Gefährliche Fehlkonfigurationen von Active Directory-Dienstkonten

Active Directory (AD)-Sicherheitslücken können verschiedenste Bereiche betreffen. Die größten Risiken liegen jedoch in der Fehlkonfiguration von Dienstkonten. Unternehmen sollten vor allem folgende fünf Schwachstellen im Zusammenhang mit Active Directory-Dienstkonten – Benutzerkonten, die für die Ausführung bestimmter Anwendungen oder Dienste auf Windows-Geräten eingerichtet sind – im Auge behalten.

Schwache Passwörter für Dienstkonten

In Active Directory können Administratoren verschiedenste Benutzerkonten mit den erforderlichen Berechtigungen, Zugriffsrechten und Rollen zur Nutzung mit Applikationen einrichten, so genannte Dienstkonten. Ein häufiges Problem bei diesen Dienstkonten ist, dass entweder gefühlt jeder das Passwort kennt oder niemand – zum Beispiel dann, wenn die Person, die das Konto eingerichtet hat, das Unternehmen verlassen hat. Hinzu kommt: Setzen die Administratoren das Passwort eines Dienstkontos zurück, verwenden sie leider meist nur ein mittelstarkes Kennwort.

Das damit verbundene Risiko wird als Kerberoasting bezeichnet. Dabei handelt es sich um einen der am weitesten verbreiteten und effektivsten Angriffe auf das Active Directory. Hacker verwenden diese Methode, um einen Kerberos-Hash mittels Brute-Force-Attacke zu knacken.

Erbeutet ein Angreifer aufgrund mangelnder Kontosicherheit einen Passwort-Hash eines Dienstkontos, so kann er das Passwort in aller Ruhe offline knacken. Danach steht seiner Anmeldung über dieses Dienstkonto nichts mehr im Wege, sodass er von dort aus die Umgebung weiter infiltrieren kann.

Schon ein einziger Angriff und ein einziges Konto kann dafür ausreichen – und schuld sind einzig und allein schwache Passwörter. Starke Passwörter bilden also die erste Verteidigungslinie. Für Dienstkonten sollten deshalb unbedingt total verrückte, komplizierte, lange Passwörter mit hoher Entropie erstellt werden, die von Angreifern kaum geknackt werden können.

Admin-Dienstkonten mit alten Kennwörtern

Administratorkennwörter für Active Directory, die selten geändert werden, machen Unternehmen anfällig für Brute-Force-Angriffe. Deshalb müssen Administratoren in Sachen Dienstkonten umdenken. Denn oft ist das Risiko zwar bekannt, aber das Ändern der Passwörter erscheint zu mühsam. Das Problem daran ist meist, dass ein Großteil der IT-Abteilung das Passwort kennt. Dazu zählen auch Personen, die das Unternehmen längst wieder verlassen haben. So bietet sich Unbefugten eine breite Angriffsfläche und das Unternehmen geht damit bewusst ein Risiko ein – genau diese Einstellung ist gefährlich.

Tatsache ist, dass 80 Prozent der Angriffe auf Sicherheitslücken im Zusammenhang mit Passwörtern zurückzuführen sind. Schon allein deshalb müssen Active Directory-Administratoren den Bereich stärker in den Fokus rücken. Um die Sicherheit von Arbeitsumgebungen zu gewährleisten, sollten Unternehmen geplante Ausfallzeiten und Wartungsfenster einführen, in denen die Kennwörter von Dienstkonten – insbesondere solche mit administrativen Rechten im AD – geändert werden. Die Zustimmung dafür zu erhalten, ist allerdings nicht immer einfach.  Die Konsequenzen für Anwendungsbetreuer sind aber einfach zu erklären: Entweder eine geplante Ausfallzeit von einer halben Stunde, in der das Problem aus der Welt geschafft wird oder eine ungeplante Ausfallzeit von bis zu mehreren Wochen.

Unzureichende Passwortrichtlinien

Kennwortrichtlinien zählen zu den beliebtesten Relikten der IT-Branche. Es gibt sie schon ewig und sie sind überall mehr oder weniger gleich. Es ist jedoch wichtig, die aktualisierten Empfehlungen für Kennwortrichtlinien zur Kenntnis zu nehmen, die Microsoft und das National Institute of Standards and Technology vor einigen Jahren veröffentlicht haben. Unternehmen sollten diese Hinweise unbedingt befolgen und die Verwendung der gebräuchlichsten Passwörter verbieten, um ihre Anfälligkeit für Brute-Force-Attacken und Passwort-Spraying zu verringern.

Ein Passwort-Spray-Angriff ist das genaue Gegenteil eines Brute-Force-Angriffs. Dabei versucht ein Angreifer, mit einem häufig verwendeten Kennwort über einen Zeitraum von Stunden oder Tagen auf viele verschiedene Benutzerkonten zuzugreifen, bis er damit eine Authentifizierung knackt. Diese Methode ist sehr erfolgreich und so funktioniert Passwort-Spraying für Cyberkriminelle eben deshalb, weil die Active Directory-Passwortpraktiken nachlässig oder veraltet sind.

Active Directory gibt es bereits seit über 20 Jahren. Manche Technologien, die uns heute zur Verfügung stehen, sind neueren Datums. Wir haben heute mehr Möglichkeiten und Tools, ausgefeilte Passwörter, Passwort-Manager und Lösungen zur Verwaltung der Zugriffsrechte – all dies kann dabei helfen, das IT-Umfeld abzusichern. Daher müssen wir dieses Risiko nicht länger in Kauf nehmen.

Unbegrenzte Anzahl von Konten mit hohen Berechtigungen

Dieses Risiko tritt in Active Directory-Umgebungen auf, in denen zu viele Berechtigungen in Umlauf sind. Ein Grundsatz lautet: Hohe Berechtigungen müssen auf eine kleine Zahl von Anwendergruppen begrenzt sein. Dennoch kommt es immer wieder vor, dass AD-Umgebungen eine Vielzahl von Domain- oder Enterprise-Admins aufweisen. Hier besteht definitiv Handlungsbedarf.

Um dieses Risiko zu vermeiden, muss die Zahl der privilegierten Konten reduziert werden. Das bedeutet, jedes Mal, wenn ein App-Eigentümer nach Domain-Admin-Rechten fragt, sollte die Antwort ein klares Nein sein. Ausgehend von dieser Grundeinstellung, müssen Unternehmen mit den App-Eigentümern zusammenarbeiten, um festzulegen, welche Berechtigungen sie tatsächlich benötigen. Es ist möglich ihnen mehr als die üblichen Benutzerrechte einzuräumen, jedoch niemals die Administratorrechte für die Domäne.

Unsichere sIDHistory-Attribute

Die sIDHistory ist ein Active Directory-Attribut, das Migrationsszenarien für Domains unterstützt. Das Ziel liegt darin, die Migration von einer Domäne zu einer anderen zu ermöglichen, dabei aber weiterhin auf die Ressourcen in der vorherigen Domäne zugreifen zu können.

Konten, die mit einem unsicheren sIDHistory-Attribut konfiguriert wurden, können jedoch böswilligen Akteuren Tür und Tor öffnen. Das Risiko bei sIDHistory besteht darin, dass Angreifer privilegierte Sicherheitskennungen (SIDs) in das sIDHistory-Attribut eines regulären Benutzers einfügen können. Dadurch erhalten sie erhöhte Domain-Berechtigungen, die in keiner der regulären Gruppen auftauchen und darin liegt ein hohes Sicherheitsrisiko.

Riskante Fehlkonfigurationen bekämpfen

Das Identifizieren von Schwachstellen in AD-Konfiguration kann sich als Albtraum erweisen. Aus diesem Grund empfehle ich die Verwendung des kostenlosen Purple Knight Active Directory Sicherheitsbewertungstools. Wenn Unternehmen wissen, wo ihre Probleme liegen, sind sie besser gerüstet, um sie zu beseitigen.

Guido Grillenmeier

Chief Technologist bei Semperis

Roger Homrich

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago