NetCease und NetSess

Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern.
Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern. (© fotohansel - stock.adobe.com)

Angreifer versuchen oft über ältere oder unsichere Server Zugriff auf Netzwerke zu erhalten. Auf den Servern werden dann Informationen zum Netzwerk zusammengetragen, um weitere Angriffe starten zu können. Solche Angriffe lassen sich mit Tools wie NetCease verhindern.

Haben sich Angreifer Zutritt zu einem Server oder Computer im Netzwerk verschafft, sammeln sie in den meisten Fällen Informationen zu Benutzerkonten und zu weiteren Geräten im Netzwerk. Diese Vorgänge werden auch als Reconnaissance (recon) bezeichnet. Besonders kritisch wird es, wenn Administratorkonten ausgespäht werden. Das kann schnell passieren, wenn Angreifer Zugang zu einem unsicheren Server im Netzwerk erhalten.

Um solche Angriffe im Netzwerk zu verhindern, haben zwei Programmierer des Microsoft Advanced Threat Analytics (ATA) Researchteams, Itai Grady und Tal Be’ery mit NetCease ein PowerShell-Skript entwickelt, das notwendige Einstellungen auf Windows-Servern vornimmt, um die Berechtigungen für den Zugriff zu verbessern, und erfolgreiche Hacker-Angriffe zu verhindern.

SMB Session Enumeration verhindern

Tools wie NetSess lesen mit NetSessionEnum die aktiven Sitzungen auf Servern aus.
Tools wie NetSess lesen mit NetSessionEnum die aktiven Sitzungen auf Servern aus. (Bild: Th. Joos)

Mit SMB Session Enumeration lassen sich Informationen von Servern auslesen, auch von Domänencontrollern. Dieses Auslesen setzt kein großes Fachwissen voraus, sondern kostenlose Tools wie NetSess können die vorhandenen Informationen schnell und einfach in der Befehlszeile anzeigen. Das Tool liest problemlos auch Daten von Windows Server 2016 und Rechnern mit Windows 10 aus. Dabei kann der Zugriff nicht nur lokal durchgeführt werden, sondern Anwender können problemlos über das Netzwerk Informationen abrufen. Sobald ein Zugang zum Netzwerk besteht, lassen sich alle vorhandenen Geräte auslesen.

Solche Tools haben die Aufgabe Benutzerkonteninformationen aus dem Netzwerk zu sammeln, auch von anderen Servern und Arbeitsstationen. Mit zusätzlichen Skripten und Programmen erhalten Angreifer so relativ schnell zuverlässige Informationen für weitere Angriffe. Diese Informationen lassen sich von jedem Benutzer auslesen, der sich mit dem internen Netzwerk verbunden hat. Es sind dazu keinerlei besonderen Rechte notwendig. Es lassen sich folgende Informationen auslesen:

  • Die IP-Adressen und Namen der verbundenen Computer
  • Die Benutzerkonten, die sich am Server angemeldet haben
  • Wie lange die Sitzung bereits aktiv ist
  • Wie lange die Sitzung aktiv ist, aber derzeit nicht verwendet wird

Die Rechte für das Abrufen von Informationen per SMB werden über die Registry gesteuert. Die Einstellungen dazu sind über den Pfad „HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/DefaultSecurity“ und hier über den Wert „SrvsvcSessionInfo“ zu sehen. Für diesen Wert sind standardmäßig folgende Berechtigungen eingetragen:

  • Administrators (Administratoren), Security Identifier (Sid) S-1-5-32-544)
  • Server Operators (Sid S-1-5-32-549)
  • Hauptbenutzer (Power Users) (Sid S-1-5-32-547)
  • Authentifizierte Benutzer (Authenticated Users) (Sid S-1-5-11)

Die meisten Angreifer versuchen über die authentifizierten Benutzer Zugriff auf die Informationen des Servers oder der Arbeitsstation zu erhalten.

Netzwerke mit PowerShell-Skript absichern

Solche Informationen sollten natürlich nicht in fremde Hände gelangen, sondern nur durch authentifizierte Personen zugreifbar sein. Mit Bordmitteln ist ein solcher Schutz leider nicht einfach umsetzbar. Daher stellt Microsoft das kostenlose PowerShell-Skript Net Cease zur Verfügung. Bei dem Tool handelt es sich aber nicht um ein offizielles, freigegebenes Tool von Microsoft, sondern ein Werkzeug aus der Microsoft TechNet Gallery.

Das PowerShell-Skript „Net Cease“ passt im Netzwerk die Berechtigungen für den Registrywert „SrvsvcSessionInfo“ an, sodass Anwender die SMB-Informationen nicht mehr so einfach auslesen können. Für die Verwendung von Freigaben ist das auch nicht notwendig.

Das Skript fügt außerdem Berechtigungen für interaktive Zugriffe, Dienstkonten und Batchzugriffe hinzu. Die Anpassungen sind also nicht sehr kompliziert, und lassen sich über Skripte, Anmeldeskripte oder Tools wie System Center Configuration Manager im Netzwerk verteilen. Die angepasste Konfiguration lässt sich mit dem bereits erwähnten Tool „NetSess“ testen. Nachdem Sie das PowerShell-Skript „Net Cease“ ausgeführt haben, erhalten authentifizierte Benutzer über das Netzwerk eine „Zugriff verweigert“-Meldung, wenn sie die Informationen auslesen wollen.

An diesem Punkt kann man sich dann auch vor unbefugten Angreifern warnen lassen. Mittels Microsoft System Center Operations Manager oder auch per PowerShell Skript können Admins sich über den Eintrag im Ereignisprotokoll für den verweigerten Zugriff benachrichtigen lassen.

Skript zur Absicherung ausführen

Net Cease wird in der PowerShell ausgeführt, um Server besser abzusichern.
Net Cease wird in der PowerShell ausgeführt, um Server besser abzusichern. (Bild: Th. Joos)

Zunächst wird das Skript bei Microsoft heruntergeladen. Anschließend wird das Skript einfach auf den Arbeitsstationen und den Servern ausgeführt, zum Beispiel über die Syntax „.\NetCease.ps1“. Das Skript passt den erwähnten Registrywert an. Generell sollte das Skript auf allen Computern im Netzwerk durchgeführt werden, nicht nur auf Domänencontrollern und Dateiservern. Denn die SMB-Informationen lassen sich von allen Servern im Netzwerk auslesen.

Zusätzlich werden die Einstellungen des Wertes aber auch gesichert, sodass er jederzeit wieder rückgängig gemacht werden kann. Dazu legt das Skript einen neuen Wert mit der Bezeichnung „SrvsvcSessionInfoBackup“ an. In diesem werden die Daten und Rechte von „SrvsvcSessionInfo“ gespeichert, um später eine Wiederherstellung durchführen zu können. Eine solche Wiederherstellung ist ebenfalls über Net Cease möglich, sodass einer automatischen Verteilung der Rechte nichts im Wege steht. Der Befehl dazu lautet: .\NetCease.ps1 -revert.

Nach der Ausführung des Skriptes, muss der Systemdienst für den SMB-Zugriff neu gestartet werden, zum Beispiel mit restart-service server -force. Generell kann der Server auch mit restart-computer komplett neu gestartet werden. Besser ist aber ein Neustart des Servers.

Fazit

Administratoren, die eine besondere sichere Umgebung aufbauen und sicherstellen wollen, dass Benutzer im Netzwerk keinen unberechtigten Daten abgreifen können, sollten sich das Skript näher ansehen. Durch die einfache Ausführung, und die Möglichkeit die Einstellungen wieder rückgängig zu machen, ist die Ausführung nicht sehr kompliziert. Vor allem mit Tools wie System Center Configuration Manager, oder bei der Installation neuer Server und Arbeitsstationen ist die Umsetzung relativ einfach möglich. Damit erhalten Unternehmen zwar keine perfekt abgesicherte Umgebung, aber immerhin einen weiteren Schritt zu mehr Sicherheit im Netzwerk.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44765530 / Intrusion-Detection und -Prevention)