Microsoft Defender for Identity für kleine Unternehmen in Berlin

Die meisten Sicherheitslösungen schützen das Endgerät. Microsoft Defender for Identity (MDI) schützt die Identitätsinfrastruktur selbst — konkret das lokale Active Directory. Der Dienst überwacht den Domain-Controller-Datenverkehr in Echtzeit und erkennt Angriffe wie Pass-the-Hash, Pass-the-Ticket, Kerberoasting, DCSync und Golden Ticket, die traditionelle Endpunktkontrollen vollständig umgehen.

Warum Active Directory ein bevorzugtes Angriffsziel ist

On-Premises Active Directory bleibt die Authentifizierungsgrundlage der meisten Hybridumgebungen. Ein kompromittiertes Konto — insbesondere ein privilegiertes — ermöglicht laterale Bewegung im Netzwerk, ohne klassische Sicherheitswarnungen auszulösen. Viele Ransomware-Gruppen verbringen Tage oder Wochen in einer Umgebung und erweitern schrittweise ihre Rechte, bevor sie ihren Payload ausführen.

Defender for Endpoint schützt die Workstation-Ebene. MDI schützt die Identitätsebene. Ohne MDI ist der Domain Controller ein blinder Fleck in Ihrer Erkennungsabdeckung.

Erkannte Angriffsmöglichkeiten

• Pass-the-Hash / Pass-the-Ticket: Credential-Relay-Angriffe, die eine Authentifizierung als anderer Nutzer ohne Kenntnis des Passworts ermöglichen
• Kerberoasting: Extraktion von Service-Account-Ticket-Hashes für Offline-Cracking
• DCSync: Simulation der DC-Replikation zur Extraktion von Passwort-Hashes aus AD
• Golden Ticket / Silver Ticket: Gefälschte Kerberos-Tickets, die dauerhaften Zugriff auch nach Passwort-Resets bieten
• Laterale Bewegungspfade: Visuelle Karten, die zeigen, wie ein Angreifer von einem kompromittierten Konto zu Domain Admin gelangen kann

Integration mit Microsoft Sentinel

MDI-Warnungen fließen über einen nativen Daten-Connector direkt in Microsoft Sentinel ein. Identitätsbasierte Angriffssignale aus Active Directory werden mit Endpunktsignalen von Defender for Endpoint und E-Mail-Signalen von Defender for Office 365 korreliert — mehrstufige Angriffe, die Identitäts- und Endpunktebene überspannen, erscheinen als einheitlicher Incident.

Laterale Bewegungspfade visualisieren

MDI zeigt in einer grafischen Übersicht, welche Konten bei Kompromittierung einen Pfad zu Domain Admin ermöglichen. Ein Standard-Nutzerkonto mit lokalen Administratorrechten auf einem Server, auf dem ein Domain-Admin eine aktive Session hat, ist ein laterales Bewegungsrisiko — MDI macht diese Pfade sichtbar, bevor ein Angreifer sie ausnutzen kann.

Bereitstellungsanforderungen

• MDI-Sensor auf jedem lokalen Domain Controller installiert
• Verzeichnisdienstkonto mit Lesezugriff auf AD (kein Admin erforderlich)
• Microsoft Defender for Identity-Lizenz — in Microsoft 365 Business Premium enthalten
• Ausgehende HTTPS-Verbindung von DCs zu *.atp.azure.com

Einrichtungsschritte

1. Microsoft Defender-Portal → Einstellungen → Identitäten → Sensoren.
2. MDI-Sensor-Installationspaket herunterladen.
3. Installer auf jedem Domain Controller mit dem Workspace-Schlüssel aus dem Portal ausführen.
4. Verzeichnisdienstkonto im Portal konfigurieren (Einstellungen → Verzeichnisdienste).
5. Sensor-Status nach 5–10 Minuten prüfen — alle DCs sollten „Wird ausgeführt“ anzeigen.
6. Laterale Bewegungspfad-Bericht innerhalb von 24 Stunden prüfen.

Benötigen Sie Unterstützung bei der Einrichtung von Defender for Identity in Ihrer Berliner Umgebung? Kontaktieren Sie uns für ein kostenloses Gespräch.