[English]Heute noch ein Sammelbeitrag zur IT-Sicherheit. Fehlkonfigurationen und Standardeinstellungen des Active Directory können die IT-Sicherheit von Unternehmen gefährden. Bastien Bossiroy von den NVISO Labs hat sich Gedanken um dieses Thema gemacht und bereits Ende Oktober 2023 einen Beitrag zu den häufigsten Fehlkonfigurationen/Standardkonfigurationen des Active Directory, die Unternehmen gefährden, veröffentlicht. Zudem ist mir kürzlich ein Hinweis auf "Forest Druid" untergekommen, ein kostenloses Attack-Path-Management-Tool von Semperis.
Anzeige
Risiko Active Directory-Fehlkonfigurierungen
Ich bin die Tage über nachfolgenden Tweet auf diese Information gestoßen. Die Details lassen sich im NVISO Labs-Blog im Beitrag Most common Active Directory misconfigurations and default settings that put your organization at risk nachlesen.
Der Beitrag geht von Administratorkonten, die für die Delegation zugelassen sind (Standardvorgabe im AD), über fehlende AES-Verschlüsselung bei Dienstkonten, die nicht nicht erzwungen wird, bis hin zum Druckspooler, der auf Domänencontrollern aktiviert ist. Auch die Möglichkeit, dass Benutzer Maschinenkonten erstellen können, wird angesprochen. Vielleicht sind ja hilfreiche Hinweise für AD-Administratoren dabei.
Weil es Gerade passt: Mir ist vor einigen Tagen der Beitrag "Microsoft-Netzwerke: Das große Security-Desaster in der IT" von Holger Voges bei den Kollegen von Golem untergekommen. Voges nimmt sich Microsofts Netzwerke vor und zeigt, dass da vieles sicherer sein könnte, wenn Microsoft da bestimmte Funktionen, die an Bord sind, breiter vorstellen und ggf. aktivieren würde. Neben dem Thema LAPS (hatten wir schon mal hier im Blog) kommt auch der Stichpunkt Managed Service Account im Artikel vor. Mit dieser Funktion lassen sich Kerberoasting-Attacken verhindern. Der Artikel dürfte für Admins im Firmenumfeld ganz lesenswert sein (ich hatte dieses Thema bereits hier erwähnt).
Forest Druid: Attack-Path-Management-Tool
An dieser Stelle noch ein weiteres Thema für die Absicherung von Verzeichnisdiensten. Mir liegt bereits seit einigen Wochen eine Meldung von Semperis zu deren Tool Forest Druid vor. Forest Druid ist ein vom Active Directory-Sicherheitsanbieter Semperis kostenlos bereit gestelltes Attack-Path- Analysetool. Dieses unterstützt nun auch Microsoft Entra ID.
Anzeige
Im Gegensatz zu herkömmlichen AD-Attack-Path-Management-Tools, bei denen Security-Fachkräfte eine Vielzahl möglicher Angriffspfade untersuchen müssen, beschleunigt Forest Druid die Analyse, schreibt Semperis. Dies geschieht, indem sich das Tool auf "Tier-0-Assets" – also auf Konten, Gruppen und andere Assets, die direkte oder indirekte administrative Kontrolle über eine AD- oder Entra ID-Umgebung haben – konzentriert. So wird verhindert, dass Angreifer über den Zugriff auf Tier-0-Assets die Kontrolle über das gesamte Netzwerk erlangen.
Zu den neuen Erweiterungen von Forest Druid gehören Einstellungen zur Kontrolle der Datenerfassung von On-Prem- und Cloud-Identitätssystemen sowie neue Steuerungsmöglichkeiten zur Verbesserung des "Defense Perimeter Relationship Graph". Dies ist eine Karte aller Objekte mit privilegierten Beziehungen zu Tier-0-Assets.
Weitere Informationen zu den Tier-0-Angriffspfad-Erkennungsfunktionen von Forest Druid finden sich hier. Forest Druid ist kostenlos zum Download erhältlich.
Anzeige
Warum bekommt Microsoft es seit Windows 2000 wo das AD ja in der Form eingeführt wurde es bis heute nicht fertig sichere Standardeinstellungen einzuführen? Klar es kann auch vom Administrator falsch konfiguriert werden aber wenn er erstmal eine sichere Ausgangskonfiguration hat ist es schon besser.
Tja, frag Microsoft.
Und das betrifft ja nicht nur das AD, sondern Server und auch Windows 2000/XP/Vista/7/7/8.1/10/11.
Auch da ist per Default vieles unsicher.
Mit entsprechender Anpassung (lokale Richtlinien, Registryeinträge) kann man die sehr viel sicherer machen.
Schau mal hier https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/windows-security-baselines
@Andreas, danke.
Verstehe ich den Text richtig?
Microsoft liefert wissentlich, unsicher konfigurierte Systeme aus, gefährdet somit Arbeitsplätze, Unternehmen, Familien und Volkswirtschaften?
Bietet dann aber (gegen Einwurf klingender Münze) ein Security Base Pack an, das das hochkomplexe, undurchschaubare System so sicher einstellt wie man es eigentlich schon im Default erwartet hätte?
Was für eine Dreistigkeit wäre das denn. Das lassen sich die Kunden doch bestimmt nicht gefallen, oder?
Nein Die Baselines sind komplett frei verfügbar und helfen Admins mit den Tools ihre Umgebung zu konfigurieren. Und Default Settings ist halt so eine Geschichte beim einen passt die Konfig beim anderen Nicht. Warum sollten sie vorkonfigurierte Systeme mit GPO's ausrollen wo dann die halbe Welt damit beschäftigt ist das zurück zu bauen. Man erinnere sich an den Aufschrei als sie die Security Defaults angemacht haben im Azure AD und alle rumgeschrien haben man kann ja unmöglich eine MFA für privilegierte Accounts forcen—– Ja genau.
Ah so. Ich lass da nur das Wort "Lizenz" was halt EOT bedeutet, wenn Cheffe da wieder Geld nachfüttern soll.
Hm, gibt es vielleicht schon ein Tool um die Systeme probeweise verschlüsseln zu können um Cheffe klar zu machen, was das bedeutet? Und seien nur die LKW an der Rampe die mangels Materialwirtschaft nicht angefertigt werden können, weil nicht klar ist wo Platz im Lager ist und wie man das da je wiederfinden könnte…
du willst also die Warenwirtschaft deines Arbeitgebers absichtlich sabotieren?
Na das solltes du hier mal versuchen… da hättest nicht nur ne Kündigung sondern wärst danach auch dein Leben lang pleite, so verklagt würdest du werden (und nein Privatinsolvenz hilft dir nicht bei Straftaten).
Ganz einfach: Weil alles auf Convenience ausgelegt sein muss weil sonst der 0815-Admin jammert dass sein ERP von 1990 kein SSO mehr kann. Und von diesen 0815-Admins gibt's einfach viel zu viele.
SSO, ERP, 1990?
Wohl kaum. Das lief damals alles unter einem Account und die Userverwaltung hat man selbst ran gebastelt. Insofern schon SSO :)
Das tauscht man nicht kurzmal.
Das ist ja auch Teil des Dilemmas an MS festgenagelt zu sein.
Insofern ist ein Cyber Tabula Rasa eine Chance.
Vermutlich hat das ERP aber überlebt.
Ein weiteres gutes Tool zur Analyse des AD ist PingCastle. Seitdem ich die Master Class „Active Directory Deep Dive" bei Andy Wendel (absolut empfehlenswerter Trainer!) mitgemacht habe, gehört dieses Tool bei Kunden immer zuerst gestartet ;-)
Ergebnis: "Domain Risk Level: 100 / 100"
Wenn ich das unser IT mitteile, zeigen die mir den Vogel und sagen: "Solche automatischen Tools können nicht mit unserem Azubi-Wissen mithalten".
Und natürlich "Was fällt dir eigentlich ein, unsere Domain zu scannen".
Ich bin lieber ruhig.
Vielen Dank, Frank.
*verneig*…
der
Andy :-)
Ein gutes Tool ist Purple Night von diesem Anbieter – jetzt such in der Version 4.2. Purple Night gefällt mir deutlich besser als Ping Castle
Ich nehme an, Du meinst den Ritter, nicht die Nacht.
Eigentlich ist es egal, welches Tool, solange man sich mal kontinuierlich drum kümmert. Als Windows 2000 AD gestartet hat, hat Niemand von TLS 1.3 oder AES256, SMB3 gesprochen, Heute sollte man idealerweise TLS 1.1 und früher, RC4/MD5 und SMB1 abschalten. Aber das macht Microsoft nur ganz sacht. Siehe https://www.msxfaq.de/windows/sicherheit/windows_security_changes_2023.htm .
Dazu müssen halt erst mal die alten Versionen wirklich out of support sein oder so alt, dass es kaum noch jemand erwischt. Aber es gibt noch sehr viele alte Server und Clients, die das neue nicht können. Dennoch sind es die einfachen Dinge, die ausgenutzt werden.
Daher 100% Go, dass jeder Admin einfach mal die Tools ausführt. Die ersten beiden kosten nichts.
Purple Knight https://www.msxfaq.de/tools/3rdparty/purple_knight.htm
PingCastle https://www.msxfaq.de/tools/3rdparty/ping_castle.htm
Damit arbeite ich mittlerweile lieber (aber $$$)
QS Solutions CSAT
Die Tools sind aber "ReadOnly" und lesen, was jeder DOmainUser und auch jeder Angreifer ermitteln kann. Es gibt noch viel mehr Tools. Der Spruch gilt immer noch:
Die einen wissen, dass Sie kompromittiert sind, die anderen haben es noch nicht gemerkt oder noch vor sich.
ABER: Wer solche Tools einsetzt ohne dass es sein Aufgabenbereich ist, kann schon "auffallen". denn einige Abfragen triggern SIEM-Systeme oder Virenscanner. Als Anwender könnte man das aber z.B. als "Verbesserungsvorschlag" einreichen, nach dem Motto ich habe das hier und dort gelesen und will es nur mal weitergeben.
Wieso darfst Du denn überhaupt so ein Hackertool benutzten?
Willst Du etwa Deine Kollegen kontrollieren?
Ihr habt wirklich ein Problem. In jeder mit Schlangenöl geschmierten Firma hättest Du das gar nicht herunterladen können. Trendmicro hat ja dokumentiert dass auch Cybercriminelle solche Tools nutzen (nmap z.B. ganz böse! da können Scripte gefahren werden! Im schwarzen Bildschirm!) Und meldet sie als PUA. Und geistig stark begrenzte Admis verbieten dann in ihrer panischen Hilflosigkeit natürlich solche Tools…obwohl das nur eine Warnung ist das ein Cyber-Toolpaket verwendet werden könnte, die auch diese Version nutzt…
Es ist so traurig.