derwowusste
Goto Top

Eindrucksvolle Illustration zum Thema Pass the hash und Credential Phishing

https://www.ws-its.de/wp-content/uploads/2017/09/WSHowTo-Credential-Secu ...
Das Thema ist nicht neu, bleibt aber auch mit aktuellsten Windowsversionen brandaktuell.

Zusammenfassung in 2 Sätzen:
Wer als Administrator einer Windowsdomäne meint, es wäre ok, mit hochprivilegierten Konten oder gar dem Domänenadminkonto auch die Clientadministration zu machen, der riskiert, dass im Handumdrehen seine Domäne feindlich übernommen wird.
Diese hervorragende Zusammenstellung zeigt einfach und anschaulich, wie das genau abläuft und was Microsoft an Gegenmaßnahmen vorschlägt.

Es lohnt sich ebenso, sich auf der Site https://www.ws-its.de/ umzusehen - der Autor geht in seinen Artikeln und Videotutorials erstaunlich sorgfältig vor und erklärt gründlich.

Content-Key: 600892

Url: https://administrator.de/contentid/600892

Printed on: June 19, 2024 at 00:06 o'clock

Member: Ex0r2k16
Ex0r2k16 Sep 01, 2020 at 13:36:45 (UTC)
Goto Top
Hi,

vielen Dank für die Infos! Wie sieht das denn mit Win10 pro aus? Was kann man da tun? Oder eben auch ältere Windows Server als 2016 (welche ja immernoch Sicherheitsupdates erhalten).
Member: DerWoWusste
DerWoWusste Sep 01, 2020 updated at 13:54:05 (UTC)
Goto Top
Moin.

Lass mich raten: du hast das PDF nur überflogen. Es steht doch alles genau drin.

Aus meiner Sicht der beste Schutz: segmentieren des Netzwerkes, also Anmeldeberechtigungen für die Domänenadmins nur auf Domänencontrollern oder PAWs, Anmelden von Serveradmins nur auf Servern und von Clientadmins nur auf Clients.

Zusätzlich kann/sollte man die Domänenadmins noch in die Gruppe "Protected users" stecken, falls die eigene Domäne den Funktionslevel 2012 oder höher hat uns alle Systeme 2012/Windows 8 oder höher sind und Kerberosauthentifizierung für alles ausreicht, was die Dom.admins tun sollen.
Member: SeaStorm
SeaStorm Sep 01, 2020 at 19:04:06 (UTC)
Goto Top
Sehr cool! Vielen Dank dafür!
Member: LeeX01
LeeX01 Sep 02, 2020 updated at 05:41:55 (UTC)
Goto Top
Domänen-Admins haben an Clients nichts verloren, schon alleine weil man damit Schadsoftware mit der Anmeldung Tür und Tor öffnet. Dafür gibt’s LAPS, das ist auch in kleinen Unternehmen immer zu empfehlen. Microsoft hat (vielleicht auch hatte nach der Umstellung) übrigens eine Prüfung welche sich speziell mit diesen und vielen weiteren Security Design Themen beschäftigt. (70-744 Securing Windows Server). Dabei muss man halt überlegen was für die jeweilige Umgebung in Hinblick auf Aufwand und Verwaltbarkeit Sinn macht oder Overkill ist.

Hier noch Infos von MS
https://docs.microsoft.com/de-de/archive/blogs/austria/pass-the-hash-ang ...

Die richtige Antwort in der Prüfung ist übrigens meist eine zusätzliche dedizierte administrative Verwaltungs-Gesamtstruktur aufbauen. ;)
https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/planning ...

Vielleicht auch interessant
„ATA analysiert und "erlernt" den Active Directory Netzwerkverkehr um dieses Wissen anschließend für Überwachung und Alarmierung bei Gefahr zu nutzen.“
Member: Looser27
Looser27 Sep 02, 2020 at 07:04:06 (UTC)
Goto Top
Solche Anleitungen sind immer wieder sehr hilfreich die eigenen Mechanismen kritisch zu hinterfragen und ggf. anzupassen. Merci.
Member: Ex0r2k16
Ex0r2k16 Sep 02, 2020 at 07:31:51 (UTC)
Goto Top
Jein. Mir ging es um Alternativen zum Device Guard selbst als "Mechanismus". Also alternative Tools etc. PAW oder Client-/Serveradmins sind mir bekannt.

Aber ja, trotzdem Danke.
Member: SeaStorm
SeaStorm Sep 02, 2020 at 08:27:50 (UTC)
Goto Top
Mal eine Frage zu seinem Tipp Nr6 "Deaktivierung der Debug-Berechtigung"
Ich kann jetzt zwar mit der GPO dem Admin das privileg entziehen, aber wenn jemand lokaler Admin ist, dann kann er ja auch einfach den Prozess als SYSTEM starten. Und DEM kann ich das privileg nicht entziehen. Bringt also herzlich wenig. Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Member: Looser27
Looser27 Sep 02, 2020 at 08:37:43 (UTC)
Goto Top
Mal eine Frage zu seinem Tipp Nr6 "Deaktivierung der Debug-Berechtigung"

Ich sehe das eher als Ergänzung....nicht als Einzelmaßnahme.
Member: DerWoWusste
DerWoWusste Sep 02, 2020 updated at 13:49:48 (UTC)
Goto Top
@Ex0r2k16
Mir ging es um Alternativen zum Device Guard selbst als "Mechanismus". Also alternative Tools etc
Ich habe ein Konzept für sichere Remotehilfe aufgeschrieben, was gut passt für Workstationadministration:
Sicherer Umgang mit Supportkonten - kein Tool, sondern ein Konzept, meiner Ansicht nach weitaus besser als LAPS.
Verwenden von Shadowing für Windows-Benutzerunterstützung und Fernsteuerung zusätzlich für in-Session-Hilfe

@SeaStorm
Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Man kann dem Admin nichts an Rechten dauerhaft wegnehmen mit Windowsmitteln - da müssten schon 3rd-Party-Dienste her, die eine Parallelhierarchie hochziehen (was wieder Komplexität reinbringt, die man nicht will).
Member: Ex0r2k16
Ex0r2k16 Sep 02, 2020 at 13:22:43 (UTC)
Goto Top
sauber danke dir!
Member: NetzwerkDude
NetzwerkDude Sep 04, 2020 at 11:55:46 (UTC)
Goto Top
Sehr schön, leider muss man das aber alles selbst machen, wäre eigentlich schön wenn es MS in den Dialog integriert wo man sich einen Domäne zusammenklickt.

So nach dem Motto: Bitte noch zwangsweise einen Tier1 und Tier2 Admin anlegen, und wollen Sie mit einem knopfdruck das Anmelden über Tier grenzen verbieten? Zack ja, alles gut.

... zurück aus der Traumwelt face-smile