https://www.linkedin.com/feed/update/urn:li:activity:6625351188235730945

Gerne möchten wir an dieser Stelle kurz den Hintergrund der einzelnen Maßnahmen erläutern. Kurz deswegen, weil jedes Thema doch etwas Fachwissen und Zeit voraussetzt. Wir möchten hier einen Einblick geben und einen Ansatzpunkt, mit dem man starten kann. Wir unterstützen natürlich aber auch gerne bei der Umsetzung 😊!

• Separate Admin Accounts:
  • Hintergrund: Viele Administratoren arbeiten nach wie vor noch mit hoch privilegierten Benutzern auf der normalen Office Workstation. Wird die Workstation kompromittiert, wie z.B. durch die Zoom-Lücke oben beschrieben, hat der Angreifer postwendend nicht nur auf die Office Workstation, sondern auch auf alle Systeme Zugriff, für die das Benutzerkonto berechtigt ist.
  • Maßnahme: Es hört sich einfach an, ist es auch. Man muss für jeden Administrator mindestens zwei Benutzer anlegen. Einen Benutzer, um „normale“ Office Arbeit, wie z.B. Mails schreiben, surfen, an Meetings teilnehmen etc. zu erledigen und einen oder mehrere administrative Benutzer, um Server oder Applikationen zu verwalten. Das allein erschwert es dem Angreifer ein wenig – dieser muss nun zusätzlich noch eine „privilege escalation“ durchführen – , wirklich sinnvoll wird es aber in Kombination mit anderen Maßnahmen wie einer privilege administrative workstation (PAW).

• Change all non personal passwords
  • Hintergrund: Es ist Standard, dass Benutzer und administrative Konten regelmäßig ihr Passwort ändern müssen. Was ist aber mit den „non personal accounts“ also Service Konten unter denen ein bestimmter Dienst läuft, oder das krbtgt und AD Safemode Passwort des Active Directory Dienstes? In vielen Fällen trauen sich Unternehmen nicht, diese Passwörter regelmäßig zu ändern. Es besteht die Sorge, dass Applikationen oder Scripte danach nicht mehr ordnungsgemäß funktionieren. Erbeutet ein Angreifer z.B. einen Passwort-Hash eines Dienstkontos, kann dieser in einer „Kerberoasting Attacke“ das Passwort in aller Ruhe offline knacken.
  • Maßnahme: Es ist mühsam, aber man muss zwingend Service Konto für Service Konto analysieren und dokumentieren wie das Passwort zu ändern ist. Daneben unterstützen auch einige Applikationen „Group managed service accounts“ bei denen das Active Directory den Passwortwechsel voll automatisiert übernimmt.

• Reduce high privileged service account
  • Hintergrund: Anknüpfend an den oberen Punkt ist ebenfalls zu beachten, dass viele Dienstkonten zu viele Rechte besitzen. Wie oft kommt es vor, dass bei der Erstellung des Service Accounts unklar ist, welche Rechte genau benötigt werden? Gerade in der Vergangenheit wurden dann im Zweifel sogar Domain Admin-Berechtigungen zugewiesen. Dies führt ebenfalls dazu, dass Angreifer nur wenige Konten übernehmen müssen, um in der ganzen Umgebung Berechtigungen zu erlangen.
  • Maßnahme: Ähnlich wie beim Passwortwechsel führt leider kein Weg daran vorbei, Konto für Konto zu analysieren und die Rechte auf das benötigte Minimum zu reduzieren. Sehr aufwendig, aber auch sehr sehr hilfreich!

• Einführung von LAPS
  • Hintergrund: Die „local administrator passwort solution“ (LAPS) ist schnell konfiguriert und ausgerollt und erhöht den Schutz sehr schnell. Denken wir an das Server oder Client Image, das als Vorlage für alle oder die meisten Computer im Unternehmen verwendet wird. Meistens wird für den lokalen Administrator dasselbe Passwort verwendet und wird auch nie mehr geändert. Das Passwort wird oft per GPO oder startup Script gesetzt, welches von allen authentifizierten Benutzern ausgelesen werden kann. Aber unabhängig davon, selbst bei Dienstleistern oder internem Personalwechsel wird das Passwort nicht geändert. Dadurch kennen sehr viele Menschen das lokale Admin Kennwort und benötigen somit nicht mal eine Sicherheitslücke, sondern lediglich Zugang zum System.
  • Maßnahme: Einfach erklärt – LAPS ist kostenlos und ändert das Passwort des lokalen Administrators regelmäßig. Das Passwort wird in einem abgesicherten Attribut des Computerobjekts innerhalb des Active Directories gespeichert. Über ACLs kann man steuern, wer berechtigt ist, das Passwort auszulesen oder eine Änderung zu forcieren. Über PowerShell, ADSI Edit oder eine LAPS GUI können, wenn benötigt, Kennwörter ausgelesen oder geändert werden.

• Einführung eines Tiering Modells
  • Hintergrund: Sicherlich eines der komplexeren Themen in dieser Liste. Dennoch ist die Einführung eines Tiering Modells die Grundlage für ein SAE Projekt bzw. von Microsoft ESAE. Kurz erklärt bedeutet das, dass man seine IT-Systeme klassifiziert und in (in der Regel drei) Layer (Tier0-Tier2) einteilt. Jedes Layer hat einen eigenen Schutzbedarf und wird entsprechend abgesichert.
  • Maßnahme: In unserer SAE Blog Serie gehen wir intensiv auf die Thematik Tiering ein – lest einfach mal rein! – https://www.teal-consulting.de/blog/

• Fine grained password policies
  • Hintergrund: Vor Windows 2008 war es nur möglich, eine Passwort Policy für die ganze Domäne zu definieren. Diese galt somit sowohl für normale Benutzerkonten, Administrator und Service Accounts. Es musste also ein Kompromiss zwischen Sicherheit und Benutzbarkeit gefunden werden. In der Regel resultierte das in eher kurzen Passwörtern mit Blick auf den Endbenutzer. Natürlich können für Administratoren und Service Accounts längere Passwörter verwendet werden. Die Nutzung hängt dann jedoch von der Disziplin der Administratoren ab. Hashes von kurzen Passwörtern sind mit der heute zur Verfügung stehenden Rechenleistung in sehr kurzer zu knacken (8 Zeichen in ~2,5 Stunden)

• • Maßnahme: Mit Windows 2008 wurden Fine Grained Password Policies eingeführt. Damit ist es möglich auf Basis von globalen AD Gruppen unterschiedliche Passwortrichtlinien zu definieren. Ein Beispiel:
    • • Tier 0 Admins: 20 Zeichen, Max Password Age: 60 Tage
      • Tier 1 und 2 Admin:  15 Zeichen, Max Password Age: 60 Tage
      • Service Accounts: 30 Zeichen, Max Password Age: 90 Tage
      • Benutzer: 8 Zeichen, Max Password Age: 90 Tage

    Fine Grained Password Policies werden übrigens mit dem Active Directory Administrative Center oder PowerShell verwaltet.

• PAWs
  • Hintergrund: In vielen Fällen erfolgt die Administration, indem sich die Admins mittels RDP oder PowerShell Remoting von ihrer Workstation mit dem zu administrierenden Server verbinden. Die gleiche Workstation wird zum browsen im Internet und der Email-Kommunikation genutzt. – Siehe auch den ersten Punkt in dieser Liste 😊.
  • Maßnahme: Um die administrative Arbeit auf ein dediziertes System zu verlagern, sollte diese nur durch speziell gehärtete Endgeräte erfolgen. Diese Workstations nennt man auch Priviledged Access Workstation (PAW). PAWs müssen umfassend abgesichert sein:
    • • Nach dem Clean-Source Principle installiert
      • Immer auf dem aktuellen Patchlevel inkl. Firmware
      • Nur die minimal notwendige Software
      • Kein Internetzugang
      • Crediential Guard und AppLocker
      • Schnittstellen deaktiviert
      • 2 Faktor-Authentifizierung / biometrische Authentifizierung
      • Geräte befinden sich in zugangsgesicherten Büros. Mindestens werden sie sicher eingeschlossen, wenn sie nicht verwendet werden.
      • …

• Beschleunigen des Patch- und OS Management Prozess
  • Hintergrund: In den meisten Unternehmen finden sich etliche Versionen von Microsoft Betriebssystemen für Client und Server Systeme. Sicherheitsupdates und neue OS Versionen werden nicht zeitnah, oder ggf. gar nicht ausgerollt. Das hat zur Folge,…:
    • • …dass bekannte Sicherheitslücken nicht zeitnah geschlossen werden.
      • …dass Betriebssysteme nicht mehr von Microsoft unterstützt werden und damit auch keine Sicherheitsupdates mehr für die Version veröffentlicht werden.
      • …dass neue Sicherheitsfeatures, wie z.B. das erzwingen von SMBv3 (unterstützt von Windows 10, Server 2016 oder höher), nicht umgesetzt werden können.
      • …dass keine aktuellen Security Baseline GPOs von Microsoft genutzt werden können.

    Deswegen ist es zwingend notwendig, supportete Betriebssysteme zu verwenden und Updates zeitnah einzuspielen

• • Maßnahme:
    • Patching
      Patchprozesse müssen schlank sein und sicherstellen, dass Sicherheitsupdates kurz nach Veröffentlichung getestet und ausgerollt werden. Beispielsweise gehen immer mehr Unternehmen direkt in die Produktion und rollen dort Patche in mehreren Wellen aus. Zuerst auf einer kleinen Gruppe von Systemen um die Kompatibilität zu testen und dann in immer größer werdenden Chargen. Erst danach oder parallel werden Test- Umgebungen nachgezogen.
    • OS Upgrade
      Unternehmen sollten nicht mit der Aktualisierung warten, bis der Mainstream Support bzw. das Ende des Extended Supports für die eingesetzte Betriebssystemversion abgelaufen ist (oder sogar darüber hinaus). Aktualisierung sollten frühzeitig erfolgen, um neue Security Features zeitnah zu nutzen.

• Implementierung von Device/Credential guard
  • Hintergrund: Tools, wie z.B. Mimikatz extrahieren Passwort Hashes aus dem Windows LSAS Prozess. Hat ein Angreifer den Hash entwendet, kann dieser genutzt werden, um sich im Unternehmen an verschiedenen Diensten anzumelden und ggf. Daten zu stehlen oder Schaden anzurichten. Das haben wir jetzt bereits ein paar Mal in diesem Blog Artikel gelesen, eine weitere technische Maßnahme, die es dem Angreifer schwerer machen kann, ist Device/Credential Guard.
  • Maßnahme: Credential Guard nutzt den Virtual Secure Mode, um einen abgeschotteten Bereich im Speicher zu erzeugen, um Credentials zu speichern. Dieser Speicher ist durch Hardware vor Zugriffen aus dem „normalem“ Speicher geschützt. Credential Guard ist aber kein vollständiger Schutz vor Mimikatz, da Angreifer mit Adminrechten einen eigenen Security Support Provider für Mimikatz oder andere Keylogger installieren können um Credentials bei der Eingabe abzugreifen. Aber wie gesagt, wir machen es etwas schwerer.

• GPO security baseline
  • Hintergrund: Client- und Serversysteme müssen sicher konfiguriert werden. Dies soll verhindern, dass z.B. unsichere Protokolle genutzt werden, oder dafür sorgen, dass Schwachstellen nicht mehr ausgenutzt werden können. Die meisten Unternehmen starten mit den Standard GPOs die bei der AD Installation angelegt wurden (Default Domain Policy, etc.). Nach und nach kommen dann Einstellungen dazu die konkrete funktionale Anforderungen erfüllen. Nur wenige Organisationen nehmen sich die Zeit, die hunderten Einstellungen mit Blick auf Security zu analysieren, um eine sichere Baseline zu schaffen
  • Maßnahme: Microsoft veröffentlicht für aktuelle Windows Betriebssysteme und Office sogenannte Security Baseline GPOs. Die Baseline enthält alle möglichen GPO Einstellungen, eine Erklärung der Einstellung sowie eine Konfigurationsempfehlung. Für Server wird zwischen Member Server und Domain Controller unterschieden. Microsoft wählt dabei nicht immer die absolut sicherste Variante, sondern wägt auch hier zwischen Kompatibilität und Sicherheit ab. Trotzdem können einige der gewählten Einstellungen zu Problemen führen. Deswegen müssen die Einstellungen in einer repräsentativen Testumgebung validiert werden!
    Administratoren können sich bei Microsoft das Security Compliance Toolkit herunterladen. Neben den aktuellen Baselines ist noch ein Tool zum Vergleichen von GPO Einstellungen enthalten. Neben Microsoft gibt es noch weitere Quellen wie z.B. CIS oder BSI, die Empfehlungen zu den Einstellungen geben. Diese Institutionen tendieren in der Regel etwas mehr hin zu Sicherheit als zu Kompatibilität.

All diese Maßnahmen erschweren Angreifern sich im Unternehmen auszubreiten und Schaden anzurichten. Sie können zwar Sicherheitslücken in eingesetzter Software, wie aktuell bei Zoom, nicht verhindern, die Auswirkungen von ausgenutzten Lücken aber erheblich abmildern!

Wir hoffen, dass wir mit den Maßnahmen eine gute Ausgangslage für all die gestressten Administratoren da draußen legen konnten. Wie gesagt, wir helfen gerne bei der Umsetzung oder beraten euch!  Übrigens, wir veröffentlichen mittlerweile auch regelmäßig auf den sozialen Medien Infografiken zu den oben genannten Themen… Schaut einfach mal bei LinkedIN (@Teal Technology Consulting GmbH) oder Instagram (@tealconsulting) vorbei.

LATEST POSTS