Advertorial

Notwendiger denn je: der Schutz von privilegierten Domain Accounts

| Redakteur: Advertorial

Viele Accounts in einem Active Directory verfügen über unnötige oder verwaiste Privilegien, aber jeder Account vergrößert die Angriffsfläche.
Viele Accounts in einem Active Directory verfügen über unnötige oder verwaiste Privilegien, aber jeder Account vergrößert die Angriffsfläche. (Bild: Anna - Fotolia)

Viele Angreifer, die zunächst unentdeckt bleiben, versuchen, an die privilegierten Benutzerkonten in einer Domain zu gelangen. Mit Hilfe einfacher Vorkehrungen und qualifizierter Sicherheitslösungen können Unternehmen wirksame Schutzmaßnahmen umsetzen, die dies verhindern.

Die Angriffsmethode einer Advanced Persistent Threat (APT) zielt häufig auf die Erlangung von Zugriffsrechten und Zertifikaten im Netzwerk ab. Der Angreifer geht Schritt für Schritt vor, um jeweils wertvollere Zugangsdaten und somit größere Zugriffsrechte in der Domain zu erlangen. Das wertvollste Ziel sind die Privilegien des Domain Administrators, um so Zugriff auf den Domain Controller, den wichtigsten Netzwerkserver, zu erhalten. Mit diesen Privilegien kann der Angreifer dann schalten und walten, bis er die vertraulichsten Daten eines Unternehmens erhalten hat.

Für das Unternehmen ist es von wesentlicher Bedeutung, die Zugangsberechtigungen eines Domain Administrators bestmöglich zu schützen und das Vorgehen des Angreifers zu blockieren. Dies kann der Sicherheitsbeauftragte auf zwei Wegen erreichen: Entweder indem er den Diebstahl von Zugangsberechtigungen und Zertifikaten verhindert; oder indem er die Seitwärtsbewegung des Angreifer auf unteren Domain-Ebenen blockiert. Eine Kombination aus aktiven Kontrollen und Aufspürfähigkeiten ist nötig, um den Diebstahl von Zugangsdaten und Rechten zu verhindern und die Angriffsmethode zu entdecken.

Der Pass-the-Hash-Angriff

Bei der Seitwärtsbewegung durch die Domain kann der unbefugte Nutzer mehrere Schwachstellen ausnutzen, um mehr Rechte zu erlangen. Die verbreitetste Schwachstelle ist "Pass-the-Hash". Wenn ein Domain-Nutzern auf einem Windows-Rechner eine interaktive Session startet, werden Passwort-Hash-Codes erzeugt und im Hauptspeicher des Clients abgelegt. Ein Eindringling, der sich auf dem Server eingenistet hat, kann diese Hashcodes aus dem Hauptspeicher des Clients auslesen und sie dazu missbrauchen, sich auf einem anderen Rechner als Domain-User anzumelden. Der Unbefugte, der diese Zugangsdaten verwendet, braucht also nicht einmal das echte Passwort zu kennen.

Schutzmaßnahmen gegen Rechtediebstahl

Viele Accounts in einem Active Directory verfügen über unnötige oder verwaiste Privilegien. Jeder Account vergrößert die Angriffsfläche und sollte aufgespürt, gelöscht oder mit den angemessenen Berechtigungen versehen werden. Des weiteren sollten die Anmeldedaten regelmäßig verändert werden.

Das Beseitigen aller persönlich zugewiesenen Administrations-Accounts ist der nächste Schritt. Das Unternehmen sollte solche Zugangsdaten in einem digitalen Tresor speichern und jeden Zugriff protokollieren. Größtes Augenmerk verlangen Benutzerkonten auf der Ebene von Domain-Admins. Entsprechende Lösungen können automatisiert den gesamten Lebenszyklus aller Accounts verwalten.

Jump-Server nutzen

Als wirksame Schutzmethode hat sich der Einsatz von Proxy-Servern erwiesen. Damit lässt sich verhindern, dass ein – egal ob legitimer oder unbefugter - Nutzer das tatsächliche Passwort zu sehen bekommt. Der Jump-Server, der privilegierte Sessions verwaltet, startet eine Sitzung, ohne dass das Passwort je den Endpunkt des Nutzers erreicht. Gleichzeitig können auch Schädlinge, die sich evtl. auf dem Endpunkt befinden, nicht auf die Serverlandschaft übergreifen.

Die Lösung verbindet den User direkt mit dem von ihm gewünschten Zielrechner. Dabei holt sie die nötigen Zugangsdaten dieses Users aus dem digitalen Tresor und leitet sie direkt an den Zielrechner weiter, der dann den Zugang gewährt. Ein Beispiel für einen solchen Proxy Server wäre der Privileged Session Manager von CyberArk.

Seitwärtsbewegung unterbinden

In der zweiten Phase nach dem Eindringen in ein Netzwerk bewegt sich ein Angreifer im Netzwerk quasi seitwärts, um so möglichst viele und hochwertige Zugangsberechtigungen zu erlangen. Ein einziger so kompromittierter Rechner kann bis zu 80 Prozent der Netzwerkrechner einem Risiko aussetzen. Diesen Vorgang zu stoppen, wäre also eine sehr wirksame Schutzmaßnahme. Ein Diagramm der von einem Rechner infizierbaren anderen Rechner hilft herauszufinden, wo man mit diesem Schutz als erstes ansetzen sollte.

Wenn beispielsweise ein Local Administrator Account in einer Organisation stets mit dem gleichen Passwort versehen ist und der Angreifer dieses per Pass-the-Hash knackt, hat er Zugang zum gesamten Netzwerk. Es ist daher ratsam, jeweils ein einzigartiges Passwort pro lokalem Server-Account zu vergeben. Das gleiche gilt für das turnusmäßige Wechseln des Passworts, damit die im Speicher abgelegten Hashcodes unwirksam werden.

Eine weitere wirksame Maßnahme ist die Begrenzung des Gültigkeitsbereichs von Zugangsdaten, nicht nur auf der gleichen Ebene, sondern zwischen den verschiedenen Ebenen der Workstations, Server und des Domain Controllers. Das bedeutet, dass Zugangsdaten für einen Domain Controller sich nicht auf Server oder Workstations anwenden lassen. Damit kann der Sicherheitsbeauftragte die Ausweitung von Zugriffsrechten wirksam begrenzen. Auch hier kommt es auf die automatisierte Durchsetzung dieser Richtlinie und die transparente Rechteverwaltung durch entsprechend qualifizierte Lösungen an.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43589904 / Zugangs- und Zutrittskontrolle)