Flexible Security for Your Peace of Mind

Sechs Wege, wie Sie die Angriffsfläche Ihres Active Directory reduzieren können

Für Angreifer, die in eine Unternehmensinfrastruktur eindringen, sind Active Directory Domain Services (AD DS) ein äußerst beliebtes Ziel. Um die Sicherheit von Active Directory zu erhöhen, gibt es mehrere Angriffsmöglichkeiten, die Sicherheitsverantwortliche und AD Admins beseitigen sollten. Solche Maßnahmen können Tage oder Wochen in Anspruch nehmen, aber der Aufwand lohnt sich angesichts der Sicherheitsvorteile allemal.

Nachfolgend betrachten wir sechs Möglichkeiten, wie Sie die Sicherheit Ihres Active Directory verbessern können:

  • Schwache und kompromittierte Passwörter
  • Pass-The-Hash-Angriffe
  • Kerberoasting
  • Golden-Ticket-Angriffe
  • DCSync-Angriffe
  • Angriffe auf weniger geschützte, integrierte Services

Schwache und kompromittierte Passwörter

Warum sollte man als Angreifer Zeit damit verschwenden, in eine Umgebung einzudringen, wenn man mit gestohlenen Credentials einfach durch die Vordertür hereinspazieren kann? Schwache Kennwörter können in einer Active Directory-Umgebung zu allerlei Sicherheitsrisiken führen, denn wenn Passwörter in der Umgebung “schwach” sind, können diese von Angreifern mithilfe gängiger Brute-Force-Angriffe leicht erraten oder “geknackt” werden.

Um die Sicherheit zu erhöhen, können Unternehmen problemlos neue Kennwortrichtlinien einführen, um Länge und Komplexität der Kennwörter zu verbessern. Zusätzlich sollten auch gängige Begriffe, Tastenfolgen und benutzerdefinierte Wörterbücher mit organisationsrelevanten Begriffen gesperrt werden. Allerdings müssen auch kompromittierte Passwörter berücksichtigt werden. Selbst die stärksten Passwörter können durch die Mehrfachverwendung von Passwörtern kompromittiert werden. Daher ist es wichtig, das Active Directory kontinuierlich auf kompromittierte Passwörter zu überprüfen und so rechtzeitig die Benutzer aufzufordern, diese zu ändern.

Schlummern kompromittierte Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Pass-the-Hash-Angriffe

Im Gegensatz zu Brute-Force-Angriffen auf Passwörter ist der Pass-the-Hash-Angriff auf die “gehashte” oder kryptografische Form des Passworts ausgerichtet. Clients speichern diesen Wert oft im internen Speicher, der dann von Malware ausgelesen werden kann. Dieser Wert kann dann von Angreifern genutzt werden, um mithilfe des Hash-Wertes anstelle des klartext-Passworts Zugriff auf die Systeme zu erlangen.

Administratoren können hier Abhilfe schaffen, indem sie Endbenutzer veranlassen, längere Kennwörter (mehr als 15 Zeichen) zu erstellen, denn diese werden im sicheren Windows NT-Hash-Format gespeichert. Kennwörter, die kürzer als 15 Zeichen sind, können auch mit einem LAN-Manager-Hash mit geringerer Verschlüsselungsstärke erstellt werden. Bei Neuinstallationen von Active Directory ist der LAN-Manager-Hash jedoch nicht aktiviert. Bei älteren Active Directorys ist er standardmäßig eingeschaltet und muss manuell geändert werden, um ihn auszuschalten. Auch wenn der LAN-Manager-Hash in Active Directory ausgeschaltet ist, können andere Systeme den LAN-Manager-Hash zwischenspeichern. Daher ist die Festlegung einer Mindestkennwortlänge von 15 der einzige sichere Weg, um sicherzustellen, dass sie nirgendwo existieren.

Bei dieser Art von Angriffen gibt es zusätzliche Sicherheitsebenen, deren Implementierung länger dauern kann. Die Einführung von MFA bietet zusätzlichen Schutz, wenn das Passwort kompromittiert wurde. Allerdings sollte man bedenken, dass MFA bei weitem nicht unangreifbar ist. Genauso wichtig ist es, die Endpunktsicherheit zu erhöhen, um die Clients zu schützen und Malware fernzuhalten. Administratoren können auch neue Betriebssystemfunktionen wie virtualization based security (VBS) in modernen Windows-Betriebssystemen einführen. Mit VBS speichert Windows solche Informationen in einem gesonderten Bereich.

Kerberoasting

Kerberoasting ist ein Angriff, der auf Servicekonten in Active Directory Domain Services abzielt. Ein Angreifer führt einen Kerberoasting-Angriff durch, indem er sich zunächst Zugang zum Netzwerk verschafft – dies kann über ein normales Benutzerkonto (auch mit geringen Privilegien) geschehen. Anschließend fordert er beim Key Distribution Center (KDC) in Active Directory ein Service-Ticket für übergeordnete Servicekonten an.

Das KDC antwortet mit einem Ticket für das Dienstkonto, das mit dem Kennwort des Dienstkontos verschlüsselt ist. Der Angreifer kann dann das Dienstkonto aus dem Speicher des lokalen Rechners extrahieren, in den er eingedrungen ist. Nachdem er das verschlüsselte Ticket extrahiert hat, nimmt er es offline und versucht, das Passwort zu ermitteln. Diese Vorgehensweise ist sehr effektiv, da Dienstkonten häufig über hohe Privilegien und Berechtigungen verfügen und ein Angriff auf das Kennwort im Offline-Modus ein geringeres Aufklärungspotenzial hat.

So schützen Sie Ihre Servicekonten vor Kerberoasting:

  • Implementieren Sie strenge Passwortrichtlinien – verwenden Sie auch komplexe und sichere Passwörter für Servicekonten, sodass ein offline Brute-Force-Angriff zu lange dauert und überwachen Sie diese regelmäßig.
  • Ändern Sie die Kennwörter für Dienstkonten regelmäßig. Indem Sie verhindern, dass Konten und Kennwörter zu “alt” werden, verringern Sie die Wahrscheinlichkeit, dass ein Angreifer ein vorher erbeutetes Ticket verwenden kann.
  • Überwachen Sie das Netzwerk auf Anfragen für Servicekonten – achten Sie auf ungewöhnliche Muster bei den Anfragen für Servicekonten.
  • Stellen Sie sicher, dass Passwortrichtlinien auf veraltete, verwaiste und inaktive Konten sowie auf aktive und besonders privilegierte Konten angewendet werden.

DCSync-Angriffe

Domänencontroller, die Active Directory-Domänendienste hosten, synchronisieren Änderungen durch Replikation. Ein Angreifer kann diesen Replikationsprozess eines Domänencontrollers imitieren. Sie tun dies, indem sie die GetNCChanges-Anfrage verwenden, um Anmeldeinformations-Hashes vom primären Domänencontroller zu erfassen. Mit frei verfügbaren und quelloffenen Tools wie Mimikatz lässt sich dieser Angriff leicht durchführen.

Verteidigungsmaßnahmen gegen DCSync-Angriffe:

  • Stellen Sie sicher, dass Sie strenge Sicherheitsregeln für Domänencontroller haben.
  • Bereinigen Sie Ihr Active Directory von veralteten und inaktiven Konten, einschließlich solcher, die für Services verwendet werden.
  • Überwachen Sie Änderungen an Domänengruppen und andere damit verbundene Aktivitäten

Ähnlich wie beim Kerberoasting wird der Schutz vor DCSync-Angriffen im Laufe der Zeit einen mehrschichtigen Ansatz erfordern. Sie müssen Sicherheitsprotokolle für Ihren Domänencontroller implementieren und Active Directory überprüfen, um wichtige und nicht mehr benötigte Konten zu identifizieren. Der Specops Password Auditor hilft Ihnen dabei, solche Konten aufzuspüren.

Golden-Ticket-Angriffe

Bei einem Golden-Ticket-Angriff erlangt ein Eindringling den NTLM-Hash des Active Directory Key Distribution Service-Kontos (KRBTGT). Mit dem Zugriff auf das KRBTGT-Kennwort kann der Angreifer sich selbst und andere autorisieren, Tickets zu erstellen. Dieser Angriff ist schwer zu erkennen und kann zu einer lang anhaltenden Gefährdung des Netzwerks führen.

Maßnahmen zum Schutz vor Golden-Ticket-Angriffen:

  • Regelmäßige Aktualisierung des KRBTGT-Kontopassworts, idealerweise mindestens alle 180 Tage
  • Implementierung und Umsetzung einer least-privilege policy in Ihrem Active Directory. Die Einführung solch einer Strategie kann mehrere Phasen erfordern, um sie korrekt umzusetzen
  • Sorgen Sie über Ihre Passwortrichtlinie für die Vergabe robuster und sicherer Passwörter.

Angriffe auf weniger geschützte, integrierte Services

Unternehmen verfügen möglicherweise über legacy Anwendungen mit schwacher AD-Integration, die fest codierte Anmeldeinformationen, schwache Verschlüsselungsmethoden, schwache Netzwerksicherheitsprotokolle oder eine andere riskante Softwarearchitektur verwenden. All dies könnte Hackern die Möglichkeit bieten, in ihr Active Directory einzudringen. Bedenken Sie jedoch, dass die Sanierung von geschäftskritischen Legacy-Anwendungen ein umfangreiches Unterfangen sein kann, das unter Umständen Monate oder länger dauert.

Anwendungen müssen unter Umständen überarbeitet oder gänzlich ersetzt werden, was sich als schwierig erweisen kann. Ein korrektes Verständnis der bestehenden Software-Landschaft durch eine ordnungsgemäße Prüfung ist unerlässlich. Danach müssen Unternehmen entscheiden, ob die Sicherheitsrisiken ein Refactoring oder eine Neuentwicklung von Anwendungen rechtfertigen. Ist dies nicht möglich, kann die Implementierung anderer Sicherheitsvorkehrungen zur Risikominderung eine Option sein.

Passwortsicherheit, der rote Faden?

Das Verständnis der Angriffsmöglichkeiten auf Active Directory ist für Unternehmen, die es verwenden, von wesentlicher Bedeutung. Zwar lassen sich einige Angriffstechniken schneller vereiteln als andere, doch einer der wichtigsten Schritte zum Schutz vor den meisten Angriffen besteht darin, die Sicherheit der Passwörter von Accounts zu erhöhen.

Sie werden bemerkt haben, dass aus der Sicht eines Hackers der Schlüssel zu vielen dieser Angriffe darin besteht, zunächst über ein Konto in Ihrem Unternehmen Fuß zu fassen. Der einfachste Weg, dies zu tun, ist die Ausnutzung eines schwachen oder kompromittierten Passworts.

Mit Specops Password Policy können Sie in kürzester Zeit starke Passwortrichtlinien einführen, die über die Standardeinstellungen von Active Directory hinausgehen. Außerdem wird Ihr Active Directory kontinuierlich auf über 4 Milliarden bekannte kompromittierte Passwörter gescannt. Gerne beraten unsere Experten Sie darüber, wie eine Umsetzung von Specops Password Policy in Ihrer Active Directory-Umgebung aussehen könnte.

Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 28/02/2024)

Zurück zum Blog