Eindrucksvolle Illustration zum Thema Pass the hash und Credential Phishing

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

01.09.2020 um 15:13 Uhr, 1387 Aufrufe, 11 Kommentare, 10 Danke

https://www.ws-its.de/wp-content/uploads/2017/09/WSHowTo-Credential-Secu ...
Das Thema ist nicht neu, bleibt aber auch mit aktuellsten Windowsversionen brandaktuell.

Zusammenfassung in 2 Sätzen:
Wer als Administrator einer Windowsdomäne meint, es wäre ok, mit hochprivilegierten Konten oder gar dem Domänenadminkonto auch die Clientadministration zu machen, der riskiert, dass im Handumdrehen seine Domäne feindlich übernommen wird.
Diese hervorragende Zusammenstellung zeigt einfach und anschaulich, wie das genau abläuft und was Microsoft an Gegenmaßnahmen vorschlägt.

Es lohnt sich ebenso, sich auf der Site https://www.ws-its.de/ umzusehen - der Autor geht in seinen Artikeln und Videotutorials erstaunlich sorgfältig vor und erklärt gründlich.
Mitglied: Ex0r2k16
01.09.2020 um 15:36 Uhr
Hi,

vielen Dank für die Infos! Wie sieht das denn mit Win10 pro aus? Was kann man da tun? Oder eben auch ältere Windows Server als 2016 (welche ja immernoch Sicherheitsupdates erhalten).
Bitte warten ..
Mitglied: DerWoWusste
01.09.2020, aktualisiert um 15:54 Uhr
Moin.

Lass mich raten: du hast das PDF nur überflogen. Es steht doch alles genau drin.

Aus meiner Sicht der beste Schutz: segmentieren des Netzwerkes, also Anmeldeberechtigungen für die Domänenadmins nur auf Domänencontrollern oder PAWs, Anmelden von Serveradmins nur auf Servern und von Clientadmins nur auf Clients.

Zusätzlich kann/sollte man die Domänenadmins noch in die Gruppe "Protected users" stecken, falls die eigene Domäne den Funktionslevel 2012 oder höher hat uns alle Systeme 2012/Windows 8 oder höher sind und Kerberosauthentifizierung für alles ausreicht, was die Dom.admins tun sollen.
Bitte warten ..
Mitglied: SeaStorm
01.09.2020 um 21:04 Uhr
Sehr cool! Vielen Dank dafür!
Bitte warten ..
Mitglied: LeeX01
02.09.2020, aktualisiert um 07:41 Uhr
Domänen-Admins haben an Clients nichts verloren, schon alleine weil man damit Schadsoftware mit der Anmeldung Tür und Tor öffnet. Dafür gibt’s LAPS, das ist auch in kleinen Unternehmen immer zu empfehlen. Microsoft hat (vielleicht auch hatte nach der Umstellung) übrigens eine Prüfung welche sich speziell mit diesen und vielen weiteren Security Design Themen beschäftigt. (70-744 Securing Windows Server). Dabei muss man halt überlegen was für die jeweilige Umgebung in Hinblick auf Aufwand und Verwaltbarkeit Sinn macht oder Overkill ist.

Hier noch Infos von MS
https://docs.microsoft.com/de-de/archive/blogs/austria/pass-the-hash-ang ...

Die richtige Antwort in der Prüfung ist übrigens meist eine zusätzliche dedizierte administrative Verwaltungs-Gesamtstruktur aufbauen. ;)
https://docs.microsoft.com/de-de/microsoft-identity-manager/pam/planning ...

Vielleicht auch interessant
„ATA analysiert und "erlernt" den Active Directory Netzwerkverkehr um dieses Wissen anschließend für Überwachung und Alarmierung bei Gefahr zu nutzen.“
Bitte warten ..
Mitglied: Looser27
02.09.2020 um 09:04 Uhr
Solche Anleitungen sind immer wieder sehr hilfreich die eigenen Mechanismen kritisch zu hinterfragen und ggf. anzupassen. Merci.
Bitte warten ..
Mitglied: Ex0r2k16
02.09.2020 um 09:31 Uhr
Jein. Mir ging es um Alternativen zum Device Guard selbst als "Mechanismus". Also alternative Tools etc. PAW oder Client-/Serveradmins sind mir bekannt.

Aber ja, trotzdem Danke.
Bitte warten ..
Mitglied: SeaStorm
02.09.2020 um 10:27 Uhr
Mal eine Frage zu seinem Tipp Nr6 "Deaktivierung der Debug-Berechtigung"
Ich kann jetzt zwar mit der GPO dem Admin das privileg entziehen, aber wenn jemand lokaler Admin ist, dann kann er ja auch einfach den Prozess als SYSTEM starten. Und DEM kann ich das privileg nicht entziehen. Bringt also herzlich wenig. Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Bitte warten ..
Mitglied: Looser27
02.09.2020 um 10:37 Uhr
Mal eine Frage zu seinem Tipp Nr6 "Deaktivierung der Debug-Berechtigung"

Ich sehe das eher als Ergänzung....nicht als Einzelmaßnahme.
Bitte warten ..
Mitglied: DerWoWusste
02.09.2020, aktualisiert um 15:49 Uhr
@Ex0r2k16
Mir ging es um Alternativen zum Device Guard selbst als "Mechanismus". Also alternative Tools etc
Ich habe ein Konzept für sichere Remotehilfe aufgeschrieben, was gut passt für Workstationadministration:
https://administrator.de/tutorial/sicherer-umgang-supportkonten-262066.h ... - kein Tool, sondern ein Konzept, meiner Ansicht nach weitaus besser als LAPS.
https://administrator.de/tutorial/verwenden-shadowing-windows-benutzerun ... zusätzlich für in-Session-Hilfe

@SeaStorm
Gibt es die Möglichkeit den Lokalen Admins das Recht zu entziehen einen Prozess als System zu starten?
Man kann dem Admin nichts an Rechten dauerhaft wegnehmen mit Windowsmitteln - da müssten schon 3rd-Party-Dienste her, die eine Parallelhierarchie hochziehen (was wieder Komplexität reinbringt, die man nicht will).
Bitte warten ..
Mitglied: Ex0r2k16
02.09.2020 um 15:22 Uhr
sauber danke dir!
Bitte warten ..
Mitglied: NetzwerkDude
04.09.2020 um 13:55 Uhr
Sehr schön, leider muss man das aber alles selbst machen, wäre eigentlich schön wenn es MS in den Dialog integriert wo man sich einen Domäne zusammenklickt.

So nach dem Motto: Bitte noch zwangsweise einen Tier1 und Tier2 Admin anlegen, und wollen Sie mit einem knopfdruck das Anmelden über Tier grenzen verbieten? Zack ja, alles gut.

... zurück aus der Traumwelt
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
Erkennung und -Abwehr
Phishing von Googel
KowaKowalskiTippErkennung und -Abwehr3 Kommentare

Hallo Kollegen, einige unserer Kunden arbeiten mit Googlekonten und melden nun das seit einigen Tagen Kontenwarnugen eintrudeln. von Googel ...

Erkennung und -Abwehr
Phishing-Risiko Punycode-Domains
StefanKittelInformationErkennung und -Abwehr2 Kommentare

Hallo, hier ist ein schöner Artikel zum Thema "Phishing-Risiko Punycode-Domains ". Wobei es vermutlich gar nicht so kompliziert sein ...

iOS
IOS: Passwort-Phishing
sabinesInformationiOS

Ein unglaublich leichter Weg an eine Apple ID zu kommen, wird hier erklärt:

Weiterbildung
2. IT Pro Night Thema Sicherheit
1Werner1InformationWeiterbildung

Moin, nach dem im letzten Jahr die IT ProNight ein voller Erfolg war, haben wir diese dies Jahr ins ...

Datenschutz

Verschlüsselung: ein Kommentar zum Thema E-Mailverschlüsselung

Penny.CilinInformationDatenschutz6 Kommentare

Hallo, aufgrund verschiedener aktueller Themen: Microsoft: Welche Daten werden eigentlich gesammelt? Limux-Ende in München: Wie ein Linux Projekt unter ...

Cloud-Dienste

BDrive: sichere Alternative der Bundesdruckerei zum Thema Cloudspeicher

em-pieTippCloud-Dienste5 Kommentare

Guten Morgen zusammen, per Zufall bin ich gestern einmal im Rahmen meines CeBIT-Besuches über das Produktportfolio unserer (deutschen) Bundesdruckerei ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT