Falsch konfigurierte Domänencontroller bleiben oft über Jahre unentdeckt. Grund dafür sind meist unerfahrene Systemadministratoren, die bei dem Wort Sicherheit eher an die Firewall oder den Virenschutz denken. Ein gravierender Fehler.
Der Inhalt im Überblick
Der Angriff von innen
Eine Domäne ist ein eigener Sicherheitsbereich in einem Netzwerk mit Richtlinien und Beziehungen, die dann festlegen, welcher User sich mit welchem Passwort anmelden und auf welche Objekte (Benutzer, Ordner, Hardwarekomponenten) zugreifen darf. Mehr zu diesen Basics lesen Sie in unserem Beitrag Active Directory und Domäne – einfach erklärt.
Ohne Änderung der Standardkonfiguration kann ein Domänen-User bis zu 10 Geräte in die Domäne beitreten lassen. Auf diesen Geräten greifen standardmäßig keine speziellen Gruppenrichtlinien, da der Rechner sich beim Beitritt nur in der Organisationseinheit „Computers“ befindet. Der User kann auch den lokalen Administrator nutzen, um von diesen Geräten das Domänennetzwerk anzugreifen.
So können beispielsweise offene Ports gescannt und Pakete mitgelesen werden.
Wer also denkt, ein normaler Domänen-User stellt keine Gefahr dar, irrt sich.
Ein Angreifer kann den Domänencontroller über das LDAP Protokoll auslesen und sich so den einfachsten Weg zu einem privilegierten User anzeigen lassen. Diese Methode kann vollautomatisiert mit Tools wie „Bloodhound“ erfolgen. Bei diesem Angriff lassen sich auch Domain-User finden, die lokale Berechtigungen haben, die eigentlich nicht existieren sollten.
Probleme mit dem Mitlesen
Serviceaccounts sind dabei oft die einfachste Flanke. Ein Serviceaccount liefert immer sein NTLM-Passworthash im Paket mit, das für die Authentifizierung auf einem anderen Server genutzt wird, um einen Dienst mit den Rechten des Users auszuführen.
Diesen Passwort Hash kann man mitlesen und knacken, oder mit der „pass-the-hash“ Methode nutzen, um sich die Rechte des Serviceaccounts anzueignen. Wenn hierbei ein schwaches Passwort genutzt wird und der Serviceaccount auch noch administrative Rechte hat, hat ein Angreifer innerhalb von wenigen Minuten die komplette Kontrolle über die Domäne.
Der unerfahrene Admin
In Zeiten von Passwortmanagern und Multi-Faktor-Authentifizierungen gehören schwache Passwörter der Vergangenheit an. Der Umgang mit diesen Passwörtern hat sich aber in den letzten Jahrzenten nicht viel verändert. Passwörter in „.txt“ Dateien auf dem Desktop sieht man zwar nur noch selten, dafür sieht man die Passwörter immer noch in Gruppenrichtlinien oder Scripts.
Ein beliebtes Problem sind dabei die „Group Policy Preferences (GPP)“. Unerfahrene Mitarbeiter erstellen GPP’s und hinterlassen ihre Domänenadmin Passwörter für erhöhte Rechte. Jeder Domänen-User kann diese Daten aus den GPP’s auslesen. Generell können alle Daten aus dem SYSVOL Verzeichnis eines Globalen Katalogs einer Domäne ausgelesen werden.
Best Practices beachten
Microsoft bietet eine Liste mit bewährten Methoden für die Sicherung von Domänencontrollern an. Wer seine Domäne regelmäßig aufräumt, auf Schwachstellen prüft und nach einer Liste mit bewährten Methoden vorgeht, minimiert das Risiko eines erfolgreichen Angriffs.
Einleitung: „Falsch konfigurierte Domänencontroller bleiben oft über Jahre unentdeckt. Grund dafür sind meist erfahrene Systemadministratoren…“
Sollte das nicht eher „unerfahrene“ heißen?
Vielen Dank für den Hinweis. Wir haben die entsprechende Stelle korrigiert.
Ich bin mir sicher, dass der Autor den Text so schon korrekt verfasst hat. Das unerfahrene Systemadministratoren Fehler machen ist logisch. Die Fehler, die ein vermeintlich erfahrener SysAdmin macht, haben viel weitreichendere Folgen für eine Firma. Die meisten SysAdmins die ich kenne, überschätzen sich und vergessen dabei solche Konfigurationen wie im Text beschrieben. Außerdem folgt im Text eine Überschrift über unerfahrene Admins. Das wäre nicht nötig wenn der gesamte Text über eben solche geschrieben wäre.