20 Jahre alt und immer noch das Haupteinfallstor für Angreifer: Das Active Directory | Oliver Jäkel

Shownotes

Blog-Artikel von Oliver Jäkel im HiSolutions Research Blog:

  1. Windows-Angriffe entgegen der Vertrauensstellung
  2. Kennwortrichtlinien im Active Directory. Ein Missverständnis mit Folgen

Transkript anzeigen

00:00:01: Wenn ich mit die heutige Angriffslandschaft angucke, dann wird man immer wieder sehen dass die Einfallstore über das AD, über deren Dessen Implementierung einfach laufen ausgenutzt werden.

00:00:12: Und das AD ist halt, das hast du auch gerade gesagt hochkomplex.

00:00:16: also Ich beschäftige mich mit dem AD seit seiner Einführung mit Windows Server two-thousand und ich lerne jeden Tag dazu.

00:00:26: Also das gibt immer wieder Ecken wo ich auch sage Jo, da hab ich noch nie von gehört.

00:00:31: Und dann möchte ich gar nicht mit dem Admin im Alltagsgeschäft tauschen beziehungsweise das habe ich auch gemacht durchaus.

00:00:41: Das ist halt einfach immer wieder so ein Katzenmausspiel.

00:00:43: also man muss immer hinterher rennen, man muss gucken verstehe ich dass alles was kann ich überhaupt tun und da fängt es halt an spannend zu werden weil... Dass wir draußen so aufhören.

00:00:54: Ich mach sehr viele technische Konfigurationsaudits Es ist sehr häufig Fehlendes Know-how, was dann natürlich so in Zeitmangel sehr häufig begründet ist.

00:01:22: Hallo!

00:01:22: Herzlich willkommen.

00:01:23: hier sind wir wieder eine weitere Folge von unserem Highway Podcast, dem Podcast der High Solutions.

00:01:29: Wir haben Auch diesmal wieder ein wunderbaren Experten, an der uns Rede und Antwort stehen wird oder vielleicht auch ganz von selbst reden wird.

00:01:36: Und da müssen wir mal gucken ob ich überhaupt Fragen stellen muss.

00:01:39: Olli du hast jede Menge zu erzählen!

00:01:41: Ich freue mich dass du da bist.

00:01:43: Wir haben uns einen Thema rausgesucht heute was kein Buzzword-Thema ist.

00:01:49: Wir haben immer mal im Podcast.

00:01:50: natürlich wollen wir neue Entwicklungen aufgreifen und Dinge, die jetzt gerade modernen und gerade in Veränderung sind.

00:01:55: Und wir haben uns aber im Vorfeld darauf geeinigt ein Thema aufzugreifen, das überhaupt nicht neu ist, was aber trotzdem überhaupt nicht an Relevanz verloren hat!

00:02:04: Und wir hatten uns ein technisches Thema ausgesucht denn du selber bist ziemlich tieftechnisch unterwegs auch wenn du ursprünglich mal Politikwissenschaftler warst?

00:02:13: Das ist richtig.

00:02:15: Du hast aber als angestellter Admin gearbeitet dann.

00:02:19: Muss ich dich bei Gelegenheit mal fragen, wie du von A nach B gekommen bist?

00:02:22: Aber danach warst du selbstständiger Trainer für alle Dinge rund um Windows und hattest immer ein Security-Fokus und bist dann letztendlich bei uns gelandet und bereit.

00:02:31: jetzt zu Security-Themen.

00:02:33: Rund um die Microsoft Welt vielleicht eher die Unpremise Microsoft Welt sogar ein bisschen mehr Genau!

00:02:39: Und wir reden heute Über das Active Directory, also über ein ziemlich technisches Thema mit ganz viel Details.

00:02:44: Wir versuchen es so zu halten, dass es möglichst verständlich für möglichst viele ist.

00:02:50: Als ich diesen Begriff des ersten Mal begegnet bin hatte ich mein ganzes IT-, also mein ganzeres Informatikdeplomstudium schon hinter mir.

00:02:56: Also ich hatte fünf Jahre, es hat sogar ein bisschen länger gedauert damit zugebracht alle möglichen Grundlagen kennenzulernen und Konzepte zu lernen Und kam dann in meinen ersten Beruf und war auf einmal damit konfrontiert Sicherheitsanforderungen für ein Active Directory irgendwie bewerten zu sollen.

00:03:11: Und ich hatte von diesem Ding noch nie was gehört, ich wusste nicht, was es ist!

00:03:15: Denn meine ganze Ausbildung war auf Linux-Basis gewesen und in den theoretischen Unigefilden musste dann aber ziemlich schnell lernen dass das ein ziemlich wichtiges Ding ist.

00:03:25: Frage eins

00:03:26: Ganz ganz kurze Zusammenfassung.

00:03:28: Warum ist es ein wichtiges ding?

00:03:30: Was macht es

00:03:31: vor allem wegen des Verbreitungsgrades?

00:03:33: das Active Directory ist eigentlich dafür da in Firmen jeglicher Größe, sage ich mal eine zentrale Benutzer- und Geräteverwaltung bereitzustellen.

00:03:42: Aber gleichzeitig auch die Möglichkeit zu geben mit Richtlinien zu konfigurieren, Benutze um Geräten also an die Leine zu nehmen.

00:03:49: Und da ist es eigentlich unersetzlich und es gibt halt auch leider weniger Alternativen sich draußen durchgesetzt haben.

00:03:59: Es gibt Alternativen, aber die haben eben nicht diesen Verbreitungsgrad und deshalb haben wir ein zwanzig Jahre altes System draußen laufen das wirklich fast überall muss man sagen eingesetzt wird aber leider so seine Probleme mit sich bringt.

00:04:15: zu toll ist in der Grundanlage ist

00:04:17: wenn du sagst die werden damit verwaltet die ganzen benutzer werden verwaltet die geräte werden verwaltet da kann ich mir verschiedenes drunter vorstellen wenn die einfach aufgelistet.

00:04:26: Das ist eine der Aufgaben, aber es ist eben auch dafür da diese Benutzer kontrollieren zu können und sie bestimmten Richtlinien zu unterwerfen.

00:04:33: Einfach dass ich eine... das ist der große Gag eigentlich zentrale Kontrollmöglichkeit habe.

00:04:38: Ich hab sehr vereinfacht gesprochen Eine Datenbank in der alles zusammenläuft Und das macht mir natürlich die Verwaltung von gerade größeren Umgebungen im Idealfall leichter

00:04:51: Und es macht natürlich auch dieses Verzeichnis einem super spannenden Angriffspunkt

00:04:55: Definitiv.

00:04:57: Also aus Pentester Perspektive ist das eine sehr lohnende Frucht.

00:05:01: und da ist das Hauptproblem sicherlich darin zu suchen, dass die Default-Einstellungen nicht unbedingt die Wünschenswerten sind weil Microsoft über die ganzen Jahre eigentlich immer die Devise gefahren hat wir müssen A abwärts kompatibel sein und B wenn man es jetzt sehr sehr flapsig formuliert das Ding einfach laufen soll.

00:05:23: Und das führt dann halt zu wirklich offenen Flanken, die Pentester dankend ausnutzen und die natürlich auch die Bösen draußen dankend Ausnutzen.

00:05:32: Also das Active Directory ist seit gut zwanzig Jahren glaube ich im Betrieb hat jetzt gerade eine Änderung tatsächlich mal wieder erfahren.

00:05:41: da hatte schon kaum jemand mehr mit gerechnet dass Microsoft sich dem Produkt On-Premises hat so gerade schon gesagt überhaupt noch widmet weil Die Vorzeichnung des Weges in die Cloud es ja nunmal dar.

00:05:52: Aber du hast heutzutage sehr viele Hybridstellungen und damit werden viele Firmen dieses alte Konstrukt Active Directory einfach nicht so leicht los.

00:06:04: Und deswegen müssen wir uns damit auseinandersetzen.

00:06:06: in unsere Aufgabe, ist dann halt die Sachen, die im Default nicht gehertet sind, einfach mal ein bisschen besser zu konfigurieren, weil das geht sehr

00:06:16: wohl.".

00:06:17: Das heißt du sagst es ist eigentlich jetzt Es ist nicht ein Grundproblem mit dem Produkt, aber es ist ein Produkt was wahnsinnig viele Stellschrauben hat.

00:06:25: Was mit Defaults ausgeliefert wird die eben nicht auf Sicherheit sondern auf schnelle Funktionsfähigkeit ausgestattet

00:06:30: sind?

00:06:30: Das kann man so bisschen formulieren.

00:06:32: ja das ist vielleicht in Richtung Microsoft vielleicht ein bisschen gemein aber weil der Security Focus auch in Redmond durchaus angekommen ist.

00:06:41: Aber wenn ich mir die heutige Angriffslandschaft angucke dann wird man immer wieder sehen dass die Einfalstore über dessen Implementierungen einfach laufen ausgenutzt werden.

00:06:53: Und das AD ist halt, das hast du auch gerade gesagt hochkomplex.

00:06:57: also ich beschäftige mich mit dem ade seit seiner Einführung mit Windows Server zweitausend und Ich lerne jeden tag dazu.

00:07:07: Also dass gibt immer wieder ecken wo ich auch sage ja da habe ich noch nie von gehört Und dann möchte ich gar nicht mit dem Atmen im Alltagsgeschäft tauschen, beziehungsweise das habe ich auch gemacht durchaus.

00:07:22: Das ist halt einfach immer wieder so ein Katzen-Mauspiel.

00:07:25: Man muss hinterherrennen und gucken, verstehe ich das alles?

00:07:29: Was kann ich überhaupt tun?

00:07:31: Da fängt es an, spannend zu werden.

00:07:33: Weil was wir draußen so aufhören ... Ich mache sehr viele technische Konfigurationsaudits.

00:07:38: Es ist sehr häufig auch ... Fehlendes Know-how, was dann natürlich in Zeitmangel sehr häufig begründet ist.

00:07:46: Aber man sieht halt so Sachen wo man sich als langjähriger Kenner sage ich jetzt mal oder Beschäftiger mit diesem Produkt Wo man sagt naja es doch klar muss man anders machen.

00:07:58: Das ist draußen gar nicht so verbreitet wie sein sollte und da können wir natürlich auch helfen.

00:08:04: das keine Frage.

00:08:09: Also tatsächlich jedes Mal, wenn ich irgendwie in der Qualitätssicherung oder so ein Pentistbericht unter der Nase habe.

00:08:14: Wenn ich gucke wo sind die roten Befunde also die mit dem hohen Risiko dran?

00:08:18: Es ist natürlich häufig die Befune wo jemand es schafft um die eigenen Berechtigungen auszuweiten von einem einzelnen System auf mehr Systeme zuzugreifen von einem normalen Benutzerkonto Administrator zu werden oder eben Domain-Administrator für die Gesamtheit der Organisation Sachen konfigurieren und ändern zu können.

00:08:36: Und das sind ja auch sozusagen die klassischen Wege in den Inzidenzen, die wir sehen oder die wir auch betreuen bei uns.

00:08:42: Wenn der Angreifer verschlüsselt hat ... Die gesamte Umgebung hatte wahrscheinlich vorher das Active Directory kompromittiert.

00:08:47: Wird nicht der erste Einstiegspunkt gewesen sein aber die rechte Erweiterung ist es oft?

00:08:51: Ein im Active Directory registrierter User ist schon der Einstieckspunkt und was du ansprichst also so dieses lateral movement einfach was viel zu häufig viel zu einfach gemacht wird is ein Riesenproblem.

00:09:04: Und das andere, da sind wir wieder bei diesen Defaults.

00:09:08: Es gibt diese berühmt-berüchtigte Gruppe der Domänenadministratoren die natürlich benötigt wird aber in den Defold Einstellungen finde ich die halt auch in den lokalen Admingruppen wieder... Das ändert niemand wenn er es nicht weiß.

00:09:24: und das sind so die Sachen die ich Microsoft dann in den default Konfigurationen ankreide oder auch die hauptsächlich beteiligten Protokolle.

00:09:33: Also reden wir mal von Eldab, Kerberos, DNS

00:09:36: usw.,

00:09:38: Die bergen alle ein ziemlich hohes Angriffspotenzial solange ich sie nicht anfasse.

00:09:43: und dazu ist halt wieder das auch schonmal angesprochene Know-how einfach notwendig.

00:09:48: da kann man wirklich nur an jede Firma appellieren schult eure Atmen in diesen Richtung weil wie gesagt da sind wir wieder am Anfang.

00:09:56: ja Zukunft ist die Cloud.

00:10:00: Früher hieß es mal Azure AD, als die große Cloud-Umgebung bei Microsoft.

00:10:06: Fand ich damals schon immer doof weil das hat eigentlich nichts damit zu tun mit dem Active Directory.

00:10:11: also das ist jetzt der Nachfolger EntraID.

00:10:14: was finden wir draußen?

00:10:15: Wir finden Hygritstellungen wo viele Sachen in der cloud gemacht werden was auch ziemlich gut ist.

00:10:20: Ich möchte heute als admin zum Beispiel auch ein Exchange Server der in so einen Mail server der eine sehr enge Integration in dieses Active Directory hat, nicht mehr on-premises betreiben.

00:10:32: Das ist einfach viel zu aufwendig und viel zu riskant und wir haben aber eben nicht ohne weiteres die Möglichkeit diese eben draußen überall anzutreffenden Active Directory On Premises Umgebungen abzulösen.

00:10:46: also müssen wir einen Weg finden damit umzugehen und wir müssen halt auch ein bisschen moderner, neuer Denken.

00:10:53: Wir haben eben ein zwanzig Jahre altes Produkt vor uns was klar immer wieder Ergänzung und Weiterentwicklung erfahren hat.

00:11:00: Das darum geht es gar nicht das machen sie schon.

00:11:03: aber erst mal müssen die bekannt werden und Sie müssen implementiert werden.

00:11:08: Und das heißt Es gibt Möglichkeiten diese Lücken möglichst zuzumachen Aber ist in vielen Fällen auch so dass ein Umdenken in den Firmen einfach notwendig ist.

00:11:19: also wenn ich Über Nachdenke vor X Jahren drehte sich alles nur im Perimeter Sicherheit.

00:11:25: Dass man gesagt hat, wie kommt man von außen rein?

00:11:30: Es läuft anders mittlerweile und das AD ist halt aber auch zum Teil vor Jahren denn aufgesetzt worden.

00:11:37: Und natürlich scheut jede Firma ein komplett abriss und den Neuaufbau der Grünen Wiese so sehr wir uns das manchmal wünschen würden und sicherlich auch einige Atmens dies betreuen wünscht würden.

00:11:48: Das geht natürlich nicht so einfach.

00:11:52: Frage drei.

00:11:53: Ich glaube, wir können nicht die große Lösung präsentieren.

00:11:56: Da kommen wir nicht hin!

00:11:57: Aber du hast gesagt, dass du nach so vielen Jahren Active Directory immer noch dazulernst?

00:12:02: Vermutlich wird keine Organisation, die jetzt anfängt, ihre Admins zu schulen und in kurzer Zeit auf das Niveau bringen, wo du nach vielen Jahren Beratung spezialisiert unterwegs bist.

00:12:12: Aber wo kann man denn anfangen?

00:12:14: Ist es ein großes Ding, was man in einem riesigen Umstrukturierungsprojekt angehen muss?

00:12:19: Oder gibt es irgendwie Ansätze, Orientierungen womit man anfangen kann sagen kann.

00:12:24: In diese Richtungen gucke ich.

00:12:25: dieses Wissen eignere ich mir an um mein Active Directory in einem ersten Schritt sicherer zu machen.

00:12:30: sicher noch nicht perfekt aber vielleicht gegen die größten Einfallstore.

00:12:33: Ich denke das sind zwei Blöcke.

00:12:34: dass eine sind eben und wir haben beides schon angerissen.

00:12:38: Die grundsätzlich ausgesprochenen administrativen Berechtigungen in so einem AD sind viel zu weitreichend.

00:12:44: Die müsste man an die Leine nehmen, man muss mit eher eigens geschaffenen Rollen ... Das ist jetzt ein schwieriger Begriff weil das On-Premises Active Directory ja eigentlich nur Sicherheitsgruppen kennt.

00:12:57: aber ich sollte eher eine Rollendenker an den Tag legen und mir überlegen was müssen Administratoren für ihre tägliche Arbeit können?

00:13:05: Und wenn ich das eingehend mache, werde ich relativ schnell feststellen.

00:13:08: Ho!

00:13:09: Dazu brauche ich gar nicht die Mitgliedschaft in dieser wiegelig wieder berühmt-berüchtigten Gruppe der Domänenadministratoren.

00:13:15: Sondern... Ich mach mir eher Gedanken darüber was müssen meine Admins für ihre tägliche Arbeit dürfen und das berechtige ich entsprechend.

00:13:25: Klar ist das Aufwand.

00:13:26: Das ist überhaupt keine Frage aber letztendlich ein Initialaufwand von dem man relativ schnell profitiert.

00:13:32: Das wäre die eine Sache, dass ich also so diese administrativen Berechtigungen mache.

00:13:37: Administrationskonzeptentwerfe und dann versuche es zu implementieren das andere.

00:13:43: Und es dreht sich wieder um die Default-Einstellung, dass Ich mir die möglichen Protokolle genauer angucke und entsprechend härte Dass ich also nicht alles so stehen lasse wie's im default ausgerollt ist weil da sagte ich ja schon das soll funktionieren Das es funktioniert heißt aber nicht unbedingt, dass es sicher funktioniert.

00:14:05: Und deshalb würde ich mir im nächsten Kontext wirklich angucken wie kann ich diese Protokolle sicherer machen?

00:14:12: Also wie kann ein LDAP absichern zum Beispiel als das zentrale Protoklle eigentlich und da gibt es sehr wohl Bordmittel.

00:14:20: Das ist auch immer so wieder das was ich seit Jahren predige.

00:14:23: Guckt euch erstmal das an was da ist und benutzt das.

00:14:28: Zur Verwaltung gibt es ganz tolle Tools.

00:14:30: Da bin ich mit Drittanbieter-Tools sehr häufig sogar besser aufgestellt, aber ich muss erst mal das nutzen denke ich immer was das System von sich aus schon mitbringt und da gibt es sehr wohl einiges.

00:14:42: Das klingt total spannend und es klingt detailreich.

00:14:44: Das verbringen wir jetzt nicht rein?

00:14:46: Natürlich nicht!

00:14:47: Ich danke dir für den Überblick.

00:14:49: Sehr gerne.

00:14:51: dass wir es nicht loswerden, auch wenn gerade wie viel mehr hören das Organisationen mehr in die Cloud verlagern gibt's eben immer noch viel on-premise Infrastruktur wo die Identitäten der Nutzer die Geräte weiterhin in einem Active Directory verwaltet werden was mehr Historie hat als ich irgendwie so eigentlich auf dem Zettel hatte.

00:15:08: Also ist ja wirklich sehr alt für ein Softwareprodukt.

00:15:10: Definitiv!

00:15:12: Ich nehme auch mit, dass es trotzdem möglich ist das besser abzusichern und dass es aber oft nicht gemacht wird weil es nicht notwendig ist um es zu laufen zu bringen weil das Know-how manchmal fehlt und die Zeit durchzusteigen.

00:15:24: Und dass das aber, vielleicht aus meiner Auditperspektive gesprochen, wenn wir einen Kunden haben mit vielen Baustellen ... Sie fragen uns, was sind die Sachen, die wir zuerst mit angehen sollen?

00:15:35: Ich sag oft Netzwerk und Active Directory.

00:15:38: Das bestätigst du grade auch noch mal.

00:15:40: Definitiv!

00:15:40: Dass es so eine zentral wichtige Stellschraube für Sicherheit in einer On-Premises-Infrastruktur ist, wo's auf jeden Fall lohnt hinzugucken.

00:15:48: Und eine Sache dazu noch wirklich auch nachgereicht.

00:15:50: Wir haben eine zentrale Schaltstelle mit dem Active Directory, aber man sollte um Gottes Willen nicht alle Dienstans Active Directory anbinden weil wenn das Active Directory das Hauptziel eines Angreifenden ist dann möchte ich eigentlich meine Virtualisierungs- und meine Backupinfrastruktur nicht damit verknüpft haben.

00:16:09: Weil das heißt in sehr vielen Fällen dass diese Infrastrukturen gleich mitfallen.

00:16:14: Das ist ein total greifbarer, guter und praxisner Artikel für den Abschluss.

00:16:19: Vielen Dank, Diorli!

00:16:20: Wir konnten uns viel länger unterhalten und wir machen es jetzt nicht.

00:16:24: Ich sage euch, liebe Zuschauerinnen, liebe Zuschauern, vielen Dank fürs Zuhören.

00:16:29: Ich hoffe, das war interessant.

00:16:31: Wir verlinken mindestens einen relativ technischen Artikel, für die Leute von euch, die das gerne mögen, technisch aktiv in Detail reinzugehen.

00:16:37: Da geht's auch um Berechtigungen im Active Directory, da gehts um Angriffe, rechte Erweiterung ... werden sowas interessiert.

00:16:45: Ihr könnt euch das durchlesen, es ist spannend und hat mitgewirkt!

00:16:47: Ich hoffe ihr nehmt einen Impuls mit an konkreten Sachen und ansonsten wünsche ich euch einfach einen schönen Tag und freue mich wenn ihr wieder dabei seid beim Highway Podcast mit einem Experten drei Fragen und einer Menge an Minuten die vom Experten abhängt.

00:17:06: Highway

00:17:07: der Wegweiser für Digitalisierung und Sicherheit präsentiert von High Solutions.

00:17:13: Hat dir diese Episode gefallen?

00:17:15: Dann abonniere den Podcast und empfehle unsere Folgen weiter.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.