Unberechtigte Zugriffe auf sensible Daten verhindern

Risikominderung bei Pass-the-Hash-Angriffen

| Redakteur: Stephan Augsten

„Pass the Hash“-Attacken erlauben es, auch ohne Kenntnis des Passworts in sensible Systeme vorzudringen.
„Pass the Hash“-Attacken erlauben es, auch ohne Kenntnis des Passworts in sensible Systeme vorzudringen. (Bild: Archiv)

Das beste Passwort ist nutzlos, wenn sich sein Hashwert aus Betriebssystemprozessen auslesen und später auch an diese übergeben lässt. Solche Pass-the-Hash-Attacken haben in den vergangenen Jahren zugenommen. Dell erläutert wichtige Maßnahmen, um solche Attacken zu verhindern oder zumindest den Schaden zu reduzieren.

Jedes System, das die Microsoft-eigenen Sicherheitsprotokolle von LAN Manager (LM) und NT LAN Manager (NTLM) nutzt, ist anfällig für Pass-the-Hash-Angriffe. Aufwendige Brute-Force- und Wörterbuch-Angriffe oder gar eine Entschlüsselung des eigentlichen Passworts sind damit überflüssig.

Hacker können sich bei LM- und NTLM-basierten Servern mithilfe des Hashwerts eines Benutzer-Passworts authentifizieren. Je nachdem, über welche Berechtigungen das geknackte Benutzerkonto verfügt, kann der Angreifer anschließend auf mehr oder weniger kritische Daten zugreifen.

Zahlreiche Exploits und laufende Applikationen in Windows lassen sich für Pass-the-Hash-Attacken nutzen. Dell hat ein halbes Dutzend Tipps parat, wie man die Informationen besser schützt.

Sicherheitsprotokolle aktualisieren

Beim Microsoft LAN Manager (LM) und dem NT LAN Manager (NTLM) handelt es sich um veraltete Protokolle, die allerdings noch oft benutzt werden. Wichtig ist daher eine Aktualisierung auf NTML Version 2, die die Sicherheit deutlich verbessert.

Einem normalen Account niemals Admin-Rechte einräumen

Auch Administratoren sollten sich die Mühe machen, einen normalen Account für Alltagsarbeiten zu nutzen und die privilegierten Accounts nur dann zu verwenden, wenn sie wirklich benötigt werden. Im Zweifel heißt das, sich mehrmals am Tag an- und abzumelden; das ist der Preis für eine deutlich erhöhte Sicherheit.

Ein getrenntes System für Admin-Arbeiten nutzen

Ein eigener Rechner für den privilegierten Betrieb sollte stets auf dem neuesten technischen Stand sein, die letzten Betriebssystem-Versionen und alle notwendigen Patches eingespielt haben, strengen Sicherheits-Richtlinien genügen und auch Ethernet-Kabel statt WLAN-Zugang nutzen. Das sind einige der Maßnahmen, die das System deutlich sicherer machen.

Keine E-Mails in Admin-Benutzerkonten

E-Mails sind Scheunentore für Angriffe jeder Art. Es muss sichergestellt sein, dass kein Administrator-Account über ein Exchange- oder sonstiges E-Mail-Konto verfügt.

Besonders starke Passwörter für privilegierte Accounts

Ein Passwort mit mindestens 15 Zeichen und Sonderzeichen sollte verwendet werden, weil der LM-Hash im Vergleich zu anderen Hashwerten sehr schwach ist. Auch ist ein Passwort häufiger zu erneuern.

Speichern des LM-Hashwerts verhindern

Die Speicherung des LM-Hashwerts in lokalen oder Active-Directory-Datenbanken lässt sich unterbinden, indem die NoLMHash-Richtlinien implementiert werden. Weitere Informationen sind dazu finden sich im Eintrag KB299656 der Support-Datenbank von Microsoft.

Im Rahmen der Tipps weist Dell nicht ganz uneigennützig darauf hin, dass auch Privileged Account Manager helfen können. Installiert auf gehärteten Appliances bieten sie eine zusätzliche Sicherheitsschicht, indem sie die Passwortvergabe an Administratoren automatisieren, kontrollieren und verwalten. Damit beugen sie Attacken oder Systemmodifikationen auf Betriebssystem-, Datenbank- oder System-Ebene vor.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43000701 / Server)