Active Directory (AD)-Sicherheitslücken können verschiedenste Bereiche betreffen. Die größten Risiken liegen jedoch in der Fehlkonfiguration von Dienstkonten. Unternehmen sollten vor allem folgende fünf Schwachstellen im Zusammenhang mit Active Directory-Dienstkonten – Benutzerkonten, die für die Ausführung bestimmter Anwendungen oder Dienste auf Windows-Geräten eingerichtet sind – im Auge behalten.
In Active Directory können Administratoren verschiedenste Benutzerkonten mit den erforderlichen Berechtigungen, Zugriffsrechten und Rollen zur Nutzung mit Applikationen einrichten, so genannte Dienstkonten. Ein häufiges Problem bei diesen Dienstkonten ist, dass entweder gefühlt jeder das Passwort kennt oder niemand – zum Beispiel dann, wenn die Person, die das Konto eingerichtet hat, das Unternehmen verlassen hat. Hinzu kommt: Setzen die Administratoren das Passwort eines Dienstkontos zurück, verwenden sie leider meist nur ein mittelstarkes Kennwort.
Das damit verbundene Risiko wird als Kerberoasting bezeichnet. Dabei handelt es sich um einen der am weitesten verbreiteten und effektivsten Angriffe auf das Active Directory. Hacker verwenden diese Methode, um einen Kerberos-Hash mittels Brute-Force-Attacke zu knacken.
Erbeutet ein Angreifer aufgrund mangelnder Kontosicherheit einen Passwort-Hash eines Dienstkontos, so kann er das Passwort in aller Ruhe offline knacken. Danach steht seiner Anmeldung über dieses Dienstkonto nichts mehr im Wege, sodass er von dort aus die Umgebung weiter infiltrieren kann.
Schon ein einziger Angriff und ein einziges Konto kann dafür ausreichen – und schuld sind einzig und allein schwache Passwörter. Starke Passwörter bilden also die erste Verteidigungslinie. Für Dienstkonten sollten deshalb unbedingt total verrückte, komplizierte, lange Passwörter mit hoher Entropie erstellt werden, die von Angreifern kaum geknackt werden können.
Administratorkennwörter für Active Directory, die selten geändert werden, machen Unternehmen anfällig für Brute-Force-Angriffe. Deshalb müssen Administratoren in Sachen Dienstkonten umdenken. Denn oft ist das Risiko zwar bekannt, aber das Ändern der Passwörter erscheint zu mühsam. Das Problem daran ist meist, dass ein Großteil der IT-Abteilung das Passwort kennt. Dazu zählen auch Personen, die das Unternehmen längst wieder verlassen haben. So bietet sich Unbefugten eine breite Angriffsfläche und das Unternehmen geht damit bewusst ein Risiko ein – genau diese Einstellung ist gefährlich.
Tatsache ist, dass 80 Prozent der Angriffe auf Sicherheitslücken im Zusammenhang mit Passwörtern zurückzuführen sind. Schon allein deshalb müssen Active Directory-Administratoren den Bereich stärker in den Fokus rücken. Um die Sicherheit von Arbeitsumgebungen zu gewährleisten, sollten Unternehmen geplante Ausfallzeiten und Wartungsfenster einführen, in denen die Kennwörter von Dienstkonten – insbesondere solche mit administrativen Rechten im AD – geändert werden. Die Zustimmung dafür zu erhalten, ist allerdings nicht immer einfach. Die Konsequenzen für Anwendungsbetreuer sind aber einfach zu erklären: Entweder eine geplante Ausfallzeit von einer halben Stunde, in der das Problem aus der Welt geschafft wird oder eine ungeplante Ausfallzeit von bis zu mehreren Wochen.
Kennwortrichtlinien zählen zu den beliebtesten Relikten der IT-Branche. Es gibt sie schon ewig und sie sind überall mehr oder weniger gleich. Es ist jedoch wichtig, die aktualisierten Empfehlungen für Kennwortrichtlinien zur Kenntnis zu nehmen, die Microsoft und das National Institute of Standards and Technology vor einigen Jahren veröffentlicht haben. Unternehmen sollten diese Hinweise unbedingt befolgen und die Verwendung der gebräuchlichsten Passwörter verbieten, um ihre Anfälligkeit für Brute-Force-Attacken und Passwort-Spraying zu verringern.
Ein Passwort-Spray-Angriff ist das genaue Gegenteil eines Brute-Force-Angriffs. Dabei versucht ein Angreifer, mit einem häufig verwendeten Kennwort über einen Zeitraum von Stunden oder Tagen auf viele verschiedene Benutzerkonten zuzugreifen, bis er damit eine Authentifizierung knackt. Diese Methode ist sehr erfolgreich und so funktioniert Passwort-Spraying für Cyberkriminelle eben deshalb, weil die Active Directory-Passwortpraktiken nachlässig oder veraltet sind.
Active Directory gibt es bereits seit über 20 Jahren. Manche Technologien, die uns heute zur Verfügung stehen, sind neueren Datums. Wir haben heute mehr Möglichkeiten und Tools, ausgefeilte Passwörter, Passwort-Manager und Lösungen zur Verwaltung der Zugriffsrechte – all dies kann dabei helfen, das IT-Umfeld abzusichern. Daher müssen wir dieses Risiko nicht länger in Kauf nehmen.
Dieses Risiko tritt in Active Directory-Umgebungen auf, in denen zu viele Berechtigungen in Umlauf sind. Ein Grundsatz lautet: Hohe Berechtigungen müssen auf eine kleine Zahl von Anwendergruppen begrenzt sein. Dennoch kommt es immer wieder vor, dass AD-Umgebungen eine Vielzahl von Domain- oder Enterprise-Admins aufweisen. Hier besteht definitiv Handlungsbedarf.
Um dieses Risiko zu vermeiden, muss die Zahl der privilegierten Konten reduziert werden. Das bedeutet, jedes Mal, wenn ein App-Eigentümer nach Domain-Admin-Rechten fragt, sollte die Antwort ein klares Nein sein. Ausgehend von dieser Grundeinstellung, müssen Unternehmen mit den App-Eigentümern zusammenarbeiten, um festzulegen, welche Berechtigungen sie tatsächlich benötigen. Es ist möglich ihnen mehr als die üblichen Benutzerrechte einzuräumen, jedoch niemals die Administratorrechte für die Domäne.
Die sIDHistory ist ein Active Directory-Attribut, das Migrationsszenarien für Domains unterstützt. Das Ziel liegt darin, die Migration von einer Domäne zu einer anderen zu ermöglichen, dabei aber weiterhin auf die Ressourcen in der vorherigen Domäne zugreifen zu können.
Konten, die mit einem unsicheren sIDHistory-Attribut konfiguriert wurden, können jedoch böswilligen Akteuren Tür und Tor öffnen. Das Risiko bei sIDHistory besteht darin, dass Angreifer privilegierte Sicherheitskennungen (SIDs) in das sIDHistory-Attribut eines regulären Benutzers einfügen können. Dadurch erhalten sie erhöhte Domain-Berechtigungen, die in keiner der regulären Gruppen auftauchen und darin liegt ein hohes Sicherheitsrisiko.
Das Identifizieren von Schwachstellen in AD-Konfiguration kann sich als Albtraum erweisen. Aus diesem Grund empfehle ich die Verwendung des kostenlosen Purple Knight Active Directory Sicherheitsbewertungstools. Wenn Unternehmen wissen, wo ihre Probleme liegen, sind sie besser gerüstet, um sie zu beseitigen.
Chief Technologist bei Semperis
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…