Ich möchte ein "Red Teaming"
Michael Schneider
Diese konkrete Gefahr geht von priveligierten Windows-Konten aus
Privilegierte Accounts zu schützen ist in der Theorie nicht kompliziert, einige wenige Prinzipen sind zu beachten. In der Praxis sind dann doch viele unterschiedliche Faktoren mit einzubeziehen, um adäquates Handling und Management sicherzustellen. Dabei gibt es einige ganz praktische Massnahmen, welche gewisse Risiken minimieren, die sehr schnell und einfach implementiert werden können. In diesem Artikel sollen eben solche aber auch tiefgreifenderen Konzepte vorgestellt werden.
Wann sind privilegierte Accounts exponiert? Eine Art dies einfach zu erklären wäre: umso “näher” ein privilegierter Account dem Internet ist, umso exponierter ist er. Also mit Domain-Administrator-Rechten auf einem Standard-Client einzuloggen exponiert diesen Account. Die Sicht eines Angriffes ist meist auch von aussen nach innen, also zum Beispiel:
Eine gängige Annahme in der IT-Security ist, dass stehts von einem kompromittierten Client ausgegangen werden muss. Folgend eine grobe Beschreibung von möglichen Aktionen eines Angreifers:
Obige beschrieben Punkte können sehr langsam von statten gehen. Angreifer müssen vorsichtig und “lautlos” vorgehen, um eine allfällige Detektion zu verhindern. Für Schritt 1-5 des Angriffspfads können gut mehrere Monate aufgewendet werden.
Folgend einige Beispiele von exponierten privilegierten Accounts aus der Praxis:
unattended.txt
Domain Administrator Credentials findenMember Of
Beziehung vorhanden sein, sondern auch Beziehungen wie GenericAll
oder AddMember
.Folgend nun einige Konzepte und Praktiken, die als Startpunkt oder Inspiration zur Sicherung der eigenen privilegierten Accounts dienen.
Mit privilegierten Accounts sind nicht nur Administratoren und Domain-Administratoren gemeint. Dazu gehören viele der Service Benutzer sowie Standard Accounts mit Zugriff auf sensitive Daten (Geschäftsleitung und Management, Finanzabteilungen, etc.).
Folgende Prinzipen und Konzepte sollten sich in den Security Policies für Identify and Access Management (IAM) grundsätzlich und Privileged Account Management (PAM) im Spezifischen wiederfinden:
Wer einen umgänglichen Anforderungskatalog für seine Security Policies bezüglich Access Management sucht, kann sich bei den Access Controls AC2, AC3, AC5 und AC6 aus dem Katalog des NIST Cybersecurity Framework bedienen.
Sind interne Weisungen und Policies vorhandenen, müssen diese auch um- und durchgesetzt werden können, ansonsten existiert die “Sicherheit” nur auf dem Papier. Daher gehören auch Prozesse zur Durchsetzung und Kontrolle der Weisungen wie auch Ressourcen für die Implementation und Betrieb stets dazu.
Unangenehm aber nötig ist die Definition über die Handhabung bei Verstössen gegen die Weisung. Es kommt vor, dass sich der eine oder andere IT-Mitarbeiter über die Jahre an Domain-Administrator-Rechte seines normalen Accounts gewöhnt hat und diese nicht gerne abgeben bez. nicht mit mehreren Accounts arbeiten möchte. Nichts destotrotz wird mit den “alten Gewohnheiten” das Risiko respektive die Exponierung von privilegierten Accounts teilweise massiv erhöht.
Microsoft bietet eine umfassende und praktische Dokumentation mit dem Titel Best Practices for Securing Active Directory an. Darin finden sich diverse Kapitel, welche sich mit der Sicherung von Accounts und privilegierten Accounts beschäftigen.
Weitere Microsoft Ressourcen finden sich unter folgenden Links:
Das Studium dieser Lektüre ist empfehlenswert. Unter anderen sind folgende Themen aus den Microsoft-Unterlagen spannend:
Da die Dokumentation von Microsoft sehr umfangreich und weitreichend ist, anbei einige wenige Punkte, die gleich Umgesetzt werde können (Quickwins). In späteren Umsetzungsphasen können den obigen verlinkten Anleitungen von Microsoft im Detail umgesetzt werden.
Sehr starke Passwort Policy (komplexe und keine sprechenden Passwörter, min. 24 Zeichen), für mindestens folgenden Benutzer/Gruppen:
Folgende Group Policy Logon Rights Restrictions verhindern viele der Lateral Movement Techniken:
Deny access to this computer from the network
Deny logon as a batch job
Deny logon as a service
Deny logon locally
Deny logon through Remote Desktop
Weitere Hardening Guides:
Einsatz des Tools Bloodhound für AD. Damit lässt sich in kurzer Zeit ein Bild darüber verschaffen welche Benutzer mit welchen Rechten auf welchem System eingeloggt sind. Damit lassen sich mögliche Angriffspfade und ein entsprechendes Nichteinhalten von internen Richtlinien erkennen, sowie das Erkennen von Schwachstellen an denen nachgebessert werden kann.
Zu Letzt das Thema Logging und Monitoring von privilegierten Account:
Nicht in der obigen Liste geführt wird Netzwerksegmentierung, mindestens zwischen der Client- und Server-Population. Falls nicht vorhanden, ist einiges an Aufwand nötig um dies umzusetzen. Jedoch gehört die Abschottung von den Servern zu den am Internet exponierten Clients zu den Grundpfeilern eines modernen Security-Konzepts.
Priviligierte Benutzer werden in der Praxis noch nicht flächendeckend und ausreichend geschützt. Dadurch werden Angriffe auf eine entsprechende Infrastruktur vereinfacht. Fehlt dazu noch eine adäquates Security Logging und Monitoring, kann eine allfällige Kompromittierung für lange Zeit nicht erkannt werden. Unter Umständen wird so die gesamte Infrastruktur teils fahrlässig exponiert.
Microsoft hat mit ihrer aktuellen Software auf die gängigen Angriffs-Pfade reagiert und umfangreiche Dokumentationen dazu erstellt sowie Funktionen und Tools bereitgestellt, um unter anderem den Missbrauch von privilegierten Accounts zu erschweren. Jedoch sind die Risiken und Lösungen doch noch in einigen Unternehmen nicht bekannt. Abschliessend sind die hier vorgestellten Punkte nicht, aber die Konzepte und Tools können in den gängigen AD-Umgebungen als Startpunkt und Inspiration dienen.
Unsere Spezialisten kontaktieren Sie gern!
Michael Schneider
Marisa Tschopp
Michèle Trebo
Andrea Covello
Unsere Spezialisten kontaktieren Sie gern!