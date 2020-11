Best Practices Active-Directory-Security (1)

Active-Directory-Umgebungen stehen häufig im Fokus von Angreifern und Hackern. Sobald auf einem PC in der Domäne eine Malware Anmeldedaten abgreifen kann, besteht die Gefahr, dass die ganze Active-Directory-Umgebung übernommen wird. Im ersten Teil der Workshopserie erklären wir die Hintergründe zu Active-Directory-Angriffen und zeigen, wie Sie Administratorkonten umsichtig einsetzen.

Um die Sicherheit im Active Directory zu verbessern, sind keine teuren Zusatztools notwendig.

Vor allem Konten mit erhöhten Rechten und Administratorkonten stehen häufig im Fokus der Angreifer. Um das Active Directory optimal abzusichern, sollten sich kleine und mittelständische Unternehmen an Enterprise-Umgebungen orientieren, die in den meisten Fällen für deutlich mehr Sicherheit in der Active-Directory-Umgebung sorgen. Microsoft gibt derweil ausführliche Anleitungen für die Absicherung von Active-Directory-Umgebungen. Im TechNet [1] zeigt das Unternehmen, welche Schritte durchgeführt werden sollten, um das Active Directory möglichst sicher zu betreiben.



Hintergrund zu Active-Directory-Angriffen

Wenn Angreifer in ein Netzwerk eindringen, geschieht das normalerweise über einen einzelnen Endpunkt. Sobald dieser Endpunkt, zum Beispiel ein unsicherer PC, Server, Router oder ein anderes Netzwerkgerät, übernommen wurde, gilt es, Informationen über das Netzwerk zu sammeln. Denn nur mit ausreichend Informationen kann ein Angreifer auch das Netzwerk effizient ausspähen sowie weitere Angriffe durchführen.



Vor allem das Auffinden von Administratorkonten im Netzwerk ist dabei ein wichtiger Schritt. Denn sobald ein Angreifer einmal Zugang zum Netzwerk erlangt hat und auf privilegierte Benutzerkonten zugreifen kann, besteht höchste Gefahr. Sobald ein solches Konto übernommen wurde, zum Beispiel durch einen Pass-the-Hash-Angriff (PtH), lässt sich im Netzwerk nahezu unbeobachtet mit den Rechten des übernommenen Kontos Schaden anrichten.



Pass-the-Hash-Angriffe zielen direkt auf Benutzerkonten im Active Directory. Hier sind natürlich vor allem Benutzerkonten mit privilegierten Rechten interessant. Dabei kann es sich um Administratorkonten handeln, aber auch um Benutzerkonten, die zum Beispiel das Recht erhalten haben, Benutzerkennwörter zu ändern. Auf diesem Weg können sich Angreifer weitere Zugänge verschaffen. PtH-Angriffe setzen dabei nicht nur auf die Kennwörter der Benutzer, sondern auf die Hashes, die einem Benutzerkonto nach der Authentifizierung zugewiesen werden. Einfach ausgedrückt handelt es sich dabei um Eintrittskarten in das Active Directory.



Sobald ein Angreifer ein Benutzerkonto im Active Directory oder der Benutzerverwaltung eines Servers kennt, kann er versuchen, mit PtH-Angriffen an einen Hash des Zugangs zu kommen, auch ohne das Kennwort selbst zu kennen. Der Vorgang zielt also nicht darauf ab, Kennwörter zu hacken oder den Hash zu entschlüsseln. Angreifer wollen vielmehr den Hash übernehmen und damit die Rechte des entsprechenden Kontos. Gelingt dies, kann ein Angreifer problemlos mit Adminrechten im Netzwerk agieren. Besonders gravierend ist das in Umgebungen mit Single Sign-On (SSO). Denn bei entsprechender Konfiguration kann ein Angreifer den Hash nicht nur dazu verwenden, um Schaden im lokalen Netzwerk anzurichten, sondern kann auch auf andere Dienste zugreifen, zum Beispiel in der Cloud. Hybridumgebungen mit Microsoft Azure oder Office 365 sind hier besonders gefährdet.