Jetzt Domain Accounts richtig schützen

Privilegierte Domains brauchen Schutz

In einem Active Directory sind viele Accounts vorhanden und einige von Ihnen weisen verwaiste Privilegien auf. Oder aber auch unnötige Privilegien. Und genau die versuchen Angreifer als erstes für sich zu nutzen, was man aber mit Schutzmaßnahmen verhindern kann.

Bei einem APT gehen Angreifer gerne jeden Schritt einzeln durch und wollen natürlich viele Zugangsdaten erhaschen, um auch allgemein größere Zugriffe zu haben. Gerade die Administratoren müssen aufpassen, denn ihre Privilegien sind meist die, die Angreifer sich wünschen. Was kein Wunder ist, denn so hat man den Domain Controller Zugriff. Und der Angreifer kann tun, was er will, er wird an die vertraulichen Daten gelangen! Also muss der Administrator so gut wie möglich geschützt werden. Man muss schauen, wie man das tut. In der Regel werden einfach Zugangsberechtigungen und Zertifikate geschützt, um den Zugriff zu verhindern. Aber man kann auch die Seitwärtsbewegungen des Angreifers blockieren.

Man muss immer bedenken, dass bei einem gut geplanten Angriff das ganze Netzwerk bedroht wird und der Angreifer alles tun wird, um Zugriff auf den Passwort Hash zu bekommen. Die Pass-the-Hash Methode ist immer beliebter bei Angreifern, weil sie so ein ganzes Unternehmen schädigen können, weil sie in das Zentrum gelangen. Auch Sicherheitsvorkehrungen können dabei umgangen werden. Der Angreifer bewegst sich seitwärts, wie man so schön sagt, um ganz viele Schwachstellen für sich nutzen zu können. So kann er die Hashcodes auslesen und nutzen.
Wie aber kann man sich nun schützen? Man sollte bei einem Active Directory dafür sorgen, dass jeder ungenutzte Account gelöscht wird, ansonsten bietet er eine weitere Angriffsfläche. Oder aber er sollte wenigstens mit den passenden Berechtigungen ausgestattet werden. Anmeldedaten sollten regelmäßig erneuert werden. Weiterhin sollten alle zugewiesenen Admin Accounts beseitigt werden, man kann einen digitalen Tresor für wichtige Zugangsdaten nutzen. Dies ist vor allem dann ein großer Schutz, wenn alle Zugriffe festgehalten werden. Ein sehr guter Schutz wäre auch die Variante Proxy-Server. Man verhindert so, dass Passwörter zum Endpunkt gelangen und dass keine eventuellen Schädlinge aus dem Endpunkt auf die Serverlandschaft übergehen.

Um übrigens den Seitwärts-Schutz korrekt zu nutzen, sollte man immer ein ganz besonderes Passwort pro Server Account vergeben, außerdem ist das turnusmäßige Wechseln von Passwörtern angebracht, um Hashcodes ungültig zu machen. Auch Begrenzungen für den Gültigkeitsbereich der Zugangsdaten, sollten eingerichtet werden. So kann man diese nicht für alle Ebenen nutzen!

Natürlich kann man nie sicher sein, wenn man das Internet nutzt, dass Angreifer keine Chance haben. Aber mit den hier aufgeführten Tipps, schafft man eine gute Möglichkeit sich zu schützen!

Autor: Kerstin Münchehofe, Redaktion Domainalliance

Hinterlasse eine Antwort

Weitere Beiträge zum Thema: