Beginnen Sie das neue Jahr richtig, indem Sie folgende drei Bereiche auf potenzielle Schwachstellen in Ihrem Windows-Netzwerk überprüfen. Machen Sie es Angreifern nicht leicht! [...]
Zu Beginn des neuen Jahres ist der Zeitpunkt günstig, um darüber nachzudenken, was Sie tun können, um Ihr Netzwerk und Ihr Unternehmen vor Angreifern zu schützen. Die folgenden Schritte machen Sie zwar nicht immun gegen Angriffe, aber sie könnten Angreifer vielleicht dazu ermutigen, sich an jemand anderem zuzuwenden. Machen Sie es den Angreifern nicht leicht!
1. Schützen Sie Ihren Remote-Zugang und Ihren Management-Zugang
Das MITRE ATT&CK-Framework listet die Wege und Ports auf, die typischerweise für den Management-Zugriff auf Server und Workstations verwendet werden. Angreifer kennen diese Zugriffsmethoden ebenfalls und zielen auf die Wege ab, über die Sie in Ihr Netzwerk gelangen. Wenn Sie beispielsweise einen der folgenden Ports verwenden und diese dem Internet aussetzen, fügen Sie Ihrer Aufgabenliste für 2020 das Schließen, Blockieren oder Aktivieren der Zwei-Faktor-Authentifizierung (2FA) hinzu.
- SSH (22/TCP)
- Telnet (23/TCP)
- FTP (21/TCP)
- NetBIOS / SMB / Samba (139/TCP & 445/TCP)
- LDAP (389/TCP)
- Kerberos (88/TCP)
- RDP / Terminal Services (3389/TCP)
- HTTP/HTTP Management Services (80/TCP & 443/TCP)
- MSSQL (1433/TCP)
- Oracle (1521/TCP)
- MySQL (3306/TCP)
- VNC (5900/TCP)
Passwortspray-Angriffe gegen das Remote Desktop Protocol (RDP) beispielsweise sind eine Möglichkeit, wie Angreifer versuchen, sich Zugang zu verschaffen. Plattformen von Drittanbietern wie Duo.com können 2FA hinzufügen, um solche Versuche zu vereiteln.
Überprüfen Sie auch nur interne Übertragungen wie LDAP, um sicherzustellen, dass diese sicher eingerichtet sind. Microsoft hat kürzlich angekündigt, dass die LDAP-Signatur im März 2020 durchgesetzt wird. Überprüfen Sie daher schon jetzt Ihre Einstellungen, um festzustellen, ob Sie für die bevorstehenden Änderungen bereit sind.
Überprüfen Sie, ob Sie Kerberos-Kennwörter zurücksetzen müssen – insbesondere wenn Sie vermuten, dass Anmeldeinformationen in Ihrem Unternehmen wieder verwendet werden und ältere Betriebssysteme Ihre Domäne mit der Domänen-Controller-Funktion steuern. Wenn Sie vor kurzem ältere Betriebssysteme wie Server 2008 oder Server 2008 R2 in den Ruhestand versetzt haben, sollten Sie möglicherweise die Kennwörter für alle Lese-/Schreib-Domänencontroller (RWDCs) und Nur-Lese-Domänencontroller (RODCs) zurücksetzen.
2. Schützen der Anmeldeinformationen: Wählen Sie bessere Kennwörter und schützen Sie diese
Das typische Szenario, das Angreifer nutzen, um Zugang zu erhalten, ist das Versenden einer Phishing-E-Mail an einen Benutzer und der Zugriff auf einen Arbeitsplatzrechner. Wenn das lokale Administratorkennwort im Netzwerk auf den gleichen Wert eingestellt ist, kann der Angreifer den Hash-Wert des einen Rechners ermitteln und ihn im gesamten Netzwerk verwenden. Sie können diese „Pass the hash“-Technik auf verschiedene Weise erschweren. Beginnen Sie mit der Deaktivierung von LM-Hash und NTLMv1 in Ihrem Netzwerk.
Überprüfen Sie Ihre Passwortregeln und stellen Sie sicher, dass die Benutzer über bessere lange Passphrasen aufgeklärt werden. Beachten Sie, dass Benutzer, die ihre Kennwörter häufig ändern müssen, eher unsichere als bessere Kennwörter auswählen.
Achten Sie darauf, wie oft Sie Kennwörter wiederverwenden. Verwenden Sie ein Passwort-Manager-Programm und wählen Sie komplexe Passwörter. Überprüfen Sie die maximale Länge der zulässigen Kennwörter. Wenn Sie feststellen, dass ein Hersteller Ihnen nur ein kurzes Kennwort anbietet, fragen Sie ihn, welche technische Sperre Sie daran hindert, ein längeres Kennwort zu verwenden.
Verwenden Sie das LAPS-Toolkit, um eindeutige Kennwörter für lokale Administratorkonten festzulegen. Dadurch wird sichergestellt, dass sich Angreifer in einem Netzwerk nicht lateral bewegen können.
Stellen Sie sicher, dass Sie die Multi-Faktor-Authentifizierung (MFA) auf Administratorkonten und auf so vielen Benutzerkonten wie möglich aktivieren. Zu oft steht nur ein einziges Kennwort zwischen Ihnen und den Angreifern. Machen Sie es ihnen viel schwerer. Überprüfen Sie außerdem Ihr Netzwerk auf Konten, die nicht sicher eingerichtet sind, indem Sie überprüfen, ob Hash-Werte im Netzwerk hinterlassen wurden, Kennwörter freigegeben wurden oder andere unsichere Einstellungen vorgenommen wurden. Sie müssen das Skript „Scan And Check All Accounts In AD Forest – Account And Password Hygiene“ verwenden und das PowerShell-Modul für Lithnet und DSInternals installieren, um das Modul zur Prüfung Ihres Active Directory verwenden zu können.
3. Browser und E-Mail sind die neuen Einstiegspunkte
Angreifer wissen, dass Ihre Nutzer die Schwachstellen in Ihrer Rüstung sind. Sie wissen auch, dass Benutzer dazu gebracht werden können, auf etwas zu klicken. Browser und E-Mails sind die wichtigsten Einstiegspunkte in unsere Netzwerke. Achten Sie bei E-Mails auf die Verwendung von Angriffstools wie „ruler„, die die clientseitigen Outlook-Funktionen missbrauchen und sich per Fernzugriff eine Shell verschaffen. Um solchen Angriffen entgegenzuwirken, verwenden Sie Tools wie „notruler“ für lokale Bereitstellungen, um zu untersuchen und zu überprüfen, ob Ihre Exchange-Umgebung kompromittiert wurde. Verwenden Sie für Office 365 PowerShell, um zu untersuchen und zu prüfen, ob Regeln und Injektionen eingerichtet wurden.
Überprüfen Sie Ihre Richtlinien für Browser oder legen Sie Grenzen dafür fest, was Benutzer herunterladen und in ihren Browsern installieren können. Verwenden Sie Gruppenrichtlinien oder Intune, um Einschränkungen dafür festzulegen, was Benutzer in ihren Browsern installieren können. Wenn das Chromium-basierte Edge im Januar 2020 eingeführt wird, bereiten Sie sich im Voraus darauf vor, Edge-Richtlinien auch in den Gruppenrichtlinien-Einstellungen zu bestimmen.
*Susan Bradley schreibt unter anderem für CSO.com.
Be the first to comment