So sperren Sie Ihren Active Directory-Passwortzurücksetzungsprozess

Angreifer zielen mit Social-Engineering-Angriffen auf Helpdesks ab, um sich unbefugten Zugriff auf Benutzerkonten zu verschaffen, mit denen sie eine Umgebung kompromittieren oder Ransomware-Angriffe starten können. Wenn dies effektiv geschieht, können sie MFA umgehen und müssen ihre Identität nicht verifizieren. Es ist möglich (und sehr empfehlenswert), eine Lösung zu haben, mit der Helpdesk-Mitarbeiter die Identität von Anrufern genau überprüfen können. Wenn Sie jedoch eine Lösung haben, um Endbenutzer zu verifizieren und Passwörter sicher zurückzusetzen, sollten Sie sicherstellen, dass dies der einzige Weg ist, wie Helpdesk-Mitarbeiter ein Passwort zurücksetzen können.

Wir werden einige Schritte vorstellen, die Sie unternehmen können, um den Passwortzurücksetzungsprozess in Active Directory zu „sperren“. Zunächst ist es wichtig zu verstehen, warum eine Organisation ihren Passwortzurücksetzungsprozess verschärfen möchte. Beginnen wir mit einem kürzlichen Cyberangriff auf MGM Resorts, der die Anfälligkeit von Helpdesks für betrügerische Anrufe und die Bedeutung der Fähigkeit von Servicedesk-Mitarbeitern hervorhebt, die Benutzerverifizierung genau durchzusetzen.

MGM Resorts-Angriff: eine Lektion in Social Engineering

Im September 2023 wurde die Infrastruktur von MGM Resorts von einer Hackergruppe namens Scattered Spider kompromittiert. Die Hacker verschafften sich Zugriff, indem sie Social Engineering einsetzten, um Helpdesk-Mitarbeiter auszutricksen. Es wird vermutet, dass die Gruppe die Informationen eines MGM Resorts-Mitarbeiters auf LinkedIn fand und dann den Helpdesk anrief, wobei sie sich als Mitarbeiter ausgab, der sein Gerät verloren hatte und ein Passwort zurücksetzen musste. Nachdem die Helpdesk-Mitarbeiter dem Angreifer ein temporäres Passwort gegeben hatten, konnten sie einen ersten Fuß in die Umgebung setzen und einen Ransomware-Angriff starten.

Der resultierende Ransomware-Angriff beeinträchtigte den Betrieb von MGM für etwa zehn Tage, bevor der Betrieb wieder normal aufgenommen werden konnte. Später wurde jedoch bekannt, dass die Hackergruppe Zugriff auf die persönlichen Daten der Gäste erhalten hatte, einschließlich Namen, Kontaktinformationen, Sozialversicherungsnummern und andere Informationen. Dieser Angriff unterstreicht die Notwendigkeit für Organisationen, eine Möglichkeit zu haben, die Identität von Benutzern zu überprüfen, die eine Passwortzurücksetzung und andere kontobezogene Informationen benötigen.

Sicherer Servicedesk: Kombinieren Sie Sicherheit mit Benutzererfahrung

Specops Secure Service Desk ermöglicht es Organisationen, die Identität von Endbenutzern, die den Helpdesk für Passwortzurücksetzungen anrufen, effektiv zu überprüfen. Mit Secure Service Desk können Helpdesk-Mitarbeiter einen Einmalcode an eine Mobiltelefonnummer senden, die mit dem Konto des Benutzers verknüpft ist. Es ermöglicht auch die Integration mit gängigen Identitätsdiensten, die möglicherweise bereits verwendet werden, wie Duo Security, Okta und andere. Dies ermöglicht es dem Helpdesk, die Kontrolle über sichere Passwortzurücksetzungen zu übernehmen und die Notwendigkeit durchzusetzen, die Identität von Endbenutzern zu validieren, die Passwortzurücksetzungen und andere Kontooperationen anfordern.

Wenn Helpdesk-Mitarbeiter den Workflow korrekt befolgen, können sie Situationen wie bei MGM Resorts vermeiden, in denen ein Hacker versucht, den Verifizierungsprozess zu umgehen. Wenn Ihre Organisation also bereits ein Tool wie Secure Service Desk verwendet, um die Identität zu validieren, wie können IT-Teams diesen Prozess „sperren“ und die ordnungsgemäße Benutzerverifizierung und sichere Passwortzurücksetzungen durchsetzen?

Durchsetzung der Benutzerverifizierung für Passwortzurücksetzungen

Um Social-Engineering-Szenarien zu vermeiden, müssen Organisationen die Möglichkeit für Servicedesk-Mitarbeiter entfernen, Passwörter außerhalb des ordnungsgemäßen Workflows für die Benutzeridentitätsverifizierung zurückzusetzen. Es sollte nicht möglich sein, dass jemand mit einer Ausrede anruft und den Verifizierungsprozess umgeht. Es gibt einige Schritte, die Sie unternehmen können, um den Prozess in Ihrem Active Directory zu verschärfen.

Active Directory-Gruppen

Integrierte Active Directory Domain Services (AD DS)-Gruppen können Passwörter zurücksetzen. Beispielsweise können Benutzer in den Gruppen „Account Operators“ oder „Domain Admins“ Passwörter zurücksetzen. Servicedesk-Benutzer, die diesen Gruppen hinzugefügt wurden, könnten Passwörter außerhalb der von Specops Secure Service Desk implementierten Workflows zurücksetzen.

Anstatt die integrierten Gruppen in Active Directory zu verwenden, um die Berechtigungen für Passwortzurücksetzungen zu erteilen, ist es besser, benutzerdefinierte Sicherheitsgruppen mit genau den Berechtigungen zu erstellen, die die Helpdesk-Mitarbeiter benötigen. Mit dem integrierten Active Directory Delegation of Control Wizard können Sie in Active Directory detaillierte Berechtigungen zur Ausführung bestimmter Aufgaben erteilen. Unten im Delegation of Control Wizard können Sie Berechtigungen für bestimmte Aufgaben delegieren, einschließlich Ändern der Mitgliedschaft einer Gruppe. Das Erstellen spezifischer Gruppen mit detaillierten Berechtigungen stellt sicher, dass Servicedesk-Mitglieder keine überprovisionierten Berechtigungen haben.

Delegierte Berechtigungen in Active Directory Domain Services

Für Umgebungen, in denen bereits delegierte Berechtigungen vorhanden sind, bevor eine Strategie zur Durchsetzung der Identitätsverifizierung implementiert wird, können Sie PowerShell verwenden, um delegierte Berechtigungen in Active Directory Domain Services (AD DS) zu ermitteln.

1. Öffnen Sie PowerShell mit administrativen Rechten: Um PowerShell-Befehle auszuführen, die mit Active Directory interagieren, benötigen Sie administrative Rechte. Klicken Sie mit der rechten Maustaste auf das PowerShell-Symbol und wählen Sie „Als Administrator ausführen“.
2. Importieren Sie das Active Directory-Modul: Sie müssen das Active Directory-Modul importieren, bevor Sie AD-spezifische Cmdlets verwenden können. Verwenden Sie den folgenden Befehl:
   Import-Module ActiveDirectory
3. Identifizieren Sie das AD-Objekt: Bestimmen Sie den Distinguished Name (DN) oder den Pfad des AD-Objekts (z. B. einer OU), für das Sie die delegierten Berechtigungen überprüfen möchten. Wenn Sie beispielsweise die Berechtigungen einer OU namens „Sales“ überprüfen möchten, suchen Sie deren DN. Sie können dies in AD DS tun, indem Sie sich die erweiterten Eigenschaften des OU-Objekts ansehen.
   
   Abrufen des Distinguished Name für eine AD DS-OU
4. Abrufen der ACL des AD-Objekts: Verwenden Sie das Cmdlet Get-Acl, um die ACL des Objekts abzurufen. Zum Beispiel:
   $acl = Get-Acl -Path "AD:\OU=Sales,DC=yourdomain,DC=com"
5. Analysieren der ACL-Einträge: Die ACL enthält eine Liste von Access Control Entries (ACEs), die die Berechtigungen definieren. Sie können diese Einträge mit Folgendem anzeigen:
   $acl.Access | Format-Table
6. Filtern und Untersuchen der Ergebnisse: Die Ausgabe listet die Sicherheitsprinzipale (Benutzer oder Gruppen) und die zugewiesenen Berechtigungen auf. Sehen Sie sich die delegierten Berechtigungen in der Ausgabe an, z. B. spezifische Rechte, die nicht-administrativen Benutzern oder Gruppen gewährt wurden.
7. Exportieren der Ergebnisse (optional): Wenn Sie die Ergebnisse speichern möchten, können Sie sie in eine CSV-Datei exportieren:
   $acl.Access | Export-Csv -Path „C:\path\to\output.csv“ -NoTypeInformation

Nachfolgend finden Sie ein Beispiel für die CSV-Ausgabe aus dem PowerShell-Export von Zugriffssteuerungslisten für eine bestimmte OU.

Testen Sie Specops Secure Service Desk

Die Überprüfung der Identität für Passwortzurücksetzungsanforderungen von Endbenutzern ist ein Muss, da Angreifer Social Engineering und andere Angriffsvektoren verwenden, um Anmeldeinformationen über Helpdesks zu stehlen. Servicedesk-Mitarbeiter benötigen die richtigen Tools, um die Identität zu überprüfen und zu validieren, dass Benutzer die sind, die sie vorgeben zu sein. Specops Secure Service Desk ist eine großartige Lösung, um dem Helpdesk die Tools zur Verfügung zu stellen, die für eine ordnungsgemäße Identitätsprüfung erforderlich sind.

Organisationen müssen jedoch auch die von Secure Service Desk bereitgestellten Workflows durchsetzen, um sicherzustellen, dass die Identität ordnungsgemäß überprüft wird. Eine ordnungsgemäße Berechtigungsdelegierung und die Überprüfung vorhandener delegierter Berechtigungen sind wichtig, um zu steuern, wer die Berechtigung hat, Benutzerkontopasswörter direkt zurückzusetzen.

Möchten Sie sehen, wie Specops Secure Service Desk in den Helpdesk Ihrer Organisation passen kann? Nehmen Sie Kontakt auf und wir zeigen Ihnen anhand einer Demo und einer kostenlosen Testversion, wie es geht.