
Was ein Angreifer benötigt, sind Zeit und Motivation, um in Ihr Netzwerk einzudringen. Unsere Aufgabe ist es, ihm das zu verwehren oder ihm zumindest das Eindringen so schwer wie möglich zu machen. Es beginnt mit der Identifizierung der Schwachstellen in Active Directory (im Folgenden AD), die ein Angreifer ausnutzen kann, um Zugriff zu erhalten und unbemerkt im Netzwerk zu navigieren. In diesem Artikel werden wir die Risikoinidikatoren untersuchen, die auf bestehende Cybersecurity-Schwächen Ihrer Organisation hinweisen, anhand des AD-Dashboards von Varonis.
Angreifer nutzen bestimmte Konfigurationen im Domänenbereich.
Angreifer verwenden zahlreiche raffinierte Techniken und Schwachstellen, um in das Unternehmensnetzwerk einzudringen und Privilegien zu erhöhen. Einige dieser Schwachstellen beziehen sich auf Domänenkonfigurationen, die nach ihrer Identifizierung leicht verändert werden können.
Das AD-Dashboard benachrichtigt Sie sofort, wenn Sie (oder Ihre Systemadministratoren) das KRBTGT-Passwort im letzten Monat nicht geändert haben oder wenn sich jemand mit dem Standard-Administrator-Konto (Administrator) authentifiziert hat. Diese beiden Konten bieten uneingeschränkten Zugriff auf Ihr Netzwerk: Angreifer werden versuchen, Zugriff darauf zu erhalten, um alle Einschränkungen der Berechtigungen zu umgehen und somit auf alle Daten zuzugreifen, die sie interessieren.
Natürlich können Sie diese Sicherheitsanfälligkeiten auch selbst entdecken: Zum Beispiel, indem Sie eine Erinnerung in Ihrem Kalender einstellen, um diese zu überprüfen, oder ein PowerShell-Skript ausführen, um diese Informationen zu sammeln.
Das Varonis-Dashboard wird automatisch , aktualisiert, um eine schnelle Übersicht und Analyse der wichtigsten Kennzahlen zu gewährleisten, die potenzielle Schwachstellen hervorheben, damit Sie sofortige Maßnahmen ergreifen können, um diese zu beheben.
3 wichtige Risikokennzahlen auf Domainebene
Im Folgenden finden Sie eine Reihe von Widgets, die im Varonis-Dashboard verfügbar sind und deren Verwendung den Schutz des Unternehmensnetzwerks und der IT-Infrastruktur erheblich verstärkt.
1. Die Anzahl der Domänen, für die das Kennwort des Kerberos-Kontos lange Zeit nicht geändert wurde.
Das KRBTGT-Konto ist ein spezielles Konto in Active Directory, das alle signiert. Angreifer, die Zugriff auf den Domänencontroller (DC) erhalten, können dieses Konto verwenden, um ein zu erstellen, das ihnen unbegrenzten Zugriff auf nahezu jedes System im Unternehmensnetzwerk gewährt. Wir haben Fälle erlebt, in denen ein Angreifer nach dem erfolgreichen Erhalt eines Golden Tickets zwei Jahre lang Zugriff auf das Netzwerk des Unternehmens hatte. Wenn das Kennwort des KRBTGT-Kontos in Ihrem Unternehmen in den letzten vierzig Tagen nicht geändert wurde, wird das Widget darüber informieren.
Vierzig Tage sind mehr als ausreichend für einen Angreifer, um Zugriff auf das Netzwerk zu erlangen. Wenn Sie jedoch den Prozess zur regelmäßigen Änderung dieses Kennworts absichern und standardisieren, wird es für den Angreifer erheblich schwieriger, in das Unternehmensnetzwerk einzudringen.

Bitte beachten Sie, dass gemäß der Implementierung des Kerberos-Protokolls durch Microsoft, Sie KRBTGT müssen.
In Zukunft wird dieses AD-Widget erinnern, wenn es an der Zeit ist, das KRBTGT-Passwort für alle Domänen in Ihrem Netzwerk erneut zu ändern.
2. Die Anzahl der Domänen, in denen das integrierte Administratorkonto (Administrator) kürzlich verwendet wurde
Laut — es stehen den Systemadministratoren zwei Konten zur Verfügung: das erste ist für den täglichen Gebrauch, das zweite für geplante administrative Aufgaben. Das bedeutet, dass niemand das Standard-Administratorkonto verwenden sollte.
Das integrierte Administratorkonto wird oft verwendet, um den Prozess der Systemadministration zu vereinfachen. Dies kann zu einer schlechten Gewohnheit führen, deren Ergebnis ein Sicherheitsvorfall sein könnte. Wenn dies in Ihrer Organisation der Fall ist, wird es für Sie schwierig sein, die ordnungsgemäße Nutzung dieses Kontos von potenziell schädlichem Zugriff zu unterscheiden.

Wenn das Widget einen Wert ungleich null anzeigt, bedeutet dies, dass jemand unsachgemäß mit administrativen Konten arbeitet. In diesem Fall müssen Maßnahmen ergriffen werden, um den Zugriff auf das integrierte Administratorkonto zu korrigieren und einzuschränken.
Sobald Sie einen Wert von null im Widget erreicht haben und die Systemadministratoren dieses Konto nicht mehr für ihre Arbeit verwenden, wird jede zukünftige Änderung auf einen möglichen Cyberangriff hinweisen.
3. Anzahl der Domains, in denen die Gruppe der Geschützten Benutzer (Protected Users) fehlt.
Ältere Versionen von AD unterstützten einen schwachen Verschlüsselungstyp – RC4. Hacker haben RC4 vor vielen Jahren geknackt, und es ist für einen Angreifer jetzt eine triviale Aufgabe, ein Konto zu hacken, das immer noch RC4 verwendet. In der Version von Active Directory, die mit Windows Server 2012 eingeführt wurde, kam eine neue Benutzergruppe hinzu, die als Geschützte Benutzer (Protected Users) bezeichnet wird. Diese bietet zusätzliche Schutzmechanismen und verhindert die Authentifizierung von Benutzern mit RC4-Verschlüsselung.
Dieses Widget zeigt an, ob in einer der Domains Ihrer Organisation eine solche Gruppe fehlt, damit Sie dies beheben können, d.h. eine Gruppe geschützter Benutzer aktivieren und sie zum Schutz der Infrastruktur verwenden können.

Einfache Ziele für Angreifer
Benutzerkonten sind das Hauptziel von Cyberkriminellen – vom ersten Eindringen bis zur fortlaufenden Erhöhung der Berechtigungen und dem Verbergen ihrer Aktivitäten. Angreifer suchen nach einfachen Zielen in Ihrem Netzwerk und verwenden dabei grundlegende PowerShell-Befehle, die oft schwer zu erkennen sind. Entfernen Sie so viele dieser leichten Ziele wie möglich aus dem AD.
Angreifer suchen nach Benutzern mit unbegrenzten Passwortablaufdaten (oder die keine Passwörter benötigen), technologischen Konten, die Administratoren sind, und Konten, die alte RC4-Verschlüsselung verwenden.
Jedes dieser Konten ist entweder einfach zuzugreifen oder wird normalerweise nicht überwacht. Angreifer können diese Konten übernehmen und sich ungehindert innerhalb Ihrer Infrastruktur bewegen.
Sobald Angreifer den Sicherheitsperimeter überwinden, haben sie höchstwahrscheinlich Zugang zu mindestens einem Konto. Können Sie verhindern, dass sie auf vertrauliche Daten zugreifen, bevor Sie den Angriff entdecken und beseitigen?
Das Varonis AD-Dashboard weist auf verwundbare Benutzerkonten hin, damit Sie Probleme im Voraus beheben können. Je schwieriger es ist, in Ihr Netzwerk einzudringen, desto höher sind Ihre Chancen, den Angreifer zu neutralisieren, bevor er ernsthaften Schaden anrichtet.
4 wichtige Risikofaktoren für Benutzerkonten
Nachfolgend finden Sie Beispiele für Widgets im Varonis AD-Dashboard, die auf die verwundbarsten Benutzerkonten hinweisen.
1. Anzahl aktiver Benutzer mit Passwörtern, deren Ablaufdatum niemals eintritt
Für jeden Angreifer ist der Zugriff auf ein solches Konto immer ein großer Gewinn. Da das Passwort niemals abläuft, erhält der Angreifer einen dauerhaften Zugriffspunkt im Netzwerk, der dann genutzt werden kann für oder Bewegungen innerhalb der Infrastruktur.
Angreifer verfügen über Listen mit Millionen von Kombinationen aus „Benutzername-Passwort“, die sie bei Angriffen mit gestohlenen Anmeldedaten verwenden. Die Wahrscheinlichkeit, dass die Kombination für einen Benutzer mit einem „ewigen“ Passwort in einer dieser Listen enthalten ist, ist deutlich höher als null.
Konten mit niemals ablaufenden Passwörtern sind zwar einfach zu verwalten, jedoch nicht sicher. Nutzen Sie dieses Widget, um alle Konten zu finden, die solche Passwörter haben. Passen Sie diese Einstellung an und aktualisieren Sie das Passwort.
Sobald der Wert dieses Widgets null erreicht, werden alle neuen Konten, die mit einem solchen Passwort erstellt werden, im Dashboard angezeigt.

2. Anzahl der administrativen Konten mit SPN
2. Anzahl der administrativen Konten mit SPN
SPN (Service Principal Name) – ist eine einzigartige Kennung für eine Serviceinstanz. Dieses Widget zeigt an, wie viele Dienstkonten vollständige Administratorrechte haben. Der Wert im Widget sollte null betragen. SPNs mit Administratorrechten entstehen, da solche Rechte für Softwareanbieter und Anwendungsadministratoren bequem sind, jedoch ein Sicherheitsrisiko darstellen.
Die Gewährung von Administratorrechten an ein Dienstkonto ermöglicht es Angreifern, vollständigen Zugriff auf ein Konto zu erhalten, das nicht aktiv genutzt wird. Das bedeutet, dass sich Angreifer mit Zugriff auf SPN-Konten innerhalb der Infrastruktur frei bewegen können, während sie gleichzeitig der Überwachung ihrer Aktivitäten entgehen.
Dieses Problem kann behoben werden, indem die Berechtigungen für Dienstkonten geändert werden. Solche Konten sollten dem Prinzip der minimalen Rechte unterliegen und nur den Zugriff haben, der für ihre Funktionalität unbedingt erforderlich ist.

Mit diesem Widget können Sie alle SPNs mit Administratorrechten identifizieren, solche Berechtigungen entfernen und anschließend die SPNs entsprechend dem Prinzip des minimalen Zugriffs überwachen.
Neu auftauchende SPNs werden im Dashboard angezeigt, sodass Sie diesen Prozess steuern können.
3. Anzahl der Benutzer, die keine vorherige Kerberos-Authentifizierung benötigen.
Idealerweise verschlüsselt Kerberos das Authentifizierungsticket mit AES-256-Verschlüsselung, die bis heute nicht geknackt werden konnte.
Ältere Versionen von Kerberos verwendeten jedoch RC4-Verschlüsselung, die mittlerweile innerhalb von Minuten geknackt werden kann. Dieses Widget zeigt, welche Benutzerkonten nach wie vor RC4 verwenden. Microsoft unterstützt RC4 weiterhin für die Abwärtskompatibilität, doch das bedeutet nicht, dass Sie es in Ihrem AD verwenden sollten.

Nachdem Sie solche Konten identifiziert haben, sollten Sie das Kontrollkästchen "Kerberos-Authentifizierung nicht erforderlich" in Ihrem AD deaktivieren, damit die Konten komplexere Verschlüsselungen verwenden.
Die eigenständige Erkennung dieser Konten ohne das Varonis AD-Dashboard kann zeitaufwändig sein. In der Praxis ist es eine noch größere Herausforderung, rechtzeitig über alle Konten informiert zu sein, die bearbeitet wurden, um RC4-Verschlüsselung zu nutzen.
Wenn sich der Wert auf dem Widget ändert, kann das auf rechtswidriges Verhalten hindeuten.
4. Anzahl der Benutzer ohne Passwort
Angreifer verwenden grundlegende PowerShell-Befehle, um das Attribut 'PASSWD_NOTREQD' in den Kontoeigenschaften aus Active Directory auszulesen. Die Verwendung dieses Flags bedeutet, dass keine Anforderungen an ein Passwort oder an dessen Komplexität bestehen.
Wie einfach ist es, ein Konto mit einem einfachen oder leeren Passwort zu stehlen? Stellen Sie sich vor, eines dieser Konten ist ein Administrator.

Was ist, wenn eine der tausend vertraulichen Dateien, die für alle zugänglich sind, ein bevorstehender Finanzbericht ist?
Die Ignorierung der verpflichtenden Eingabe eines Passworts ist ein weiterer Shortcut in der Systemadministration, der in der Vergangenheit häufig verwendet wurde, heutzutage jedoch inakzeptabel und unsicher ist.
Beheben Sie dieses Problem, indem Sie die Passwörter für diese Konten aktualisieren.
Die Überwachung dieses Widgets wird Ihnen helfen, in Zukunft die Entstehung von Konten ohne Passwort zu vermeiden.
Varonis gleicht die Chancen aus
Früher nahm die Sammlung und Analyse der in dem Artikel genannten Metriken viele Stunden in Anspruch und erforderte tiefgehende Kenntnisse in PowerShell: Sicherheitsexperten mussten jede Woche oder jeden Monat Ressourcen für solche Aufgaben aufwenden. Doch die manuelle Erfassung und Verarbeitung dieser Informationen bietet Angreifern die Möglichkeit, in Systeme einzudringen und Daten zu stehlen.
E Sie investieren einen Tag, um das AD-Dashboard und zusätzliche Komponenten bereitzustellen, alle besprochenen und viele andere Schwachstellen zu erfassen. Zukünftig wird das Dashboard automatisch aktualisiert, während sich der Zustand der Infrastruktur ändert.
Cyberangriffe sind immer ein Wettlauf zwischen Angreifern und Verteidigern, wobei der Angreifer bestrebt ist, Daten zu stehlen, bevor die Sicherheitsexperten den Zugriff sperren können. Eine frühzeitige Erkennung von Angreifern und deren rechtswidrigen Aktivitäten, kombiniert mit starker Cyberabwehr, ist der Schlüssel zur Sicherung Ihrer Daten.
Quelle: habr.com
