Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Nov 30, 2021

Die Ntds.dit-Datei speichert alle Active Directory-Passworthashes, was sie zu einem Hauptziel für Angreifer macht, die diese extrahieren, entschlüsseln und für die vollständige Domänenkontrolle ausnutzen können. Gängige Techniken umfassen Volumenschattenkopien und PowerSploit. Die Verteidigung erfordert eine strenge Kontrolle und Rezertifizierung privilegierter Gruppen, Überwachung auf verdächtigen Zugriff und mehrschichtigen Schutz mit Tools, die erkennen, blockieren und die Exposition verringern.

Bei so viel Aufmerksamkeit für Angriffe auf Basis von Anmeldeinformationen wie Pass-the-Hash (PtH) und Pass-the-Ticket (PtT) werden oft schwerwiegendere und effektivere Angriffe übersehen. Ein solcher Angriff beinhaltet das Exfiltrieren der Ntds.dit-Datei von Active Directory Domain Controllern. Lassen Sie uns einen Blick darauf werfen, was diese Bedrohung beinhaltet, wie ein Angriff durchgeführt werden kann und wie Sie Ihre Organisation schützen können.

Was ist die Ntds.dit-Datei?

Die Ntds.dit-Datei ist eine Datenbank, die Active Directory-Daten speichert, einschließlich Informationen über Benutzerobjekte, Gruppen und Gruppenmitgliedschaften. Wichtig ist, dass die Datei auch die Passwort-Hashes für alle Benutzer im Domain speichert. Cyberkriminelle, die diese Hashes extrahieren, können dann PtH-Angriffe mit Tools wie Mimikatz durchführen oder die Passwörter offline mit Tools wie Hashcat knacken. Tatsächlich ist ein Angreifer, sobald er die Hashes extrahiert hat, in der Lage, als beliebiger Benutzer in der Domain zu agieren — einschließlich der Domain-Administratoren.

Wie funktioniert ein Angriff auf die Ntds.dit-Datei?

Der erste Schritt besteht darin, eine Kopie der Ntds.dit zu erhalten. Das ist nicht so einfach, wie es klingt, denn diese Datei wird ständig von AD verwendet und ist daher gesperrt. Wenn Sie versuchen, die Datei einfach zu kopieren, werden Sie eine Fehlermeldung wie diese sehen:

Image

Es gibt mehrere Möglichkeiten, dieses Hindernis zu umgehen, indem man die in Windows integrierten Funktionen oder PowerShell-Bibliotheken nutzt. Zum Beispiel kann ein Angreifer:

  1. Verwenden Sie Volume Shadow Copies über den VSSAdmin-Befehl
  2. Verwenden Sie die PowerSploit Penetrationstest-PowerShell-Module
  3. Nutzen Sie das NTDSUtil-Diagnosetool, das als Teil von Active Directory verfügbar ist
  4. Nutzen Sie Snapshots, wenn die Domänencontroller als virtuelle Maschinen ausgeführt werden

Lassen Sie uns die ersten beiden dieser Ansätze durchgehen.

Verwendung von VSSAdmin zum Stehlen der Ntds.dit-Datei

Schritt 1. Erstellen Sie eine Volumeschattenkopie:

Image

Schritt 2. Abrufen der Ntds.dit-Datei aus der Volumeschattenkopie:

Image

Schritt 3. Kopieren Sie die SYSTEM-Datei aus der Registrierung oder dem Volume Shadow Copy, da sie den Boot Key enthält, der später zum Entschlüsseln der Ntds.dit-Datei benötigt wird:

Image
Image

Schritt 4. Decken Sie Ihre Spuren ab:

Image

Verwendung von PowerSploit NinjaCopy zum Stehlen der Ntds.dit-Datei

PowerSploit ist ein PowerShell Penetration Testing Framework, das verschiedene Fähigkeiten enthält, die zur Ausnutzung von Active Directory verwendet werden können. Das Invoke-NinjaCopy Modul kopiert eine Datei von einem NTFS-partitionierten Volume, indem es das rohe Volume liest, was es einem Angreifer ermöglicht, auf von Active Directory gesperrte Dateien zuzugreifen, ohne Überwachungssysteme zu alarmieren.

Image

Schritt 2. Extrahieren Sie die Passwort-Hashes

Sobald der Angreifer eine Kopie der Ntds.dit-Datei hat, besteht der nächste Schritt darin, die Passwort-Hashes daraus zu extrahieren. DSInternals bietet ein PowerShell-Modul, das verwendet werden kann, um mit der Ntds.dit-Datei zu interagieren; so verwenden Sie es, um Passwort-Hashes zu extrahieren:

Image

Schritt 3. Verwenden Sie die Passwort-Hashes, um den Angriff durchzuführen.

Sobald ein Angreifer die Passworthashes aus der Ntds.dit-Datei extrahiert hat, kann er Werkzeuge wie Mimikatz verwenden, um Pass-the-Hash (PtH)-Angriffe durchzuführen. Darüber hinaus können sie Werkzeuge wie Hashcat nutzen, um die Passwörter zu knacken und deren Klartextwerte zu erhalten. Sobald ein Angreifer diese Anmeldeinformationen hat, gibt es keine Einschränkungen, was er damit tun kann.

Wie können Organisationen sich gegen Angriffe auf die Ntds.dit-Datei schützen?

Der beste Weg, Ihre Organisation gegen diesen Angriff zu verteidigen, besteht darin, die Anzahl der Benutzer, die sich an Domain-Controllern anmelden können, zu begrenzen. Dies umfasst nicht nur Mitglieder von hochprivilegierten Gruppen wie Domain-Admins und Enterprise-Admins, sondern auch Mitglieder von weniger privilegierten Gruppen wie Drucker-Operatoren, Server-Operatoren und Konto-Operatoren. Die Mitgliedschaft in all diesen Gruppen sollte streng begrenzt, ständig auf Änderungen überwacht und regelmäßig rezertifiziert werden.

Zusätzlich sollten Sie Überwachungssoftware in Betracht ziehen, die Alarme auslösen kann — und sogar verhindern kann —, dass Benutzer Dateien aus Volumenschattenkopien abrufen.

Wie Netwrix Lösungen helfen können

Netwrix bietet einen mehrschichtigen Ansatz zur Verteidigung gegen Ntds.dit-Passwortextraktionsangriffe.

Versuche erkennen, die Ntds.dit-Datei zu stehlen

Netwrix Threat Manager ist ein wirksames Werkzeug zur Erkennung von Ntds.dit-Passwortextraktionsangriffen. Es überwacht kontinuierlich auf unerwartete Zugriffsereignisse auf die Ntds.dit-Datei, einschließlich:

  • Direkter Zugriff auf die Datei im Dateisystem — Da die Ntds.dit-Datei von Active Directory während der Nutzung gesperrt ist, kann ein Angreifer die Datei normalerweise nicht erhalten, ohne den Active Directory-Dienst zu stoppen. Die Überwachung von sowohl erfolgreichen als auch verweigerten Zugriffsereignissen durch Benutzerkonten kann aussagekräftige Einblicke in unerwünschte Zugriffsversuche bieten, da der AD-Dienst als Lokales System ausgeführt wird.
  • Zugriff auf die Ntds.dit-Datei über Volumeschattenkopien — Selbst wenn die Ntds.dit-Datei gesperrt ist, können Angreifer eine Schattenkopie des gesamten Laufwerks erstellen und die Ntds.dit-Datei aus der Schattenkopie extrahieren.

Blockieren Sie den Zugriff auf die Ntds.dit-Datei

Netwrix Threat Prevention kann sowohl den direkten Zugriff auf die Ntds.dit-Datei im Dateisystem als auch den Zugriff über Volumenschattenkopien blockieren. Dadurch kann selbst ein Angreifer, der Active Directory anhält, um die Datei freizugeben, und über vollständige Adminrechte verfügt, nicht direkt auf die Datei zugreifen.

Reduzieren Sie proaktiv Ihre Angriffsfläche

Netwrix Access Analyzer hilft Ihnen dabei, die administrativen Gruppen, die Zugriff auf Ihre Domänencontroller haben, wie Domain Admins und Server Operators, zu überprüfen und zu kontrollieren. Indem Sie die Mitgliedschaft dieser Gruppen streng begrenzen, verringern Sie das Risiko, dass Angreifer Zugang zur Ntds.dit-Datei erlangen.

Fordern Sie eine kostenlose Testversion von Netwrix Threat Manager an

Teilen auf

Erfahren Sie mehr

Über den Autor

Ein mann in einer blauen jacke und einem karierten hemd lchelt fr die kamera

Jeff Warren

Chief Product Officer

Jeff Warren überwacht das Netwrix Produktportfolio und bringt über ein Jahrzehnt Erfahrung im sicherheitsorientierten Produktmanagement und der Entwicklung mit. Bevor er zu Netwrix kam, leitete Jeff die Produktorganisation bei Stealthbits Technologies, wo er seine Erfahrung als Software-Ingenieur nutzte, um innovative, unternehmensweite Sicherheitslösungen zu entwickeln. Mit einem praktischen Ansatz und einem Talent für die Lösung schwieriger Sicherheitsherausforderungen konzentriert sich Jeff darauf, praktikable Lösungen zu schaffen, die funktionieren. Er hat einen BS in Informationssystemen von der University of Delaware.

Erfahren Sie mehr zu diesem Thema

Zehn nützlichste PowerShell-Befehle für Office 365

So kopieren Sie eine Cisco Running Config in die Startup Config, um Konfigurationsänderungen zu bewahren

Wie man jedes Skript mit MS Intune bereitstellt

RBAC vs ABAC: Welches soll man wählen?

Ein praktischer Leitfaden zur Implementierung und Verwaltung von Remote Access-Lösungen

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen