3 Möglichkeiten, Ihr Windows-Netzwerk schwerer angreifbar zu machen

Beginnen Sie das neue Jahr richtig, indem Sie folgende drei Bereiche auf potenzielle Schwachstellen in Ihrem Windows-Netzwerk überprüfen. Machen Sie es Angreifern nicht leicht! [...]

So wie Sie in Ihr System hineinkommen, kommen auch die Angreifer hinein (c) IDG/Microsoft

Zu Beginn des neuen Jahres ist der Zeitpunkt günstig, um darüber nachzudenken, was Sie tun können, um Ihr Netzwerk und Ihr Unternehmen vor Angreifern zu schützen. Die folgenden Schritte machen Sie zwar nicht immun gegen Angriffe, aber sie könnten Angreifer vielleicht dazu ermutigen, sich an jemand anderem zuzuwenden. Machen Sie es den Angreifern nicht leicht!

1. Schützen Sie Ihren Remote-Zugang und Ihren Management-Zugang

Das MITRE ATT&CK-Framework listet die Wege und Ports auf, die typischerweise für den Management-Zugriff auf Server und Workstations verwendet werden. Angreifer kennen diese Zugriffsmethoden ebenfalls und zielen auf die Wege ab, über die Sie in Ihr Netzwerk gelangen. Wenn Sie beispielsweise einen der folgenden Ports verwenden und diese dem Internet aussetzen, fügen Sie Ihrer Aufgabenliste für 2020 das Schließen, Blockieren oder Aktivieren der Zwei-Faktor-Authentifizierung (2FA) hinzu.

  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP & 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • RDP / Terminal Services (3389/TCP)
  • HTTP/HTTP Management Services (80/TCP & 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Passwortspray-Angriffe gegen das Remote Desktop Protocol (RDP) beispielsweise sind eine Möglichkeit, wie Angreifer versuchen, sich Zugang zu verschaffen. Plattformen von Drittanbietern wie Duo.com können 2FA hinzufügen, um solche Versuche zu vereiteln.

Überprüfen Sie auch nur interne Übertragungen wie LDAP, um sicherzustellen, dass diese sicher eingerichtet sind. Microsoft hat kürzlich angekündigt, dass die LDAP-Signatur im März 2020 durchgesetzt wird. Überprüfen Sie daher schon jetzt Ihre Einstellungen, um festzustellen, ob Sie für die bevorstehenden Änderungen bereit sind.

Überprüfen Sie, ob Sie Kerberos-Kennwörter zurücksetzen müssen – insbesondere wenn Sie vermuten, dass Anmeldeinformationen in Ihrem Unternehmen wieder verwendet werden und ältere Betriebssysteme Ihre Domäne mit der Domänen-Controller-Funktion steuern. Wenn Sie vor kurzem ältere Betriebssysteme wie Server 2008 oder Server 2008 R2 in den Ruhestand versetzt haben, sollten Sie möglicherweise die Kennwörter für alle Lese-/Schreib-Domänencontroller (RWDCs) und Nur-Lese-Domänencontroller (RODCs) zurücksetzen.

2. Schützen der Anmeldeinformationen: Wählen Sie bessere Kennwörter und schützen Sie diese

Das typische Szenario, das Angreifer nutzen, um Zugang zu erhalten, ist das Versenden einer Phishing-E-Mail an einen Benutzer und der Zugriff auf einen Arbeitsplatzrechner. Wenn das lokale Administratorkennwort im Netzwerk auf den gleichen Wert eingestellt ist, kann der Angreifer den Hash-Wert des einen Rechners ermitteln und ihn im gesamten Netzwerk verwenden. Sie können diese „Pass the hash“-Technik auf verschiedene Weise erschweren. Beginnen Sie mit der Deaktivierung von LM-Hash und NTLMv1 in Ihrem Netzwerk.

Überprüfen Sie Ihre Passwortregeln und stellen Sie sicher, dass die Benutzer über bessere lange Passphrasen aufgeklärt werden. Beachten Sie, dass Benutzer, die ihre Kennwörter häufig ändern müssen, eher unsichere als bessere Kennwörter auswählen.

Achten Sie darauf, wie oft Sie Kennwörter wiederverwenden. Verwenden Sie ein Passwort-Manager-Programm und wählen Sie komplexe Passwörter. Überprüfen Sie die maximale Länge der zulässigen Kennwörter. Wenn Sie feststellen, dass ein Hersteller Ihnen nur ein kurzes Kennwort anbietet, fragen Sie ihn, welche technische Sperre Sie daran hindert, ein längeres Kennwort zu verwenden.

Verwenden Sie das LAPS-Toolkit, um eindeutige Kennwörter für lokale Administratorkonten festzulegen. Dadurch wird sichergestellt, dass sich Angreifer in einem Netzwerk nicht lateral bewegen können.

Stellen Sie sicher, dass Sie die Multi-Faktor-Authentifizierung (MFA) auf Administratorkonten und auf so vielen Benutzerkonten wie möglich aktivieren. Zu oft steht nur ein einziges Kennwort zwischen Ihnen und den Angreifern. Machen Sie es ihnen viel schwerer. Überprüfen Sie außerdem Ihr Netzwerk auf Konten, die nicht sicher eingerichtet sind, indem Sie überprüfen, ob Hash-Werte im Netzwerk hinterlassen wurden, Kennwörter freigegeben wurden oder andere unsichere Einstellungen vorgenommen wurden. Sie müssen das Skript „Scan And Check All Accounts In AD Forest – Account And Password Hygiene“ verwenden und das PowerShell-Modul für Lithnet und DSInternals installieren, um das Modul zur Prüfung Ihres Active Directory verwenden zu können.

3. Browser und E-Mail sind die neuen Einstiegspunkte

Angreifer wissen, dass Ihre Nutzer die Schwachstellen in Ihrer Rüstung sind. Sie wissen auch, dass Benutzer dazu gebracht werden können, auf etwas zu klicken. Browser und E-Mails sind die wichtigsten Einstiegspunkte in unsere Netzwerke. Achten Sie bei E-Mails auf die Verwendung von Angriffstools wie „ruler„, die die clientseitigen Outlook-Funktionen missbrauchen und sich per Fernzugriff eine Shell verschaffen. Um solchen Angriffen entgegenzuwirken, verwenden Sie Tools wie „notruler“ für lokale Bereitstellungen, um zu untersuchen und zu überprüfen, ob Ihre Exchange-Umgebung kompromittiert wurde. Verwenden Sie für Office 365 PowerShell, um zu untersuchen und zu prüfen, ob Regeln und Injektionen eingerichtet wurden.

Überprüfen Sie Ihre Richtlinien für Browser oder legen Sie Grenzen dafür fest, was Benutzer herunterladen und in ihren Browsern installieren können. Verwenden Sie Gruppenrichtlinien oder Intune, um Einschränkungen dafür festzulegen, was Benutzer in ihren Browsern installieren können. Wenn das Chromium-basierte Edge im Januar 2020 eingeführt wird, bereiten Sie sich im Voraus darauf vor, Edge-Richtlinien auch in den Gruppenrichtlinien-Einstellungen zu bestimmen.

*Susan Bradley schreibt unter anderem für CSO.com.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*