LDAP ohne TLS

LDAP (Lightweight Directory Access Protocol) wird im Active Directory zur Authentifizierung zwischen Clients und Domain Controller, aber auch zur Kommunikation zwischen den Domain Controller verwendet. Werden hier Informationen im Klartext gesendet, so können Angreifer mit diesen Daten (im schlimmsten Fall Benutzernamen inklusive Passwörter) Zugang zu sensiblen Bereichen erhalten. Per GPO können Server und Clients so konfiguriert werden, dass sie ausschließlich über TLS gesicherte Verbindungen kommunizieren. Das Ereignislog hilft dabei, Clients zu identifizieren, die LDAP noch ungesichert verwenden.

Zweckentfremdung des Domain Controllers

Gerne wird – besonders in kleineren und mittelgroßen Umgebungen – der Domain Controller auch als FileShare, Druckserver, DHCP und DNS Server oder als Zertifizierungsstelle genutzt. Sogar Software/Anwendungen von Drittanbietern oder Dienste zur Kommunikation nach Extern werden der Einfachheit halber immer wieder auch auf Domain Controllern installiert. Hier gilt es sich bewusst zu werden, dass jede Sicherheitslücke eines zusätzlichen Services unmittelbar das ganze Active Directory bedroht und die Angriffsfläche erhöht. Beispiele:

• Im vergangenen Jahr gab es eine massive Lücke im DNS Server, Angreifer konnten einen Code als “local system” ausführen und dadurch den Server problemlos übernehmen (Mehr dazu hier).
• Es gibt zahlreiche FileShares, die aus Kompatibilitätsgründen (oder wegen falscher Konfiguration) noch SMB1 ermöglichen.
• Druckserver werden aktuell durch PrintNightmare (CVE-2021-34527) bedroht.

Admin Konten im Alltag

Als Domänenadministrator sollte man nur dann arbeiten, wenn dies für die Aufgabenstellung zwingend erforderlich ist und niemals zur Arbeit auf einem Standard Client z.B. zum Installieren von Software, verwendet werden. Ist ein Client kompromittiert, kann ein Angreifer sich mit nur einer erfolgreichen Anmeldung den Zugang zu weiten Teilen des Unternehmens ermöglichen. Auch bei der alltäglichen Arbeit sollte man mit einem Benutzeraccount ohne lokale oder gar domänenweite Adminrechte angemeldet sein. Zwar kann es auch dann noch zu einer Rechteausweitung kommen, diese stellt für einen Angreifer jedoch eine weitere Hürde dar.

Veraltete Skripte und GPOs

In der Vergangenheit wurden lokale Admins gerne per GPO verteilt, mittlerweile kann in einer GPO für lokale Benutzer das Passwort nicht mehr gesetzt werden. Aus gutem Grund: das Passwort kann einfach ausgelesen werden!

Sind derartige GPOs aber noch vorhanden und werden wegen einer falschen Konfiguration (eventuell auch durch Änderungen an der AD Struktur) auf Servern angewandt, freut das jeden Angreifer. Daher sollten Gruppenrichtlinien und Skripte sowie die Aufgabenplanung genau dokumentiert und regelmäßig überprüft werden. Auch Passwörter im Skript sind ein hohes Risiko und sollten unter keinen Umständen als Lösung implementiert werden.

Administrator Accounts als Dienstkonten bzw. für geplante Tasks

Sie sollten für jeden Dienst ein eigenes Dienstkonto nutzen bzw. noch besser auf Group Managed Service Accounts zurückgreifen. Diese Dienstkonten sollten genau über die Rechte verfügen, die für die Aufgabenerfüllung benötigt werden. Dadurch kann das Risiko bzw. der Schaden potentieller Angriffe minimiert werden. Sollte zum Beispiel ein Skript per Aufgabenplanung als Domänenadministrator ausgeführt werden, so kann jeder, der Zugriff auf dieses Skript hat, beliebig viele weitere Befehle ausführen lassen.

“Jeder darf” Freigaben

In einer jeden Umgebung gibt es Freigaben, die von jedem Mitarbeiter genutzt werden dürfen. Grundsätzlich bedeutet “jeder” aber nicht gleich “jeder Mitarbeiter”. Dienstkonten und Praktikanten verfügen ebenfalls über solche Freigaben, auch wenn ihnen diese möglicherweise gar nicht zustehen dürften. Jede Freigabe sollte daher ausschließlich nur denen zur Verfügung stehen, die diese auch benötigen. Temporäre Änderungen sind grundsätzlich zu vermeiden. Sollten solche jedoch unvermeidbar sein, dann sind sie zu dokumentieren und dürfen nicht vergessen werden.

Auch die oft gültige Direktive “Der Chef darf alles sehen” sollte hinterfragt werden. Wird schädliche Software unter dessen Account ausgeführt, so hat ein Angreifer dann automatisch die Berechtigung, alles zu verschlüsseln.

Fehlende Überwachung des Active Directory mithilfe von SIEM und/oder EDR Lösungen

SIEM-Lösungen und/oder XDR Lösungen wie Sophos XDR bieten zum Beispiel mit dem Data Lake eine sehr komfortable Lösung, um Vorgänge im AD zu beobachten, zu bewerten, zu warnen oder im Verdachtsfall Vorgänge im Active Directory nachzuvollziehen. Auch das in Windows integrierte Ereignislog kann schon vieles aufzeigen, zum Beispiel gescheiterte Anmeldeversuche oder das Erstellen von Benutzerkonten. Wird im AD die Gruppe der Domänen Admins geändert, ein AD Account erstellt oder ein administrativer Account verändert, so sollte dies bei den regelmäßigen Prüfungen der Logs nochmals genau betrachtet werden. Zur Minimierung des Aufwands und der Fehler empfiehlt es sich, diese Prüfungen zu automatisieren.

Fehlende oder falsche Backups

Auch wenn das Backup nicht direkt zum Schutz des ADs beiträgt, ist es ein unerlässlicher Teil einer jeden IT Umgebung. Wird aber das Active Directory kompromittiert und ist das Backupsystem nicht strikt abgetrennt, muss im schlimmsten Fall auch das Backup als kompromittiert angesehen werden. Unsere Tipps: Das Backup System auf einem eigenen Server physisch getrennt halten. Dieser Server sollte auf die Umgebung zugreifen können, nicht aber umgekehrt. Die Backups nicht nur auf einem NAS oder dem direkten Speicher des Backupsystems vorhalten, sondern auch in regelmäßigen Abständen “außer Haus” bringen, z.B. verschlüsselt auf einem Band in einem Bankschließfach.

..und mehr!

Grundsätzlich gibt es noch viele weitere Risiken und entsprechende Maßnahmen, um das Active Directory und damit die gesamte IT Infrastruktur zu schützen. Dazu zählen unter anderem eine 2 Faktor-Authentifizierung, eine Netztrennung, lokale und vorgeschaltete Firewalls. Für die speziellen Anforderungen einer hybriden Umgebung bietet Microsoft mit Microsoft 365 und den darin enthaltenen Funktionen wie z.B. Conditional Access noch weitergehenden Schutz.

Wir unterstützen Sie bei der Härtung Ihrer Active Directory Infrastruktur

Um immer auf dem neusten Stand in Fragen der IT Sicherheit zu bleiben, abonnieren Sie unseren monatlichen Security-Newsletter. Darin behandeln wir immer wieder aktuelle Bedrohungen wie z.B. Petit-Potam.

Gerne bieten wir Ihnen auch eine individuelle Beratung, um Sie dabei zu unterstützen, die Sicherheit ihrer Umgebung kontinuierlich zu verbessern. Sollten Sie Fragen haben oder Unterstützung bei der Härtung Ihrer Active Directory Infrastruktur benötigen, stehen wir Ihnen jederzeit zur Verfügung.