11
Eindrucksvolle Illustration zum Thema Pass the hash und Credential Phishing
https://www.ws-its.de/wp-content/uploads/2017/09/WSHowTo-Credential-Secu ...
Das Thema ist nicht neu, bleibt aber auch mit aktuellsten Windowsversionen brandaktuell.
Zusammenfassung in 2 Sätzen:
Wer als Administrator einer Windowsdomäne meint, es wäre ok, mit hochprivilegierten Konten oder gar dem Domänenadminkonto auch die Clientadministration zu machen, der riskiert, dass im Handumdrehen seine Domäne feindlich übernommen wird.
Diese hervorragende Zusammenstellung zeigt einfach und anschaulich, wie das genau abläuft und was Microsoft an Gegenmaßnahmen vorschlägt.
Es lohnt sich ebenso, sich auf der Site https://www.ws-its.de/ umzusehen - der Autor geht in seinen Artikeln und Videotutorials erstaunlich sorgfältig vor und erklärt gründlich.
Das Thema ist nicht neu, bleibt aber auch mit aktuellsten Windowsversionen brandaktuell.
Zusammenfassung in 2 Sätzen:
Wer als Administrator einer Windowsdomäne meint, es wäre ok, mit hochprivilegierten Konten oder gar dem Domänenadminkonto auch die Clientadministration zu machen, der riskiert, dass im Handumdrehen seine Domäne feindlich übernommen wird.
Diese hervorragende Zusammenstellung zeigt einfach und anschaulich, wie das genau abläuft und was Microsoft an Gegenmaßnahmen vorschlägt.
Es lohnt sich ebenso, sich auf der Site https://www.ws-its.de/ umzusehen - der Autor geht in seinen Artikeln und Videotutorials erstaunlich sorgfältig vor und erklärt gründlich.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 600892
Url: https://administrator.de/contentid/600892
Printed on: July 27, 2024 at 03:07 o'clock
11 Comments
Latest comment
Hi,
vielen Dank für die Infos! Wie sieht das denn mit Win10 pro aus? Was kann man da tun? Oder eben auch ältere Windows Server als 2016 (welche ja immernoch Sicherheitsupdates erhalten).
vielen Dank für die Infos! Wie sieht das denn mit Win10 pro aus? Was kann man da tun? Oder eben auch ältere Windows Server als 2016 (welche ja immernoch Sicherheitsupdates erhalten).
Moin.
Lass mich raten: du hast das PDF nur überflogen. Es steht doch alles genau drin.
Aus meiner Sicht der beste Schutz: segmentieren des Netzwerkes, also Anmeldeberechtigungen für die Domänenadmins nur auf Domänencontrollern oder PAWs, Anmelden von Serveradmins nur auf Servern und von Clientadmins nur auf Clients.
Zusätzlich kann/sollte man die Domänenadmins noch in die Gruppe "Protected users" stecken, falls die eigene Domäne den Funktionslevel 2012 oder höher hat uns alle Systeme 2012/Windows 8 oder höher sind und Kerberosauthentifizierung für alles ausreicht, was die Dom.admins tun sollen.
Lass mich raten: du hast das PDF nur überflogen. Es steht doch alles genau drin.
Aus meiner Sicht der beste Schutz: segmentieren des Netzwerkes, also Anmeldeberechtigungen für die Domänenadmins nur auf Domänencontrollern oder PAWs, Anmelden von Serveradmins nur auf Servern und von Clientadmins nur auf Clients.
Zusätzlich kann/sollte man die Domänenadmins noch in die Gruppe "Protected users" stecken, falls die eigene Domäne den Funktionslevel 2012 oder höher hat uns alle Systeme 2012/Windows 8 oder höher sind und Kerberosauthentifizierung für alles ausreicht, was die Dom.admins tun sollen.
Sehr cool! Vielen Dank dafür!
Domänen-Admins haben an Clients nichts verloren, schon alleine weil man damit Schadsoftware mit der Anmeldung Tür und Tor öffnet. Dafür gibt’s LAPS, das ist auch in kleinen Unternehmen immer zu empfehlen. Microsoft hat (vielleicht auch hatte nach der Umstellung) übrigens eine Prüfung welche sich speziell mit diesen und vielen weiteren Security Design Themen beschäftigt. (70-744 Securing Windows Server). Dabei muss man halt überlegen was für die jeweilige Umgebung in Hinblick auf Aufwand und Verwaltbarkeit Sinn macht oder Overkill ist.
Hier noch Infos von MS
https://docs.microsoft.com/de-de/archive/blogs/austria/pass-the-hash-ang ...
Die richtige Antwort in der Prüfung ist übrigens meist eine zusätzliche dedizierte administrative Verwaltungs-Gesamtstruktur aufbauen. ;)
https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/planning ...
Vielleicht auch interessant
„ATA analysiert und "erlernt" den Active Directory Netzwerkverkehr um dieses Wissen anschließend für Überwachung und Alarmierung bei Gefahr zu nutzen.“
Hier noch Infos von MS
https://docs.microsoft.com/de-de/archive/blogs/austria/pass-the-hash-ang ...
Die richtige Antwort in der Prüfung ist übrigens meist eine zusätzliche dedizierte administrative Verwaltungs-Gesamtstruktur aufbauen. ;)
https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/planning ...
Vielleicht auch interessant
„ATA analysiert und "erlernt" den Active Directory Netzwerkverkehr um dieses Wissen anschließend für Überwachung und Alarmierung bei Gefahr zu nutzen.“
Solche Anleitungen sind immer wieder sehr hilfreich die eigenen Mechanismen kritisch zu hinterfragen und ggf. anzupassen. Merci.
Jein. Mir ging es um Alternativen zum Device Guard selbst als "Mechanismus". Also alternative Tools etc. PAW oder Client-/Serveradmins sind mir bekannt.
Aber ja, trotzdem Danke.
Aber ja, trotzdem Danke.
Mal eine Frage zu seinem Tipp Nr6 "Deaktivierung der Debug-Berechtigung"
Ich kann jetzt zwar mit der GPO dem Admin das privileg entziehen, aber wenn jemand lokaler Admin ist, dann kann er ja auch einfach den Prozess als SYSTEM starten. Und DEM kann ich das privileg nicht entziehen. Bringt also herzlich wenig. Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Ich kann jetzt zwar mit der GPO dem Admin das privileg entziehen, aber wenn jemand lokaler Admin ist, dann kann er ja auch einfach den Prozess als SYSTEM starten. Und DEM kann ich das privileg nicht entziehen. Bringt also herzlich wenig. Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Mal eine Frage zu seinem Tipp Nr6 "Deaktivierung der Debug-Berechtigung"
Ich sehe das eher als Ergänzung....nicht als Einzelmaßnahme.
@Ex0r2k16
Sicherer Umgang mit Supportkonten - kein Tool, sondern ein Konzept, meiner Ansicht nach weitaus besser als LAPS.
Verwenden von Shadowing für Windows-Benutzerunterstützung und Fernsteuerung zusätzlich für in-Session-Hilfe
@SeaStorm
Mir ging es um Alternativen zum Device Guard selbst als "Mechanismus". Also alternative Tools etc
Ich habe ein Konzept für sichere Remotehilfe aufgeschrieben, was gut passt für Workstationadministration:Sicherer Umgang mit Supportkonten - kein Tool, sondern ein Konzept, meiner Ansicht nach weitaus besser als LAPS.
Verwenden von Shadowing für Windows-Benutzerunterstützung und Fernsteuerung zusätzlich für in-Session-Hilfe
@SeaStorm
Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Man kann dem Admin nichts an Rechten dauerhaft wegnehmen mit Windowsmitteln - da müssten schon 3rd-Party-Dienste her, die eine Parallelhierarchie hochziehen (was wieder Komplexität reinbringt, die man nicht will).
1
sauber danke dir!
Sehr schön, leider muss man das aber alles selbst machen, wäre eigentlich schön wenn es MS in den Dialog integriert wo man sich einen Domäne zusammenklickt.
So nach dem Motto: Bitte noch zwangsweise einen Tier1 und Tier2 Admin anlegen, und wollen Sie mit einem knopfdruck das Anmelden über Tier grenzen verbieten? Zack ja, alles gut.
... zurück aus der Traumwelt
So nach dem Motto: Bitte noch zwangsweise einen Tier1 und Tier2 Admin anlegen, und wollen Sie mit einem knopfdruck das Anmelden über Tier grenzen verbieten? Zack ja, alles gut.
... zurück aus der Traumwelt
1