Sikkerhedshuller i Active Directory bliver ikke lukket

Ny undersøgelse viser, at virksomheder uanset størrelse undlader at lukke sikkerhedshuller i deres Active Directory, og det gør dem sårbare over for cyberangreb.

Artikel top billede

(Foto: Computerworld)

Af Lars Bennetzen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Der er mange dele af virksomhedens infrastruktur der skal opdateres for at holde de cyberkriminelle fra døren. En af dem er Microsoft Active Directory, der siden introduktionen for 21 år siden har været en integreret del af virksomheder it-infrastruktur.

Men Microsoft Active Directory spiller en særlig rolle, for udover at holde styr på identiteter og roller på netværket er det en åben struktur, og det gør den ekstra sårbar over for angreb. Det er specielt kritisk, for identitetsstyring er ofte den sidste forsvarslinje mod cyberangreb, når netværksperimeteren i vores hyper-forbundne arbejdsverden er forsvundet.

It-sikkerhedsfirmaet Semperis har undersøgt, hvordan virksomheder håndterer sikkerhed i forbindelse med Active Directory. Undersøgelsen dækker 1000 virksomheder, der alle har benyttet Semperis’ gratis værktøj, Purple Knight, til vurdering af AD-sikkerheden.

Kompleksitet og alder

Overordnet set viser undersøgelsen, at store organisationer har problemer med at sikre Active Directory, fordi de har mange ældre applikationer og komplekse it-miljøer, mens virksomheder generelt kæmper med at få styr på indstillinger for individuelle konti. For eksempel er der mange konti med adgangskoder, der aldrig udløber.

"Vi ved, at mange virksomheder ikke har en god forståelse for de Active Directory-eksponeringer, som it-kriminelle kan bruge mod dem. Vores ønske var at give sikkerhedsteams, der ikke har dyb AD-ekspertise, en måde at forstå deres AD-sikkerhedstilstand på – og derefter lukke eventuelle sikkerhedshuller," siger Mickey Bresman, CEO for Semperis, i en meddelelse om lanceringen af det gratis sikkerhedsværktøj.

Den gode nyhed i undersøgelsen er, at virksomheder inden for offentlig infrastruktur samlet set klarer sig langt bedre end alle andre.

Tidligere angreb

I en anden, nyere rapport fra 451 Research sagde analytiker Garrett Bekker alvoren i situationen:

"Directory-tjenester er kernen i de fleste virksomheders it-strategier, og er som sådan missionskritiske aktiver. Det kan få alvorlige konsekvenser, hvis de bliver kompromitteret. Dette har vi allerede lært af det berygtede SolarWinds-angreb på forsyningskæden og Hafnium-angrebet på Microsoft Exchange."

Den fulde Purple Knight-rapport "Facing the Unknown: Uncovering & Addressing Systemic Active Directory Security Failures' kan du læse her, og i den kan du også finde råd til, hvilke skridt du skal tage for at lukke disse huller.

Event: Årets CISO 2026

Sikkerhed | Kongens Lyngby

Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

22 oktober 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S