Erpressung

• Microsoft Digital Defense-Bericht 2023 (siehe Seiten 17 bis 26)

• Bericht zur Bedrohungsanalyse Ransomware: Eine weit verbreitete und fortlaufende Bedrohung im Microsoft Defender-Portal

• Ransomware-Fallstudie von Microsoft Incident Response

Microsoft 365:

• Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
• Schutz vor Schadsoftware und Ransomware in Microsoft 365
• Schützen Ihres Windows 10-PCs vor Ransomware
• Behandeln von Ransomware in SharePoint Online
• Analyseberichte zur Bedrohung durch Ransomware im Microsoft Defender-Portal
• Nutzen von KI zur Verteidigung gegen Ransomware mit Microsoft Security Copilot

Microsoft Defender XDR:

• Suchen nach Ransomware mit erweitertem Hunting

Microsoft Azure:

• Azure-Schutzmaßnahmen für Ransomware-Angriffe
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
• Wiederherstellen nach kompromittierter Systemidentität
• Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
• Fusion-Erkennung für Ransomware in Microsoft Sentinel

Microsoft Defender for Cloud-Apps:

• Erstellen Sie Richtlinien zur Anomalieerkennung in Defender for Cloud-Apps