Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Passwort Reset via Active-Directory – Aber sicher!
Mit Social Engineering-Angriffen zielen Angreifer besonders auf IT-Helpdesks ab, um sich unbefugt Zugang zu Benutzerkonten zu verschaffen, mit denen sie die IT-Infrastruktur kompromittieren oder Ransomware-Angriffe starten können. Oftmals gelingt es ihnen dadurch, MFA Schutzmaßnahmen und eine Authentifizierung zu umgehen. Um solchen Angriffen vorzubeugen, ist es möglich (und empfehlenswert), eine Lösung einzurichten, mit der Helpdesk-Mitarbeiter die Identität von Anrufern genau überprüfen können. Wenn Sie jedoch bereits eine Lösung zur Verifizierung von Endbenutzern und zum sicheren Zurücksetzen von Kennwörtern haben, sollten Sie sicherstellen, dass Ihre Helpdesk-Mitarbeiter nur auf diese Weise ein Kennwort zurücksetzen können.
Dazu ist es zunächst wichtig zu verstehen, warum eine Organisation diesen Prozess verbessern möchte. Der kürzlich erfolgte Cyberangriff auf MGM Resorts verdeutlicht, wie anfällig Helpdesks für Betrugsversuche sind und wie wichtig es ist, dass Service-Desk-Mitarbeiter in der Lage sind, die Verifizierung von Usern konsequent durchzusetzen.
Social Engineering-Angriff auf MGM Resorts
Im September 2023 wurde die Infrastruktur von MGM Resorts von einer Hackergruppe namens Scattered Spider angegriffen. Der initiale Zugang wurde durch einen, mithilfe von Social Engineering überlisteten, Helpdesk-Mitarbeiter ermöglicht. Vermutlich fand die Gruppe die dazu nötigen Informationen über einen MGM Resorts-Mitarbeiter auf LinkedIn und rief dann beim Helpdesk an, wo sie sich als eben dieser Mitarbeiter ausgab, der sein Gerät verloren habe und ein neues Passwort benötige. Nachdem die Helpdesk-Mitarbeiter den Angreifern ein temporäres Passwort gegeben hatten, konnten sie in der Umgebung Fuß fassen und einen Ransomware-Angriff starten.
Der daraus resultierende Ransomware-Angriff und die durchgeführten Gegenmaßnahmen beeinträchtigten den Betrieb von MGM für etwa zehn Tage, ehe der Normalbetrieb wiederhergestellt werden konnte. Allerdings konnten die Angreifer, wie sich später herausstellte, bereits auf persönliche Daten der Gäste zugreifen, darunter Namen, Kontaktinformationen, Sozialversicherungsnummern und weitere Informationen. Solch ein Vorfall unterstreicht, wie wichtig es für Unternehmen ist, die Identität von Usern am Helpdesk zu verifizieren, ehe deren Passwörter zurückgesetzt oder andere kontobezogene Informationen ausgetauscht werden.
Specops Secure Service Desk: Sicherheit und Benutzerfreundlichkeit
Specops Secure Service Desk ermöglicht es Unternehmen, die Identität von Endbenutzern, welche den Helpdesk anrufen, um ihr Passwort zurückzusetzen, effizient zu kontrollieren. Beispielsweise können Mitarbeiter des Helpdesks mit Secure Service Desk einen einmaligen Code an eine mit dem Benutzerkonto verknüpfte Mobilfunknummer senden. Die Lösung ermöglicht auch die Integration in übliche Identitätsservices, wie Duo Security, Okta und weitere. Somit kann der Helpdesk einen sicheren Passwort Reset, oder andere Änderungen am Account anstoßen nachdem der Antragssteller sicher verifiziert wurde.
Mit dieser Unterstützung können Ihre Helpdesk-Mitarbeiter Situationen wie bei MGM Resorts vermeiden. Wenn Ihr Unternehmen nun bereits ein Tool wie Secure Service Desk zur Identitätsüberprüfung einsetzt, wie können IT-Teams diesen Prozess absichern und eine zuverlässige Verifizierung der Benutzer sowie sichere Passwort-Resets umsetzen?
Benutzerverifizierung für Passwort Resets erzwingen
Um Social-Engineering-Szenarien zu vermeiden, müssen Unternehmen den Service-Desk-Mitarbeitern die Möglichkeit nehmen, Passwörter außerhalb des vorgeschriebenen Prozesses zurückzusetzen. Es darf nicht möglich sein, dass jemand, egal wie plausibel die Ausrede ist, anruft und den Verifizierungsprozess umgeht. Um den Prozess in Ihrem Active Directory zu sichern, können Sie einige Maßnahmen umsetzen.
Active Directory-Gruppen
Die in Active Directory Domain Services (AD DS) enthaltenen Gruppen können Passwörter zurücksetzen. So können beispielsweise Benutzer in den Gruppen Account Operators oder Domain Admins Passwörter zurücksetzen. Service Desk-Benutzer, die zu diesen Gruppen hinzugefügt werden, können Passwörter außerhalb der von Specops Secure Service Desk implementierten Workflows zurücksetzen.
Anstelle der vordefinierten Gruppen in Active Directory sollte man lieber benutzerdefinierte Sicherheitsgruppen für die Helpdesk Mitarbeiter erstellen, die genau die erforderlichen Berechtigungen haben. Mit dem integrierten Assistenten für die Delegation der Kontrolle in Active Directory können Sie bestimmte Aufgaben granular vergeben. Mit dem Delegation of Control Wizard können Sie Berechtigungen für bestimmte Aufgaben vergeben, z. B. für die Änderung der Mitgliedschaft einer Gruppe. Durch das Erstellen spezifischer Gruppen mit granularen Berechtigungen wird sichergestellt, dass Service Desk-Mitglieder nicht übermäßig viele Berechtigungen haben.
Delegation von Berechtigungen in Active Directory-Domain Services
In Umgebungen, die bereits über zugewiesene Berechtigungen verfügen, können Sie mit PowerShell delegierte Berechtigungen in Active Directory-Domain Services (AD DS) ermitteln.
- Öffnen Sie PowerShell mit Administratorberechtigungen: Um PowerShell-Befehle auszuführen, die mit Active Directory interagieren, müssen Sie über Administratorrechte verfügen. Klicken Sie mit der rechten Maustaste auf das PowerShell-Symbol und wählen Sie “Als Administrator ausführen”.
- Importieren Sie das Active Directory-Modul: Sie müssen das Active Directory-Modul importieren, bevor Sie AD-spezifische Cmdlets verwenden können. Verwenden Sie den folgenden Befehl:
Import-Module ActiveDirectory - Identifizieren Sie das AD-Objekt: Ermitteln Sie den Distinguished Name (DN) oder den Pfad des AD-Objekts (z. B. einer OU), für das Sie die zugewiesenen Berechtigungen überprüfen möchten. Wenn Sie z. B. die Berechtigungen einer OU mit dem Namen “Sales” prüfen möchten, müssen Sie deren DN ermitteln. Das können Sie in AD DS tun, indem Sie sich die erweiterten Eigenschaften des OU-Objekts ansehen.
- Ermitteln Sie den ACL des AD-Objekts: Verwenden Sie das Cmdlet Get-Acl, um die ACL des Objekts abzurufen. Zum Beispiel:
$acl = Get-Acl -Path “AD:\OU=Sales,DC=yourdomain,DC=com” - Analyse der ACL-Einträge: Die ACL enthält eine Liste von Zugriffskontrolleinträgen (ACEs), die die Berechtigungen definieren. Sie können diese Einträge mit folgendem Befehl anzeigen:
$acl.Access | Format-Table - Filtern und Auswerten der Ergebnisse: In der Ausgabe werden die Security Principals (Benutzer oder Gruppen) und die zugewiesenen Berechtigungen aufgelistet. Schauen Sie sich die delegierten Berechtigungen in der Ausgabe an, z. B. bestimmte Rechte, die nicht-administrativen Benutzern oder Gruppen zugewiesen wurden.
- Export der Ergebnisse (optional): Wenn Sie die Ergebnisse speichern möchten, können Sie sie in eine CSV-Datei exportieren:
$acl.Access | Export-Csv -Path “C:\path\to\output.csv” -NoTypeInformation
Nachfolgend sehen Sie ein Beispiel für die CSV-Ausgabe des PowerShell-Exports von Zugriffskontrolllisten für eine bestimmte OU.
Specops Secure Service Desk in der Praxis
Die Verifizierung von Anfragen zum Passwort Reset ist ein Muss, da Angreifer Social Engineering und andere Angriffsvektoren nutzen, um Zugangsdaten mithilfe von Helpdesks zu stehlen. Mitarbeiter im Service Desk benötigen die richtigen Tools, um die Identitäten effektiv zu prüfen, um sicherzustellen, dass die Benutzer die sind, die sie vorgeben zu sein. Specops Secure Service Desk stellt hierzu dem Helpdesk die notwendigen Werkzeuge zur Verfügung.
Allerdings müssen Unternehmen auch die von Secure Service Desk bereitgestellten Workflows implementieren, um sicherzustellen, dass die Identität ordnungsgemäß überprüft wird. Eine geeignete Vergabe von Berechtigungen und die Prüfung bestehender Berechtigungen sind wichtig, um zu verhinder, dass sich doch noch Workarounds in die Prozesse einschleichen.
Gerne zeigen wir Ihnen, wie Specops Secure Service Desk in den Helpdesk Ihres Unternehmens integriert werden kann. Setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen in einer kostenlosen Demo und Testversion, wie Sie Ihren Helpdesk vor Social Engineering Angriffen schützen können.
(Zuletzt aktualisiert am 05/02/2024)