10 Methoden zur Identifizierung und zum Schutz von Privileged AD Users

Das Kompromittieren von privilegierten Konten ist das vorletzte Ziel der meisten Cyberangriffe – sobald Angreifer privilegierten Zugang erlangen, können sie ihr endgültiges Ziel erreichen, sei es, Informationsvermögen zu stehlen oder zu verschlüsseln oder Geschäftsabläufe zu stören. Typischerweise verschaffen sich Cyberkriminelle einen Zugang in ein Netzwerk, indem sie ein Konto mit niedriger Berechtigung auf einem lokalen Rechner kompromittieren. Mit einer Vielzahl von Techniken versuchen sie dann, die Kontrolle über die privilegierteren Konten zu erlangen, die sie benötigen, um auf die sensiblen Daten und Systeme der Organisation zuzugreifen. In Umgebungen von Active Directory (AD) ist das eigentliche Ziel ein Domain-Administrator-Konto, aber oft reichen auch andere privilegierte Konten aus.

Wesentliche Elemente des Privileged Access Management

Ein Angreifer mit Privileged Access kann sich ziemlich frei durch Ihre AD domain bewegen und auf Ihre wertvollsten IT-Ressourcen zugreifen. Daher ist es zur Aufrechterhaltung der Sicherheit und Compliance unerlässlich, eine starke Identity Governance und Access Management über alle privilegierten Konten in Ihrer AD-Umgebung zu etablieren.

Insbesondere umfasst die Sicherstellung der Sicherheit Ihrer Systeme und Daten zwei Schlüsselkomponenten:

• Ermitteln, welche Benutzer welche Privilegien für welche IT-Ressourcen haben
• Erkennen, wenn ein Konto zum ersten Mal privilegierten Zugriff erhält

Es ist entscheidend zu verstehen, dass Privileged Access Management keine einmalige Angelegenheit ist. Wenn Benutzer eingearbeitet werden und ihre Rollen sowie die IT-Umgebung sich weiterentwickeln, ändern sich Gruppenberechtigungen und -mitgliedschaften, und Sicherheitsteams müssen jegliche Änderungen erkennen, die bösartig oder anderweitig unangemessen sein könnten.

Nachfolgend finden Sie die Top 10 Methoden, um Ihre privilegierten Benutzerkonten vor Kompromittierung zu schützen. Sie sind Teil einer umfassenden Sicherheitsstrategie, um zu verhindern, dass unbefugte Benutzer privilegierten Zugriff auf AD erhalten.

1.Verwalten Sie integrierte privilegierte Gruppen wie Domain Admins genau.

Die integrierten AD-Privilegiengruppen wie Administratoren, Domain-Admins, Enterprise-Admins und Schema-Admins sind ein offensichtlicher Ausgangspunkt. Als Nächstes kommt die Gruppe der lokalen Administratoren auf jedem Ihrer Windows-Endpunkte, die privilegierten Zugriff auf diese Systeme gewähren.

Die Mitglieder jeder dieser Gruppen zu identifizieren ist so einfach wie das Betrachten des Mitgliedschaftseigenschaften-Reiters der Gruppe in Active Directory Users & Computers (ADUC). Eine andere Methode ist die Verwendung des PowerShell-Cmdlets Get-ADGroupMember, wie im untenstehenden Screenshot gezeigt. Dies ist die bevorzugte Methode, wenn Sie mehrere Gruppen schnell analysieren müssen.

Beachten Sie, dass periodische Überprüfungen der Gruppenmitglieder nur einen Einblick in den Zustand der Gruppe zu diesem Zeitpunkt bieten. Dennoch ist es ein guter Ausgangspunkt.

2. Überprüfen Sie, ob Gruppen in privilegierten Gruppen verschachtelt sind.

Es ist entscheidend zu überprüfen, ob privilegierte Gruppen andere Gruppen als Mitglieder haben, da diese verschachtelten Gruppen ihren Mitgliedern alle Zugriffsrechte der privilegierten Gruppe gewähren. Zum Beispiel können Sie im Screenshot unten sehen, dass eines der Mitglieder der Gruppe Domain Admins eine Gruppe namens LabPowerUsers ist — was bedeutet, dass jedes Mitglied der Gruppe LabPowerUsers administrative Privilegien im gesamten Bereich hat.

Wo immer möglich, sollten Sie eine Gruppenschachtelung vermeiden, insbesondere innerhalb privilegierter Gruppen, da sie Angreifern einen Weg bietet, Zugang zu kritischen Ressourcen und Daten mit geringerem Risiko auszulösen — sie fügen ein von ihnen kontrolliertes Konto einer untergeordneten Gruppe hinzu, anstatt es direkt der übergeordneten privilegierten Gruppe hinzuzufügen, die möglicherweise genauer überwacht wird.

Wie zuvor gezeigt, gibt das Cmdlet Get-ADGroupMember nur die unmittelbaren Mitglieder der abgefragten Gruppe an, sodass es alle verschachtelten Gruppen auflistet, aber nicht deren Mitglieder. Eine Möglichkeit, auch die Mitglieder aller verschachtelten Gruppen anzuzeigen, ist die Verwendung des unten in Rot gezeigten LDAP-Filters:

      param([string]$groupDn )
$s = new-object system.directoryservices.directorysearcher
$s.searchroot = new-object system.directoryservices.directoryentry
$s.filter = “(&(memberOf:1.2.840.113556.1.4.1941:=$groupDn))”
$s.propertiestoload.add(“name”)
$s.propertiestoload.add(“objectclass”)
$r = $s.FindAll()
foreach ($e in $r)
{Write-Host
$e.Properties.objectclass[$e.Properties.objectclass.Count-1]:
$e.properties.name
      

Wenn dieser Code als Skript (.GetNestedMembers.ps1) gespeichert wird, kann er wie folgt ausgeführt werden, indem der Distinguished Name der gewünschten Gruppe angegeben wird:

      .GetNestedMembers.ps1 -groupDn “CN=Administrators,CN=Builtin,DC=lab,DC=local”
      

Die Ausgabe zeigt den Namen der Gruppe und listet ihre Mitglieder auf:

      group : Domain Admins
user : bosshogg
user : azuresync
user : Barry Vista
user : Randy Smith
user : AdminService
      

Um schnell Einblick in erhöhte Privilegien zu erhalten, ohne den Aufwand und die Kosten des Scriptings, entscheiden sich viele Organisationen für die Investition in ein Drittanbieter-Tool für Privileged Access Management (PAM) wie die Netwrix PAM solution.

3. Achten Sie auf die Berechtigungen der Organisationseinheit (OU).

Neben dem Erlangen von Privilegien durch Gruppenmitgliedschaft können Benutzern auch Kontrollrechte auf der Ebene der Organisationseinheit delegiert werden. Der untenstehende Screenshot zeigt eine Gruppe, der Privilegien für die Vertriebs-OU delegiert werden; jedes Mitglied dieser Gruppe wird in der Lage sein, die ausgewählten Aufgaben durchzuführen, einschließlich der Änderung der Mitgliedschaft jeder Gruppe in der Vertriebs-OU.

Das Nachverfolgen von OU-Berechtigungen wird durch Vererbung kompliziert. Wie bei der NTFS-Sicherheit werden die Berechtigungen von übergeordneten OUs auf untergeordnete OUs und Blattobjekte übertragen. Dies kann dazu führen, dass viele Benutzer erhöhte Privilegien haben, die schwer zu entdecken sind, wie im folgenden Screenshot dargestellt, der alle untergeordneten OUs und Blattobjekte der Vertriebs-OU zeigt:

Während Sie die Vererbung von einer übergeordneten OU aufheben können, kann dies Probleme verursachen, wie zum Beispiel, dass Manager nicht in der Lage sind, Objekte zu verwalten, für die sie verantwortlich sind.

Um Überwachungsereignisse zu generieren, wann immer ein Verzeichnisobjekt zugegriffen wird, können Sie die AD Group Policy verwenden. Gehen Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Überwachungsrichtlinienkonfiguration > Überwachungsrichtlinien > DS-Zugriff und konfigurieren Sie Überwachung von Verzeichnisdienständerungen wie unten gezeigt.

Beachten Sie, dass das Aktivieren dieser Überwachung eine große Menge an Protokolleinträgen erzeugt, sodass das manuelle Überprüfen der Überwachungsprotokolle viel Zeit in Anspruch nimmt. Darüber hinaus werden in den Protokolleinträgen nicht die zugewiesenen Berechtigungen aufgeführt; sie zeigen lediglich an, dass die Berechtigungen für eine bestimmte OU überprüft werden müssen.

4. Suchen Sie nach admin-äquivalenten Rechten auf Domain-Controllern (DCs).

Domänencontroller sind spezielle Maschinen, die das Betriebssystem Windows Server ausführen und wichtige Authentifizierungs- und Autorisierungsdienste bereitstellen. Daher ist es wichtig, nach Konten mit Admin-Level-Privilegien auf Ihren DCs zu suchen. Beispielsweise könnte einem Dienstkonto das Recht eingeräumt werden, Dateien auf DCs zu sichern oder wiederherzustellen. Angriffe können diese Konten kompromittieren, indem sie Open-Source-Tools wie Mimikatz verwenden, um ihre Passworthashes zu entdecken und dann ihre Klartextpasswörter zu knacken.

Sie können erkennen, welche Konten diese Rechte haben basierend auf:

• Überprüfung der Standardrichtlinie für Domänencontroller
• Mit einem PowerShell-Skript
• Mit Tools für Privileged Access Management wie Netwrix PAM solutions

5. Ermitteln Sie Benutzer mit der Berechtigung zum Zurücksetzen von Passwörtern anderer Konten.

Die Fähigkeit, das Passwort eines Benutzerkontos zurückzusetzen, wird von Bedrohungsakteuren stark nachgefragt, denn durch das Zurücksetzen des Passworts eines Kontos können sie die Kontrolle darüber erlangen. Dieses Recht ist in der Berechtigung für Vollzugriff enthalten. Sie können auch die spezifische Berechtigung zum Zurücksetzen von Passwörtern für andere Benutzer mithilfe des Assistenten für die Delegierung von Steuerung delegieren, wie unten gezeigt:

Im folgenden Beispiel haben Mitglieder der PC Support-Gruppe die Berechtigung, die Passwörter von Domänenadministratoren zurückzusetzen. Daher kann ein Angreifer durch Kompromittierung des Kontos eines beliebigen Mitglieds der PC Support-Gruppe leicht erhöhte Domänenweite Privilegien erlangen.

Manuelles Durchsuchen jeder OU und jedes Benutzerobjekts, um zu sehen, wer dieses Privileg hat, ist zeitaufwendig und fehleranfällig, und der Versuch, alle Passwort-Reset-Aktivitäten manuell zu überprüfen, ist ähnlich unpraktisch. Netwrix AD security Produkte erleichtern es zu erkennen, welche Konten Passwort-Reset-Rechte haben. Der untenstehende Screenshot zeigt eine Umgebung, in der 1.000 Benutzer in der prod.net Domäne ihr Passwort von 15 verschiedenen Personen zurücksetzen lassen können:

6. Überwachen Sie die Nutzung von privilegierten Dienstkonten.

Ein früherer Tipp erwähnte die Notwendigkeit, auf Dienstkonten zu achten, die auf einem DC Zugriffsrechte haben, die denen von Administratoren gleichkommen. Aber die Risiken, die mit Dienstkonten verbunden sind, beschränken sich nicht nur auf DCs. Workloads wie Exchange, SQL Server, Backup-Lösungen und andere Geschäftsanwendungen laufen unter Dienstkonten, die oft administrative Privilegien haben, und jeder, der die Anmeldeinformationen eines solchen Kontos kennt, kann es für böswillige Zwecke nutzen.

Passwörter von Dienstkonten werden oft nicht regelmäßig geändert oder sogar niemals, daher ist oft unklar, wer sie genau kennt. Selbst wenn Passwörter von Dienstkonten regelmäßig geändert werden, sollte die Anmeldeaktivität dieser Konten überwacht werden, um sicherzustellen, dass sie nur für ihre zugewiesenen Dienste verwendet werden und nicht für unerlaubte Aktivitäten, wie interaktive Anmeldung an einem Domänencontroller.

Die Verwendung des Sicherheitsprotokolls auf einem DC, um festzustellen, ob ein Dienstkonto unsachgemäß verwendet wird, erfordert das Zusammensetzen mehrerer Teile eines Puzzles. Zum Beispiel zeigt Ereignis 4768 an, dass ein Kerberos-Authentifizierungsticket angefordert wurde und 4672 weist darauf hin, dass neuen Anmeldungen besondere Privilegien zugewiesen wurden, aber diese müssen mit Ereignis 4624 korreliert werden (ein Konto wurde erfolgreich angemeldet).

7. Ermitteln Sie Benutzer mit Schreibzugriff auf GPOs, die auf DCs oder Servern angewendet werden, auf denen Anwendungen mit Privileged Access Management ausgeführt werden.

Gruppenrichtlinien sind ein mächtiges Werkzeug zur Verwaltung von Benutzern und Maschinen wie DCs, Anwendungsservern und Windows-Endpunkten. Deshalb versuchen Angreifer, die Kontrolle darüber zu erlangen, und deshalb ist es zwingend notwendig, dass Sie überwachen, wer Schreibzugriff auf jedes Gruppenrichtlinienobjekt (GPO) hat.

Ein guter Ausgangspunkt ist die Überprüfung der Berechtigungen für alle GPOs, die entweder mit der Domain-Wurzel oder der OU der Domain-Controller verknüpft sind. Dies kann einfach durch Überprüfung des Delegierungs-Tabs der Standardrichtlinie für Domain-Controller erfolgen, wie unten gezeigt:

8. Identifizieren Sie alle Benutzerkonten mit Zugriff auf eine AD-Managementlösung.

Viele Organisationen verwenden Drittanbieterlösungen, um AD-Managementaufgaben zu vereinfachen. Diese Lösungen können manchmal zwei Angriffsmethoden für Bedrohungsakteure ermöglichen, die versuchen, privilegierten Zugriff zu erlangen.

• Der erste beinhaltet die Verwendung eines Dienst- oder Proxykontos, dem privilegierter Zugriff auf alles oder einen Teil von AD gewährt wird, um die Managementfunktionen der Lösung zu ermöglichen.
• Die zweite Methode verwendet ein beliebiges Konto mit zugewiesenen Berechtigungen innerhalb der Managementlösung. Hier könnte einem Benutzer mit niedrigeren Rechten die Fähigkeit eingeräumt werden, privilegierte Aufgaben auszuführen (z. B. das Zurücksetzen eines anderen Benutzers Passwort) über eine Teilmenge von AD-Konten. Je nach Umfang der Delegation kann die Kontrolle über ein Konto wie dieses genauso wertvoll sein wie die eines Domain-Admins.

Um Einblick in diese Risiken zu erhalten, müssen Sie ein Inventar aller verwendeten Managementanwendungen erstellen. Beachten Sie, dass sie oft nicht auf einem Domain-Controller liegen. Dann müssen Sie alle Dienst- und Proxykonten identifizieren, die über Privileged Access verfügen, und überwachen, was diese Konten tun. Die meisten Managementlösungen bieten einige Möglichkeiten, eine Audit-Trail zu erstellen, um auf unangemessenes Verhalten zu überwachen. Jegliche von diesen Anwendungen generierte Alarme können auch an eine SIEM-Lösung weitergeleitet werden, falls eine verfügbar ist.

Alternativ kann Netwrix Auditor tägliche Aktivitätszusammenfassungen senden, die alle Änderungen an Hardware und Software, geplanten Aufgaben, Anwendungen, Netzwerkeinstellungen und mehr auf Ihren Windows-Servern detailliert darstellen. Unten ist ein Screenshot, der alle installierten Anwendungen zeigt:

9. Vergessen Sie nicht die Administratoren der Virtualisierungsinfrastruktur.

Um Ihre virtuelle AD-Umgebung zu sichern, müssen Sie wissen, welche Konten privilegierten Zugriff auf Ihre virtuelle Infrastruktur haben. Denken Sie daran, dass jeder, der die virtuelle Umgebung verwaltet, die DCs oder Mitgliedsserver hostet, über eine dem administrativen Zugriff auf eine physische Maschine entsprechende Berechtigung verfügt.

Zum Beispiel haben Mitglieder der lokalen Gruppe Hyper-V Administratoren bei Verwendung von Hyper-V Administrationszugriff auf das Gastbetriebssystem. Ähnlich verfügt der root-Benutzer auf einem ESXi-System in VMware-Umgebungen über das gleiche Zugriffsniveau. Und obwohl Mitgliedsserver möglicherweise kein AD hosten, stellen jegliche Managementanwendungen oder Dienstkonten mit AD-Berechtigungen dasselbe Risiko dar.

10. Verhindern Sie, dass Administratoren Anmeldeinformationen-Artefakte hinterlassen.

Wenn sich ein Benutzer an einem System anmeldet, bleiben oft Teile der Anmeldeinformationen zurück, nachdem der Benutzer sich abgemeldet hat. Diese Informationen können Klartextpasswörter, Passwort-Hashes, NTLM-Hashes und Kerberos-Tickets umfassen. Mit Werkzeugen wie Mimikatz können Angreifer diese im Speicher von Servern und Arbeitsstationen zurückgelassenen Artefakte leicht ausnutzen, um sich als privilegierte Konten zu authentifizieren. Beispielsweise können Klartextpasswörter einfach wiederverwendet werden, und Hashes können als Teil einer Authentifizierungsanfrage übermittelt werden, wobei zusätzliche Hacking-Tools verwendet werden, um Zugang zu anderen Systemen zu erhalten.

Leider ist es nahezu unmöglich zu identifizieren, welche Maschinen privilegierte Anmeldeinformationen-Artefakte aufweisen. Daher muss Ihr Fokus darauf liegen zu bestimmen, wo sich privilegierte Benutzer anmelden.

Wie zuvor erwähnt, können Sie die Ereignis-ID 4627 (Spezielle Berechtigungen wurden dem neuen Anmelden zugewiesen) auf jedem aktuellen Windows-System überwachen, um Gruppen zu identifizieren, die als privilegiert bekannt sind. Und Sie können die Ereignis-ID 4769 (Ein Kerberos-Dienstticket wurde angefordert) auf Ihren DCs überwachen, um privilegierte Anmeldungen zu identifizieren.

Nachdem Sie einen Überblick darüber haben, wie privilegierte Konten verwendet werden, stellen Sie sicher, dass die WDigest-Einstellungen das Speichern von Klartext-Passwörtern im Speicher verhindern. Sie sollten auch nicht zulassen, dass privilegierte Konten auf Benutzerarbeitsstationen verwendet werden, um deren Anmeldeinformationen sicher zu halten, und ein Konto mit Local Admin-Rechten verwenden, um Probleme von Endbenutzern zu beheben.

Ein festes Kontrollieren von Privileged Accounts

Privilegierte Benutzerkonten — von Konten mit lokalen Admin-Rechten auf einem Computer bis hin zu solchen mit vollen Domain-Admin-Privilegien — werden regelmäßig von Angreifern ins Visier genommen. Um Sicherheitsverletzungen und Ausfallzeiten zu verhindern, müssen Sie wissen, wer Ihre privilegierten Benutzer sind und auf Änderungen achten, die den privilegierten Zugang beeinflussen könnten. Wenn Sie sich jedoch auf native Tools verlassen, sind Bewertung und Überwachung zeitaufwendige und fehleranfällige Prozesse. Für das zuverlässige 24/7-Monitoring, das Sie benötigen, um Ihre privilegierten Konten vor Kompromittierung und Missbrauch zu schützen, benötigen Sie automatisierte Tools von Drittanbietern. Die Netwrix suite of solutions bietet Ihnen die Sichtbarkeit, die Sie benötigen, um Versuche der Privilege Escalation und Missbrauch von Privilegien zu erkennen und zu vereiteln.