{"id":265115,"date":"2022-05-08T01:21:22","date_gmt":"2022-05-07T23:21:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265115"},"modified":"2022-05-08T23:24:09","modified_gmt":"2022-05-08T21:24:09","slug":"schatten-administratoren-die-permanente-gefahr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/08\/schatten-administratoren-die-permanente-gefahr\/","title":{"rendered":"Schatten-Administratoren, die permanente Gefahr"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>Unternehmen laufen st\u00e4ndig Gefahr, sicherheitstechnisch durch unerkannte sogenannte Schatten-Administratoren besonders gef\u00e4hrdet zu sein. Kompromittiert ein Hacker ein Schatten-Admin-Konto, stellt dies ein hohes Risiko f\u00fcr die Unternehmenssicherheit dar, da der Angreifer damit weitere privilegierte Konten kapern kann, um auf deren Zielsysteme zuzugreifen und diese zu gef\u00e4hrden. Die Identifizierung von Schatten-Admins und die Einschr\u00e4nkung ihrer Berechtigungen ist jedoch keine einfache Aufgabe.<\/p>\n<p><!--more--><\/p>\n<h2>Was sind Schatten-Administratoren?<\/h2>\n<p>Als Schatten-Administratoren werden Benutzerkonten mit zu hohen Berechtigungen bezeichnet. Diese k\u00f6nnen versehentlich zugewiesen worden, oder im Rahmen bestimmter Ma\u00dfnahmen gezielt eingerichtet worden sein. Die Anwendung, die ohne Administratorrechte nicht l\u00e4uft, schon bekommt der Nutzer ein Schatten-Admistrator-Konto. Oder ein Mitarbeiter, der als Administrator ausgeschieden ist, dessen Benutzerkonto aber weiterhin administrative Berechtigungen besitzt.<\/p>\n<p>Kompromittiert ein Hacker ein Schatten-Admin-Konto, stellt dies ein hohes Risiko f\u00fcr die Unternehmenssicherheit dar. Angreifer haben die M\u00f6glichkeit, \u00fcber das Konto eines geknackten Schatten-Administrators weitere privilegierte Konten kapern, um auf deren Zielsysteme zuzugreifen und diese zu gef\u00e4hrden. <\/p>\n<h2>Beispiele f\u00fcr Schatten-Administratoren<\/h2>\n<p>Die Identifizierung von Schatten-Admins und die Einschr\u00e4nkung ihrer Berechtigungen ist jedoch keine einfache Aufgabe. Im Folgenden beleuchtet <em>Martin Kulendik, Regional Sales Director DACH bei Silverfort<\/em>, wie Schatten-Administratoren entstehen und welche Ma\u00dfnahmen Unternehmen ergreifen k\u00f6nnen, um diese versteckte Gefahr effektiv einzud\u00e4mmen.<\/p>\n<h3>Hauptgr\u00fcnde, die zu Schatten-Administrator-Konten f\u00fchren<\/h3>\n<ol>\n<li><strong>Menschliche Fehler oder falsche Verwaltung von Benutzerrechten:<\/strong> Unerfahrene Administratoren k\u00f6nnen Schatten-Admins aus Versehen erstellen oder weil sie die Auswirkungen direkter Berechtigungszuweisungen nicht vollst\u00e4ndig verstanden haben. Auch wenn hinter solchen Schatten-Administrator-Konten keine b\u00f6swilligen Absichten stecken, k\u00f6nnen sie dennoch ein Risiko f\u00fcr die Umgebung darstellen, da sie Benutzern unbefugten Zugriff auf sensible Ressourcen erm\u00f6glichen.<\/li>\n<li><strong>Vor\u00fcbergehende Berechtigungen, die nicht zur\u00fcckgenommen wurden:<\/strong> Obwohl dies als schlechte Praxis gilt, gew\u00e4hren IT-Administratoren in manchen F\u00e4llen Konten vor\u00fcbergehende Berechtigungen, die die Benutzer zu Schatten-Administratoren machen, mit der Absicht, diese Berechtigungen zu einem sp\u00e4teren Zeitpunkt zu entfernen. Dies kann zwar unmittelbare Probleme l\u00f6sen, doch werden diese Berechtigungen h\u00e4ufig beibehalten, so dass diese Konten \u00fcber unbeaufsichtigte Verwaltungsberechtigungen verf\u00fcgen.<\/li>\n<li><strong>Durch Angreifer erstellte Schatten-Admins:<\/strong> Sobald ein Angreifer Administratorrechte erlangt hat, kann er ein Schatten-Administratorkonto einrichten, um seine Aktivit\u00e4ten zu verbergen.<\/li>\n<\/ol>\n<p>In jedem der drei oben genannten F\u00e4lle sind Schatten-Admins ein Risiko f\u00fcr das Unternehmen, da sie unbefugten Personen die M\u00f6glichkeit geben, Aktivit\u00e4ten durchzuf\u00fchren, die sie nicht durchf\u00fchren sollten. Die Tatsache, dass diese Konten nicht \u00fcberwacht werden, bedeutet nicht nur, dass der Zugriff auf sie nicht eingeschr\u00e4nkt wird, weil das Unternehmen nichts von ihrer Existenz wei\u00df, sondern auch, dass unbefugte Zugriffe und \u00c4nderungen unentdeckt bleiben k\u00f6nnen. In manchen F\u00e4llen werden solche Aktivit\u00e4ten erst dann entdeckt, wenn es bereits zu sp\u00e4t ist, zum Beispiel, wenn ein Angreifer sensible Daten exfiltriert.<\/p>\n<h3>Ein genauerer Blick auf Schatten-Administratoren<\/h3>\n<p>Ein Schatten-Administrator ist ein Benutzer, der nicht Mitglied einer Active Directory (AD)-Administrationsgruppe ist. Dennoch hat dieser Benutzer entsprechende Rechte, die es ihm erm\u00f6glichen, weitere administrative F\u00e4higkeiten zu erlangen. Hierzu geh\u00f6ren:<\/p>\n<ul>\n<li>Volle Kontrollrechte (Benutzer oder Gruppe)<\/li>\n<li>Alle Eigenschaften schreiben (f\u00fcr eine Gruppe)<\/li>\n<li>Passwort zur\u00fccksetzen (f\u00fcr einen Benutzer)<\/li>\n<li>Alle erweiterten Rechte (f\u00fcr einen Benutzer)<\/li>\n<li>Berechtigungen \u00e4ndern (Benutzer oder Gruppe)<\/li>\n<li>Mitglied schreiben (f\u00fcr eine Gruppe)<\/li>\n<li>Eigent\u00fcmer schreiben (Benutzer oder Gruppe)<\/li>\n<li>Der tats\u00e4chliche Eigent\u00fcmer (Benutzer oder Gruppe)<\/li>\n<\/ul>\n<p>Dar\u00fcber hinaus wird jeder Benutzer, der die Kontrolle \u00fcber einen Schatten-Admin einer beliebigen Stufe \u00fcbernehmen kann, ebenfalls als Shadow-Admin betrachtet. <\/p>\n<h3>Ein Beispiel zeigt, was geht<\/h3>\n<p>Ein Beispiel zeigt, was ein solcher Schatten-Admin alles machen kann. <\/p>\n<ul>\n<li><strong>Legitimer Administrator:<\/strong> Bob ist ein Dom\u00e4nenadministrator (ein Mitglied der Gruppe Dom\u00e4nenadministratoren). Dies bedeutet, dass Bob administrativen Zugriff auf Active Directory hat.<\/li>\n<li><strong>Level-1-Schatten-Administrator:<\/strong> Alice ist kein Mitglied der Gruppe der Dom\u00e4nenadministratoren. Alice hat jedoch die M\u00f6glichkeit, Bobs Kennwort zur\u00fcckzusetzen. Daher kann Alice das Kennwort von Bob zur\u00fccksetzen, sich als Bob anmelden und Aufgaben, die Dom\u00e4nenadministratorrechte erfordern, in seinem Namen ausf\u00fchren. Dies macht Alice zu einem Schatten-Admin.<\/li>\n<li><strong>Level-2-Schatten-Administrator:<\/strong> Larry kann das Kennwort von Alice zur\u00fccksetzen. Damit kann er sich als Alice anmelden, wiederum das Kennwort von Bob \u00e4ndern, sich dann als Bob anmelden und Aufgaben ausf\u00fchren, die Dom\u00e4nenadministratorrechte erfordern. Damit ist Larry ein Schatten-Admin zweiter Ebene. <\/li>\n<\/ul>\n<p>Und mit Larry ist es nicht getan: Eventuell existiert ein weiterer Schatten-Administrator, der Larrys Kennwort zur\u00fccksetzen kann und so weiter. Potenziell kann eine Organisation \u00fcber eine Vielzahl an Schatten-Administratoren in ihrem Netzwerk verf\u00fcgen. <\/p>\n<h2>Schatten-Administratoren aufsp\u00fcren<\/h2>\n<p>Die Identifizierung von Schatten-Administratoren sei ein schwieriges und komplexes Problem, schreibt Martin Kulendik. Zun\u00e4chst m\u00fcssen Verantwortliche feststellen, wer ihre Administratoren sind: das hei\u00dft, alle Benutzer, die den Active Directory-Gruppen angeh\u00f6ren, welche ihnen administrative Berechtigungen verleihen. <\/p>\n<ul>\n<li>Einige AD-Gruppen sind offensichtlich, wie die Gruppe \u201eDomain Admin\". <\/li>\n<li>Einige Gruppen jedoch weniger, da in vielen Organisationen verschiedene administrative Gruppen f\u00fcr unterschiedliche Gesch\u00e4ftszwecke erstellt werden. <\/li>\n<li>In einigen F\u00e4llen finden sich sogar verschachtelte Gruppen. <\/li>\n<\/ul>\n<p>Es ist wichtig, alle Mitglieder dieser Gruppen zu erfassen. Bei der Zuordnung der Gruppenmitgliedschaften m\u00fcssen nicht nur die Benutzeridentit\u00e4ten ber\u00fccksichtigt werden, die in der Mitgliederliste erscheinen, sondern auch die Konfigurationen der Prim\u00e4rgruppen-IDs der Benutzer.<\/p>\n<p>Das Verst\u00e4ndnis der Mitglieder der administrativen Gruppen in Active Directory ist ein wichtiger erster Schritt, reicht aber nicht aus, um alle privilegierten Konten in der Dom\u00e4ne zu identifizieren. Der Grund daf\u00fcr ist, dass die Schatten-Admins nicht dazu geh\u00f6ren. Um die Schatten-Administratoren aufzusp\u00fcren, m\u00fcssen Verantwortliche die Access Control List (ACL)-Berechtigungen analysieren, die den einzelnen Konten gew\u00e4hrt werden.<\/p>\n<h3>ACL-Berechtigungen manuell analysieren \u2013 eine uferlose Aufgabe<\/h3>\n<p>Verantwortliche bleibt zum Aufsp\u00fcren von Schatten-Administratoren nichts anderes \u00fcbrig, als die ACL-Berechtigungen der einzelnen Konten im AD zu analysieren. Nur so l\u00e4sst sich feststellen, ob das Konto \u00fcber Berechtigungen f\u00fcr administrative Gruppen oder einzelne Administrator-Konten verf\u00fcgt. Dies ist an sich schon eine sehr schwierige, wenn nicht gar unm\u00f6gliche manuelle Aufgabe.<\/p>\n<p>Denkbar w\u00e4re, sich \u00fcber entsprechende Tools und Scripte Listen solcher Konten erstellen zu lassen. Falls Verantwortliche in der Lage sind, diese Analyse durchzuf\u00fchren, erhalten sie die erste Ebene der Schatten-Administratoren. Aber das ist nicht genug \u2013 es m\u00fcssen nun alle ACLs erneut analysiert werden, um zu verstehen, wer die Berechtigung hat, diese Schatten-Administratoren der ersten Ebene zu \u00e4ndern. <\/p>\n<p>Und dieser Prozess muss so lange fortgesetzt werden, bis alle Ebenen der vorhandenen Schatten-Administratoren aufgedeckt sind. Falls Verantwortliche auch noch eine Schatten-Administratorgruppe finden, verkompliziert dies die Sache weiter. Die Quintessenz ist, dass diese Analyse keine manuelle Aufgabe ist.<\/p>\n<h3>Schatten-Admins mit Unified Identity Protection identifizieren<\/h3>\n<p>Unified Identity Protection ist eine neuartige Technologie, welche die bestehenden IAM-Sicherheitskontrollen (Identity and Access Management) in einem Unternehmen konsolidiert und diese auf alle Benutzer, Assets und Umgebungen des Unternehmens ausweitet. Durch ihre agenten- und proxylose Architektur kann diese L\u00f6sung alle Zugriffsanfragen von Benutzern und Service-Accounts \u00fcber alle Assets und Umgebungen hinweg \u00fcberwachen und hochpr\u00e4zise risikobasierte Analyse-, Conditional-Access- und Multi-Faktor-Authentifizierungsrichtlinien erweitern, um alle Ressourcen in der hybriden Unternehmensumgebung abzudecken. <\/p>\n<p>Die Schutzma\u00dfnahmen k\u00f6nnen dabei auch auf Assets ausgeweitet werden, die bisher nicht gesch\u00fctzt werden konnten. Hierzu z\u00e4hlen zum Beispiel selbstentwickelte Applikationen und Legacy-Anwendungen, kritische Infrastruktur, Dateisysteme, Datenbanken und Admin-Zugriffs-Tools wie PsExec, die es Angreifern derzeit erm\u00f6glichen, agentenbasierte MFA zu umgehen.<\/p>\n<p>Dar\u00fcber hinaus identifiziert eine Unified-Identity-Protection-Plattform automatisch Schatten-Administrator-Konten, die \u00fcberpr\u00fcft werden sollten, um festzustellen, ob ihre Berechtigungen legitim sind oder nicht. Die Technologie fragt regelm\u00e4\u00dfig Active Directory ab, um die verschiedenen ACLs aller Objekte in der Dom\u00e4ne zu erhalten. Dabei sollte die Technik automatisch die g\u00e4ngigen Administratorgruppen identifizieren. <\/p>\n<p>Anschlie\u00dfend analysiert die L\u00f6sung die ACLs auf der Suche nach Schatten-Admin-Benutzern und -Gruppen, die \u00fcber die gleichen Rechte wie die Mitglieder dieser Admin-Gruppen verf\u00fcgen \u2013 Rechte, die sie effektiv zu Schatten-Admin-Konten\/-Gruppen machen. Das Programm analysiert die ACLs so oft wie n\u00f6tig, um alle Ebenen von Schatten-Administrator-Konten und -Gruppen zu identifizieren und sicherzustellen, dass Verantwortliche vollen Einblick in diese potenziell gef\u00e4hrlichen Konten haben.<\/p>\n<p>Diese umfassende Liste sollten AD-Administratoren anschlie\u00dfend \u00fcberpr\u00fcfen, um festzustellen, ob die Berechtigungen dieser Schatten-Administrator-Konten und -Gruppen legitim sind oder nicht, und ob sie eingeschr\u00e4nkt oder \u00fcberwacht werden sollten.<\/p>\n<p>Dar\u00fcber hinaus \u00fcberwacht und analysiert eine Unified-Identity-Protection-L\u00f6sung kontinuierlich alle Zugriffsanfragen innerhalb der Dom\u00e4ne. Sie betrachtet Schatten-Admins als Konten mit hohem Risiko. Die Technologie identifiziert automatisch und in Echtzeit sensible Aktivit\u00e4ten, wie zum Beispiel den Versuch, ein Benutzerpasswort zur\u00fcckzusetzen, und gibt entweder eine Warnung aus oder fordert den Benutzer auf, seine Identit\u00e4t mit einer Multi-Faktor-Authentifizierung (MFA) zu best\u00e4tigen, bevor er das Zur\u00fccksetzen des Passworts zul\u00e4sst. Dies kann unbefugte \u00c4nderungen an Benutzerkonten sowie unbefugten Zugriff auf sensible Ressourcen im Netzwerk verhindern.<\/p>\n<p>Mit Unified Identity Protection k\u00f6nnen Unternehmen somit alle ihre Ressourcen \u00fcber alle Umgebungen hinweg mit einheitlichen Richtlinien und Transparenz verwalten und sch\u00fctzen, um den zahlreichen identit\u00e4tsbasierten Angriffsvektoren, einschlie\u00dflich der Risiken durch Schatten-Administratoren, effektiv zu begegnen.<\/p>\n<p>Die Informationen in obigem Text wurden mir von Silverfort zur Verf\u00fcgung gestellt. Ich fand sie interessant, so dass ich das Thema hier im Blog aufbereitet habe. Vielleicht ist die Information f\u00fcr den einen oder anderen Administrator ja von Interesse. Oder wie sp\u00fcrt ihr in euren Active Directory-Umgebungen Schatten-Administratoren auf?<\/p>\n<h3>Zu Silverfort<\/h3>\n<p><a href=\"https:\/\/www.silverfort.com\" rel=\"nofollow noopener\" target=\"_blank\">Silverfort<\/a> ist der Anbieter der ersten Unified Identity Protection Platform, die IAM-Sicherheitskontrollen in Unternehmensnetzwerken und Cloud-Umgebungen konsolidiert, um identit\u00e4tsbasierte Angriffe abzuwehren. Durch den Einsatz agenten- und proxyloser Technologie integriert sich Silverfort nahtlos in alle IAM-L\u00f6sungen, vereinheitlicht deren Risikoanalyse und Sicherheitskontrollen und erweitert deren Abdeckung auf Assets, die bisher nicht gesch\u00fctzt werden konnten, wie zum Beispiel selbstentwickelter und Legacy-Applikationen, IT-Infrastruktur, Dateisysteme, Command-Line-Tools, Machine-to-Machine-Zugriffe und mehr.&nbsp; <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Unternehmen laufen st\u00e4ndig Gefahr, sicherheitstechnisch durch unerkannte sogenannte Schatten-Administratoren besonders gef\u00e4hrdet zu sein. Kompromittiert ein Hacker ein Schatten-Admin-Konto, stellt dies ein hohes Risiko f\u00fcr die Unternehmenssicherheit dar, da der Angreifer damit weitere privilegierte Konten kapern kann, um auf deren Zielsysteme &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/08\/schatten-administratoren-die-permanente-gefahr\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4305,4328,4325],"class_list":["post-265115","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-linux","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265115"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265115\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}