Schlüsselpunkte
Cyberangriffsketten mit 5 integrierten Windows-Tools unterbrechen
- Windows-Tools können gegen Cyberangriffsketten eingesetzt werden: Dieser Ansatz stützt sich auf fünf native Windows-Tools: RDP Gateway, ASR-Regeln, Windows-Firewall, PowerShell und Autoruns. Sie helfen dabei, verschiedene Phasen der Cyberangriffskette abzuwehren.
- Wie integrierte Tools die Cyberangriffskette unterbrechen: Jedes Tool lässt sich direkt einer oder mehreren Phasen der Cyber-Kill-Chain zuordnen: RDP Gateway und ASR-Regeln verhindern den initialen Zugriff, die Windows-Firewall stoppt laterale Bewegungen, PowerShell ermöglicht frühzeitige Erkennung und Autoruns adressiert Persistenzmechanismen.
- Wer am meisten vom Einsatz integrierter Windows-Tools profitiert: Für kleinere Teams oder verteilte Umgebungen bieten diese integrierten Funktionen Schutz auf Unternehmensniveau bei minimalem Ressourceneinsatz.
- Erweiterter Schutz für MSPs und Enterprise-IT-Teams: MSPs, IT-Teams und sicherheitsbewusste Unternehmen können diese Tools effizienter einsetzen, indem sie Automatisierung prüfen oder sie zentral über Plattformen wie NinjaOne verwalten.
Cyberangriffe entwickeln sich kontinuierlich weiter. Daher stehen IT-Abwehrmaßnahmen und Service-Provider ständig vor der Aufgabe, Bedrohungen frühzeitig abzufangen und zu beseitigen. Ein Blick auf den 2025 State of Ransomware Report von Sophos zeigt, dass 59 % der befragten Unternehmen in diesem Jahr von einem Angriff betroffen waren. Die durchschnittlichen Wiederherstellungskosten beliefen sich dabei auf beachtliche 2,73 Millionen US-Dollar, wobei Ausfallzeiten und weitere Produktionsverluste noch nicht berücksichtigt sind.
Im großen Maßstab steht Endpunkt-Sicherheit bei der Abwehr solcher Angriffe häufig an vorderster Front, insbesondere wenn Angreifer nach Schwachstellen in alltäglichen Tools wie PowerShell, Windows Explorer und automatisierten Aufgaben suchen, um ihre Ziele zu beeinträchtigen. Daher überrascht es nicht, dass die 2025 Security 100 von CRN Endpunkt-Schutz und -Erkennung als zentrale Fähigkeiten bei der Bewertung von Cybersicherheits- und IT-Management-Anbietern hervorhebt.
Doch was macht ein verlässliches Endpunktsicherheits-Konzept für Unternehmen aus? Zunächst können Unternehmen verschiedene Tools einsetzen, um sich vor einer Cyberangriffskette oder Cyber-Kill-Chain zu schützen. Dieses adaptierte Konzept beschreibt, wie Angreifer in eine Zielumgebung eindringen, diese ausnutzen und sich dort dauerhaft festsetzen können. Das Framework zeigt verschiedene Möglichkeiten auf, die „Kette“ in bestimmten Phasen zu unterbrechen, wodurch ein Angriff vollständig gestoppt oder der entstehende Schaden begrenzt werden kann.
Die Verwaltung mehrerer Tools ohne eine dedizierte oder einheitliche IT-Management-Plattform erfordert jedoch erheblichen Aufwand und beträchtliche Ressourcen. Wenn Sie dennoch eine solide Grundlage schaffen möchten, finden Sie hier fünf integrierte Windows-Lösungen, mit denen sich moderne Cyberangriffsketten unterbrechen lassen.
Übernehmen Sie mit NinjaOne die Kontrolle über die Skriptbereitstellung und die Automatisierung von Richtlinien, um Ihre Angriffsfläche zu verringern.
Was ist eine Cyberangriffskette?
Die von Lockheed Martin entwickelte Cyber-Kill-Chain ist ein systematisches Framework, das die Schritte beschreibt, die Cyberkriminelle bei Cyberangriffen auf Unternehmen typischerweise durchlaufen. Das Verständnis des Cyber-Kill-Chain-Frameworks unterstützt Unternehmen dabei, robuste Sicherheitsmaßnahmen für jede Phase eines Angriffs zu entwickeln.
Fünf integrierte Windows-Tools zum Stoppen von Cyberangriffsketten
Im Folgenden erhalten Sie einen Überblick darüber, wie RDP Gateway, ASR-Regeln, Windows-Firewall, PowerShell und Autoruns in verschiedenen Phasen eines Cyberangriffs eingesetzt werden können, darunter Initialzugriff, Diebstahl von Zugangsdaten, laterale Bewegung, Persistenz und Payload-Ausführung.
Empfohlenes Windows-Tool | Häufig abgewehrte Angriffe |
| RDP-Gateway | Initialzugriff: – Verhindert RDP-Brute-Force-Angriffe und stellt RDP sicher bereit, statt es direkt dem Internet auszusetzen. |
| Regeln zur Reduzierung der Angriffsfläche (ASR) | • Initialzugriff: – Blockiert unsichere Office-, Adobe- und E-Mail-Einstellungen. • Diebstahl von Anmeldeinformationen – Blockiert das Dumping von lsass.exe. • Laterale Bewegung – Minimiert den Missbrauch von WMI/PsExec. • Persistenz – Überwachen WMI-Ereignisabonnements • Payload-Ausführung – Stoppt bösartige Skripte und Ransomware. |
| Windows-Firewall | • Angriff/Initialzugriff – Beschränkt eingehende Verbindungen, beispielsweise Port 3389 für RDP. • Laterale Bewegung – Blockiert unerwünschten internen Netzwerkverkehr. |
| PowerShell | Erkennung/Audit – Protokolliert und überwacht Hinweise auf Brute-Force-Angriffe, verdächtigen Remote-Zugriff und Skripte. |
| Autostart-Einträge | • Persistenz – Identifiziert und deaktiviert bösartige Autostart-Einträge, darunter Registry-Einträge, Dienste und geplante Aufgaben, und stoppt dadurch Persistenzmechanismen. |
Diese integrierten Windows-Dienstprogramme können als erste Verteidigungslinie gegen verschiedene digitale Bedrohungen dienen. Da sie in den meisten Umgebungen bereits verfügbar sind, dürfte ihre Konfiguration in der Regel mit weniger Hürden verbunden sein.
1. RD-Gateway: RDP-Netzwerk sicher halten
Da RDP eines der am häufigsten eingesetzten Tools für die Verwaltung von Remote-Endpunkten ist, insbesondere in dezentralisierten IT-Netzwerken, versuchen böswillige Akteure häufig, vorhandene Schwachstellen auszunutzen.
Glücklicherweise gibt es eine unkomplizierte Möglichkeit, diese Risiken durch die Konfiguration eines RD-Gateways zu verwalten. Durch die Implementierung dieser Strategie lassen sich interne Systeme hinter einem sicheren Tunnel schützen. Anschließend kann diese Konfiguration mit modernen Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), Authentifizierung auf Netzwerkebene und Richtlinien für bedingten Zugriff kombiniert werden, um die Angriffskette zu unterbrechen, bevor sie überhaupt beginnt.
Um Ihre Konfiguration regelmäßig zu validieren, können Sie Drittanbieter-Tools oder RMM-Funktionen wie den Port-Scan-Monitor von NinjaOne einsetzen, um die Integrität von Netzwerkverbindungen und Sicherheitsprotokollen zu überprüfen.
2. ASR-Regeln: Exploits blockieren und Angriffsflächen minimieren
Es gibt zahlreiche Möglichkeiten, die Attack Surface Reduction (ASR)-Regeln von Microsoft einzusetzen.
Wie aus der Übersicht hervorgeht, bieten ASR-Regeln eine breite Abdeckung und adressieren viele typische Taktiken über mehrere Phasen der Angriffskette hinweg.
Microsoft weist ebenfalls darauf hin, dass ASR-Regeln entwickelt wurden, um häufig angegriffene Schwachstellen zu härten. So erhalten Unternehmen einen zugänglichen Schutz für leistungsstarke, jedoch häufig missbrauchte Funktionen und Programme wie Office-Makros, WMI, PsExec und weitere Komponenten.
Zu den Anforderungen für ASR-Regeln gehören:
- Windows 10, Version 1709 und höher
- Microsoft Defender muss aktiv sein und darf sich nicht im passiven Modus befinden.
- Für einige Regeln muss cloudbasierter Schutz aktiviert sein.
Die Einschränkung bei ASR-Regeln besteht darin, dass Microsoft den vollständigen ASR-Funktionsumfang hinter Enterprise-Lizenzen platziert hat. Insbesondere benötigen Sie eine Office 365 E5-Lizenz, wenn Sie die vollständige Defender-for-Endpoint-Integration sowie erweitertes Monitoring, Alerting und Reporting erhalten möchten.
Allerdings hat das Softwareunternehmen dokumentiert, dass ASR-Regeln auch mit einer Microsoft 365 Business-Lizenz verwendet werden können, wenngleich dies offiziell nicht unterstützt wird. Mit dem entsprechenden Ansatz lässt sich also dennoch ein Weg finden.
Ein weiteres häufiges Bedenken im Zusammenhang mit ASR-Regeln betrifft mögliche False Positives und störende Warnmeldungen. Das interne Sicherheitsteam von Palantir hat einen sehr fundierten Beitrag veröffentlicht, in dem es seine Erfahrungen mit jeder der 15 verfügbaren ASR-Regeln detailliert beschreibt. Der Beitrag enthält Empfehlungen dazu, welche Regeln sicher im Block Mode konfiguriert werden können und welche je nach Umgebung besser im Audit Mode verbleiben oder vollständig deaktiviert werden sollten.
3. Windows-Firewall: Bedrohungen und Netzwerkverkehr eindämmen
Die Windows-Firewall ist ein häufig unterschätztes Tool zur Abwehr von Cyberangriffsketten und kann die Defense-in-Depth-Ebenen eines Unternehmens sinnvoll ergänzen.
Hier sind einige Beispiele für Firewall-Aktivierungen in verwalteten Umgebungen:
- Erstellen Sie ausgehende Regeln, um anfällige Legacy-Protokolle auf Endpunktebene zu blockieren.
- Blockieren Sie unnötige eingehende Administrationsprotokolle, beispielsweise WinRM und RDP, zwischen Workstation-Ebenen, mit Ausnahme genehmigter Jump Hosts.
- Verwenden Sie per Gruppenrichtlinie erzwungene Regeln, um den Zugriff auf SMB, RDP und WinRM einzuschränken. Dadurch wird verhindert, dass Angreifer gestohlene Anmeldeinformationen oder Tools wie PsExec für laterale Bewegungen verwenden.
Darüber hinaus zählt die Isolierung kompromittierter Systeme durch das Blockieren von Angreiferverkehr über SMB zu den wertvollsten Funktionen. SMB ist ein Protokoll, das häufig für laterale Bewegungen und die Umgehung von MFA missbraucht wird. Außerdem ist die Windows-Firewall ein leistungsstarkes Tool zur Überwachung und Steuerung des Netzwerkverkehrs, sowohl für einzelne Geräte als auch im großen Maßstab bei entsprechender Windows-Firewall-Konfiguration.
4. PowerShell: IT-Bereitstellung und -Überwachung in großem Maßstab
Die Anwendungsfälle, die für die vorherigen drei Tools zur Abwehr von Cyberangriffsketten beschrieben wurden, stützten sich auf die Präventionsfunktionen der jeweiligen Tools, vom Verweigern und Einschränken des Initialzugriffs bis hin zum Blockieren bösartiger Aktivitäten.
Bei PowerShell und dem nächsten Tool liegt ein zusätzlicher Schwerpunkt auf Erkennung und Reaktion. PowerShell kann beispielsweise Befehle ausführen, um fehlgeschlagene Anmeldeversuche zu erkennen, etwa anhand der Event-ID 4625, die typischerweise auf Brute-Force-Angriffe hinweist.
Darüber hinaus kann PowerShell verdächtiges Verhalten oder unautorisierten Remote-Zugriff über Tools wie AnyDesk oder TeamViewer abfragen. Ebenso kann die tiefgreifende Integration in das Betriebssystem herangezogen werden, um verdächtige Autorun-Einträge und geplante Aufgaben zu identifizieren.
Mit einer RMM-Lösung lassen sich zudem Reporting- und Remediation-Maßnahmen über verwaltete Geräte hinweg automatisieren.
5. Autoruns: Bösartige und nicht autorisierte Autostarts identifizieren
Eine der häufigsten Methoden, mit denen böswillige Akteure Persistenz erreichen, besteht darin, bösartige Skripte in der Windows Registry zu platzieren, häufig mit dem Ziel, diese beim Neustart oder beim Auslösen einer Verknüpfung beziehungsweise einer Batch-Datei auszuführen.
Microsoft Autoruns ist das bewährte Standardtool, um anzuzeigen, welche Programme beim Systemstart oder bei der Anmeldung ausgeführt werden sollen. Für die praktische Umsetzung finden Sie hier eine Anleitung dazu, wie Sie Autoruns deaktivieren oder verwenden können, um verdächtige Programme zu prüfen und zu identifizieren.
Schützen Sie Ihr Unternehmen vor Cyberangriffsketten, indem Sie Ihre Software auf dem neuesten Stand halten.
→ Erfahren Sie mehr über die Funktionen von NinjaOne Patch Management
Mehrschichtige Sicherheit etablieren und proaktive Reaktionen fördern
Diese fünf Tools werden das Risiko von Ransomware nicht vollständig beseitigen. Sie tragen jedoch zweifellos dazu bei, Lücken in Ihren Abwehrmaßnahmen zu schließen und Angreifern den Zugriff zu erschweren, indem offensichtliche Schwachstellen reduziert werden.
Wie es häufig heißt: Es geht nicht darum, ob Sie es mit einem Angriff zu tun bekommen, sondern wann. Vor diesem Hintergrund lassen sich diese Tools mit weiteren modernen Cybersicherheitsstrategien kombinieren, um einen einheitlichen und nachhaltigen Ansatz gegen Cyberangriffsketten und Ransomware zu etablieren.
Für einen robusteren und leichter umsetzbaren Aktionsplan können Sie NinjaOne Patch Management einsetzen, um die Sicherheit zu härten, routinemäßige IT-Aufgaben zu automatisieren und mehr Ressourcen für handlungsrelevante Warnmeldungen freizusetzen.
