Die Ausnutzung von Active Directory-Fehlkonfigurationen ist ein beliebter Weg für Angreifer. Nach Angaben von Microsoft werden jeden Tag 95 Millionen AD-Konten angegriffen. Angreifer nutzen Sicherheitslücken in Active Directory, um sich privilegierten Zugang zu verschaffen und sich durch die kompromittierten Systeme zu bewegen, um wertvolle Daten zu erbeuten, Malware zu installieren oder Ransomware einzuschleusen, um nur einige Taktiken zu nennen.
Schützen Sie Ihr Unternehmen, indem Sie diese häufigen AD-Fehlkonfigurationen so schnell wie möglich beheben.
1. Nicht-standardmäßige Prinzipale mit DCSync-Rechten
Die DCSync-Funktion gibt sich als Domänencontroller (DC) aus und fordert über das Directory Replication Services Remote Protocol Passwortdaten von einem Ziel-DC an.
Das Problem erkennen
- Suchen Sie nach Konten, denen die folgenden Rechte übertragen wurden:
- Replizieren von Verzeichnisänderungen (DS-Replication-Get-Changes)
- Replizieren von Verzeichnisänderungen aller (DS-Replication-Get-Changes-All)
- Replizieren von Verzeichnisänderungen im gefilterten Set (DS-Replication-Get-Changes)
- Stellen Sie fest, ob DCSync zum Hosten anderer Domänencontroller verwendet wird.
- Stellen Sie fest, ob Konten, die nicht Mitglieder von Domänenadministratoren oder Domänencontrollern sind, diese Rechte haben.
Abhilfe
Eine ausführliche Diskussion über dieses Problem und wie Sie es angehen können, finden Sie in diesem Beitrag AD Security 101.
2. Berechtigungsänderungen für das Objekt AdminSDHolder
AdminSDHolder bietet Vorlagenberechtigungen für geschützte Konten und Gruppen. Im Gegensatz zu den meisten Objekten in der Active Directory-Domäne ist AdminSDHolder Eigentum der Gruppe Domain Admins. Standardmäßig können Enterprise Admins, Domain Admins und die Gruppen Administrators Änderungen am AdminSDHolder-Objekt einer Domäne vornehmen. Darüber hinaus können Mitglieder der Gruppen Administrators oder Enterprise Admins das Objekt übernehmen. Die Vorlagenberechtigungen von AdminSDHolder sind außerdem beständig, d.h. sie werden alle 60 Minuten neu vergeben.
Erkennung
Um Active Directory-Fehlkonfigurationen dieser Art zu finden, suchen Sie nach ungewöhnlichen Benutzerkonten, denen in den Zugriffskontrolllisten AdminSDHolder Berechtigungen zugewiesen wurden. In der Regel entdecken Sie dies, wenn Sie einen unbekannten Berechtigungsinhaber entfernen, wie z.B. "harry_the_frog", nur um zu sehen, dass derselbe Inhaber 60 Minuten später wieder auftaucht. Das sollte ein Hinweis darauf sein, dass AdminSDHolder bestehen bleibt.
Abhilfe
- Verwenden Sie ADSIEdit, um sich mit dem Standardbenennungskontext zu verbinden und den Container AdminSDHolder zu finden.
- Wählen Sie Eigenschaften.
- Klicken Sie unter Erweiterte Sicherheit auf Standardwerte wiederherstellen.
- Erzwingen Sie die Replikation mit repadmin/syncall.
3. Umkehrbare Passwörter in Gruppenrichtlinienobjekten
Die Richtlinieneinstellung Kennwort mit umkehrbarer Verschlüsselung speichern bietet Unterstützung für Anwendungen, die Protokolle verwenden, die das Kennwort des Benutzers zur Authentifizierung erfordern. Das ist ein Problem, denn umkehrbare Verschlüsselung ist, nun ja, umkehrbar. Das bedeutet, dass ein Angreifer, der diese Verschlüsselung knackt, das Konto kompromittieren kann.
Erkennung
Überprüfen Sie Ihre Gruppenrichtlinien und stellen Sie fest, ob Passcode mit umkehrbarer Verschlüsselung speichern aktiviert ist oder nicht.
Abhilfe
Die Abhilfe ist ziemlich einfach: Sie deaktivieren sie einfach. Bevor Sie dies tun, müssen Sie jedoch herausfinden, was die Aktion unterbrechen wird. Wahrscheinlich ist die Fehlerbehebung aktiviert, weil einige Anwendungen sie erfordern. Anwendungskompatibilität ist eine unbezahlte technische Schuld, die jeden betrifft. Wenn die Anwendung nicht umgeschrieben werden kann, sind Sie möglicherweise gezwungen, die Sicherheitsprobleme zu entschärfen, die die Anwendung verursachen könnte.
4. Anonymer Zugriff auf Active Directory
Anonymer Zugriff bedeutet, dass nicht authentifizierte Benutzer Daten lesen und darauf zugreifen können. Dieser Zugriff ist standardmäßig deaktiviert, kann aber in bestimmten legitimen Fällen erforderlich sein. Mit diesem Zugriff kann ein nicht autorisierter Benutzer anonym Kontonamen auflisten und die Informationen verwenden, um zu versuchen, Passwörter zu erraten oder Social-Engineering-Angriffe durchzuführen.
Erkennung
- Überprüfen Sie mit ADSIEdit die folgende Liste für dSHeuristics, die auf 0000002 eingestellt ist:
- CN=Verzeichnisdienst
- CN=Windows NT
- CN=Dienste
- CN=Konfiguration
- DC=<my domain>
- Stellen Sie fest, ob der anonyme Zugriff aktiviert ist (zugewiesen als "NT Authority/Anonymous" in der Domäne oder im Container mit Active Directory Users and Computers (ADUC).
Abhilfe
- Ändern Sie den Attributwert von 0000002 in 1 oder 0.
- Entfernen Sie den anonymen Zugriff auf die Domäne oder den Container.
5. Schwachstellen von Zerologon
Die Zerologon-Schwachstelle ist eine Schwachstelle im Active Directory Netlogon-Protokoll (MS-NRPC), die den Zugriff auf Server ermöglicht, die NTLM verwenden. Dieser Angriff ermöglicht es einem Angreifer, sich als ein beliebiger Computer im System auszugeben, einschließlich des Stamm-DCs. Die Sicherheitslücke ermöglicht auch die Deaktivierung von Sicherheitsfunktionen im Netlogon-Authentifizierungsprozess. Ein fähiger Angreifer kann damit auch ein Goldenes Ticket generieren, mit dem ein Angreifer die Kontrolle über das KRBTGT-Konto erlangen kann.
Erkennung
Die Entdeckung kann schwierig sein, da die Kerberos-Tokens legitim aussehen. Die TGT-Tickets sind gültig und von KRBTGT signiert.
Abhilfe
Die NTLM-Authentifizierung ist im ausgelieferten Produkt funktionsfähig und standardmäßig aktiviert. Die Deaktivierung der NTLM-Authentifizierung kann Anwendungen beeinträchtigen. Stellen Sie fest, welche Anwendungen dieses alte Protokoll verwenden und beheben Sie sie. Deaktivieren Sie dann NTLM und verwenden Sie Kerberos in Ihrer Active Directory-Domäne.
6. Nicht ablaufende Passwörter für Dienstkonten
Dienstkonten werden mit Kennwörtern konfiguriert, die nie ablaufen. Dienstkonten mit standardmäßigen, unveränderlichen Kennwörtern sind leichter zu kompromittieren. Es gibt heute bessere Optionen für die Verwaltung von Kennwörtern, die den Zugriff ermöglichen, ohne dieses Risiko einzugehen.
Erkennung
Suchen Sie nach Konten mit nicht ablaufenden Passwörtern, damit Sie diese identifizieren und beseitigen können.
Abhilfe
Führen Sie die Praxis ein, Ihre Servicekonten auf gruppenverwaltete Servicekonten umzustellen. Sie brauchen das Passwort nicht zu kennen. Das System verwaltet es für Sie, und Ihre Sicherheit wird durch die Umstellung verbessert.
7. Nicht-Domänenadministrator-Zugriff auf Domänencontroller
Benutzer, die keine Domänenadministratoren sind, können sich aus der Ferne über RDP oder PowerShell bei einem DC anmelden. Angreifer können sich aus der Ferne bei einem DC anmelden, indem sie PowerShell oder Remote Desktop Services verwenden.
Erkennung
Überprüfen Sie die Zuordnung der Benutzerrechte in den Konfigurationseinstellungen.
Abhilfe
Microsoft empfiehlt die folgenden Schritte, um solche Fehlkonfigurationen von Active Directory zu beheben:
- Gehen Sie zum GPO-Bereich Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisung von Benutzerrechten.
- Suchen Sie die Richtlinie Anmeldung über Remotedesktopdienste zulassen.
- Nachdem der Server zum Domänencontroller befördert wurde, sollte nur die Gruppe Administratoren (Domain Admins) in dieser lokalen Richtlinie verbleiben.
Schützen Sie sich vor Fehlkonfigurationen von Active Directory
Ein letzter Hinweis: Wenn Sie eine Standardeinstellung aus einem bestimmten Grund geändert haben, sollten Sie diese Änderungen dokumentieren. Dies wird Ihnen helfen, wenn Sie die Standardeinstellungen wiederherstellen und gültige Berechtigungen wieder einführen müssen. Die Dokumentation der Änderungen kann auch anderen (einschließlich dem nächsten Administrator) helfen, zu verstehen, warum die Änderungen vorgenommen wurden, und zu beurteilen, ob sie noch erforderlich sind.
Die meisten von uns erben Active Directory-Implementierungen, die schon eine Weile in Betrieb sind. Wenn Sie sich die Zeit nehmen, diese häufigen Active Directory-Fehlkonfigurationen zu beseitigen und einen soliden Dokumentationsprozess zu implementieren, können Sie Ihr Active Directory sehr gut vor Angriffen schützen. Sie können auch eine Bewertung durchführen, um häufig ausgenutzte Schwachstellen zu finden. Wenn Sie unser kostenloses Purple Knight AD-Sicherheitsbewertungstool herunterladen und ausführen, erhalten Sie einen klareren Überblick über diese und andere Probleme, die Sie auf Ihre To-Do-Liste setzen sollten.