Bei all den Verbesserungen, die Microsoft an Windows und Windows Server vorgenommen hat, ist es an der Zeit, zu überprüfen, ob Ihre Sicherheitseinstellungen so effektiv ausgerichtet sind wie möglich. [...]
Die bewährten Verfahren zur Konfiguration von Sicherheitsfeatures in Windows Server haben sich in den letzten Jahren mehrfach geändert. Wir haben uns gerade erst (offiziell) von Windows Server 2008 R2 verabschiedet, und wir sollten uns darauf vorbereiten, uns auch von Server 2012 R2 zu verabschieden, da der Support in drei Jahren ausläuft. Für diese älteren Server ist es schwieriger, mit den heutigen Bedrohungen umzugehen, wie z.B. mit neuen Zugriffsmöglichkeiten durch Manipulation und Spoofing von Code-Signatur-Zertifikaten.
Hier kommen neun Sicherheitseinstellungen, die nicht mehr die gleiche Wirksamkeit haben, je nachdem, welchen Server oder welche Cloud-Plattform Sie verwenden, und welche dieser Einstellungen oder Richtlinien Sie zusätzlich oder an deren Stelle verwenden sollten.
1. Veralteter Ratschlag: Benennen Sie das Administratorkonto um
Früher war die wichtigste Leitlinie die Umbenennung des Administratorkontos. Auf einigen Server-Plattformen wurde dies sogar zu einem Wizard-Prozess gemacht. Vor ein paar Jahren waren Angreifer hinter den Namen der Benutzerkonten her, und wenn man das Administratorkonto in etwas anderes umbenannte, erschwerte man es den Angreifern an sie heranzukommen. Heute hat die Umbenennung des Administratorkontos nicht mehr so große Auswirkungen, da Angreifer Phishing nutzen und zurückgelassene Anmeldeinformationen sammeln können, um in Ihr System einzudringen.
Neuer Ratschlag: Verwenden Sie unterschiedliche Admin-Passwörter
Stattdessen empfehle ich Ihnen, nicht dasselbe lokale Administrator-Passwort im gesamten Netzwerk zu verwenden. Oder wollen Sie es Lösegeld-Angreifern leicht machen, sich lateral in Ihrem Netzwerk zu bewegen? Setzen Sie die Local Administrators Password Solution (LAPS) ein, um sicherzustellen, dass ein zufälliges Passwort vergeben wird. Vergessen Sie beim Einsatz nicht, dass Angreifer wissen, dass sie für Benutzer mit „erweiterten Rechten“, die Passwörter und alle Computer mit aktiviertem LAPS einsehen können, eine Überprüfung durchführen müssen.
Konfigurieren Sie die Gruppenrichtlinie so, dass lokale Administratorkonten an der Authentifizierung über das Netzwerk gehindert werden. Die folgenden Gruppenrichtlinienobjekte (GPOs) werden empfohlen:
- Verweigern Sie den Zugriff auf diesen Computer vom Netzwerk aus: lokales Konto, Unternehmensadministratoren, Domänenadministratoren
- Anmeldung über Remote-Desktop-Dienste verweigern: lokales Konto, Unternehmensadministratoren, Domänenadministratoren
- Anmeldung lokal verweigern: Unternehmensadministratoren, Domänenadministratoren
2. Veralteter Ratschlag: Gastkonten deaktivieren
Früher hat Windows einmal Betriebssysteme mit aktiviertem Gastkonto bereitgestellt. Heute geht Windows 10 so weit, Sie dazu aufzufordern, keinesfalls ein Konto mit Administratorrechten zu installieren. Das Hauptadministratorkonto ist ebenfalls deaktiviert. Die Deaktivierung von Gastkonten ist daher zwar immer noch ein guter Ratschlag, aber er geht leider nicht weit genug.
Neuer Ratschlag: Minimieren Sie die Anzahl der Konten mit Administratorrechten
Die Frage, die Sie sich stellen sollten, lautet: Können Sie Rechner einsetzen, ohne die Rechte zur Bereitstellung oder Installation von Software zu gewähren? Chrome hat den Weg bereitet, keine Administratorrechte zu benötigen, indem es die jeweilige Software in den „Anwendungsdaten“-Ordner des Benutzers installiert. Windows-Benutzerrechte werden seit langem sowohl von Benutzern als auch von Angreifern missbraucht. Geben Sie nie jemandem Rechte auf Gastkonten in einer Domäne und empfehlen Sie die Verwendung von Gastkonten auch in Heimnetzwerken nicht. Benutzer, die ihre Ressourcen auch in Heimnetzwerken gemeinsam nutzen, sollten explizit so eingerichtet werden, dass sie auf jede Ressource dieselben Rechte haben.
3. Veralteter Ratschlag: Hören Sie auf, den LAN-Manager und NTLM v1 zu verwenden
Ich hoffe, dass Sie weder den LAN-Manager (LM) noch die NTLMv1-Authentifizierung verwenden, da diese bekanntermaßen Sicherheitslücken aufweisen. Dies ist ein weiterer Fall, in dem der Ratschlag weiterhin gültig ist, aber Sie müssen auch über den Tellerrand hinausschauen.
Neuer Ratschlag: Überprüfen Sie alle Netzwerkprotokolle
2020 sollte das Jahr sein, in dem Sie alle in Ihrem Netzwerk verwendeten Protokolle überprüfen. Gehen Sie sogar noch einen Schritt weiter und überprüfen Sie die Verwendung von SMBv1 und deaktivieren Sie diese ebenfalls, wenn Sie können. Im März 2020 wird Microsoft die LDAP-Kanalbindung und die LDAP-Signatur implementieren. Überprüfen Sie Ihr Netzwerk auf nicht signierte LDAP- und SMBv1-Protokolle und entfernen Sie diese aus Ihrem Netzwerk.
Sie sollten sich auch über das Offline-Cracking des Kerberos Ticket Granting Server (TGS) Service-Tickets (Kerberoast) Gedanken machen und dieses Risiko durch Service-Konto-Passwörter mit mehr als 25 Zeichen verringern. Managed Service Accounts und Group Managed Service Accounts sind eine gute Methode, um sicherzustellen, dass die Passwörter von Servicekonten lang und komplex sind und sich regelmäßig ändern.
4. Veralteter Ratschlag: Speichern Sie keine LM-Hashes auf dem Server
Es ist jetzt Standard, dass LM-Hashes nicht mehr auf dem Server gespeichert werden.
Neuer Ratschlag: Prüfen Sie auf LM-Hashes, die an veralteten Standorten gespeichert sind
Die Prüfung, um alle LM-Hashes zu finden, die an veralteten Standorten zurückgeblieben sind, erfolgt über das Active Directory (AD). Mit einem PowerShell-Tool können Sie alle Konten in Ihrem AD Forest scannen und kontrollieren und auf Konto- und Kennworthygiene hin überprüfen.
5. Veralteter Ratschlag: Setzen Sie eine minimale Kennwortlänge und ein maximales Kennwortalter durch
Die Regelung, die von allen Mitarbeitern verlangt, längere Passwörter zu verwenden und diese regelmäßig zu ändern, gilt seit langem als bewährte Praxis.
Neuer Ratschlag: Aktivieren Sie die Multi-Faktor-Authentifizierung
Mitarbeiter hassen es, Passwörter zu vergeben und zu ändern, was es schwierig macht, eine Richtlinie mit minimaler Passwortlänge und maximalem Passwortalter durchzusetzen. Menschen zu zwingen, Passwörter zu ändern, bedeutet, dass sie weniger starke Passwörter verwenden, die wiederum leichter zu erraten sind. Die Aktivierung der Multi-Faktor-Authentifizierung (MFA) für alle Konten macht es für Angreifer daher schwieriger, kompromittierte Passwörter auszunutzen. Sie können entweder Microsofts oder Googles Authentifizierungsapplikation verwenden, um MFA einzurichten.
6. Veralteter Ratschlag: Aktivieren Sie die Ereignisprotokolle
Das Aktivieren und regelmäßige Überprüfen der Ereignisprotokolle ist immer noch eine gute Möglichkeit, bösartige Netzwerkaktivitäten zu erkennen.
Neuer Ratschlag: Nutzen Sie die Vorteile neuerer Microsoft-Ereignisprotokoll-Tools
Microsoft hat kürzlich ein neues Online-Tool zur Konsolidierung und Verfolgung von Ereignissen eingeführt, das Azure Sentinel genannt wird. Auch ohne dieses Produkt zu Ihrem Cloud-Arsenal hinzufügen zu müssen, reichen andere neue Protokollierungsfunktionen von System Monitor (Sysmon) bis zu Windows Defender Advanced Threat Protection (ATP), das auch für Server und in der Vorabversion von Azure Virtual Machines (VMs) verfügbar ist.
7. Veralteter Ratschlag: Deaktivieren Sie die Aufzählung anonymer Sicherheitsidentifikatoren (SID)
Früher konnte jeder Benutzer das AD nach SIDs abfragen, die Benutzern, Gruppen und anderen Sicherheitsbereichen zugeordnet sind. Microsoft hat diese Auflistung deaktiviert.
Neuer Ratschlag: Überprüfen Sie Ihr Netzwerk hinsichtlich Harvesting
Heute können Angreifer soziale Medien nutzen, um an Benutzernamen zu gelangen, und von dort aus Phishing-Angriffe durchführen, um Zugang zu einem Domänenbenutzer zu erhalten. Von dort aus können sie Angriffe durchführen, um von Domänenbenutzern auf Domänenadministratoren umzuschwenken, indem sie die im Systemvolume (SYSVOL) hinterlassenen Kennwörter und Gruppenrichtlinieneinstellungen auslesen. Sie sollten Ihre bisherigen Vorgehensweisen überprüfen und sicherstellen, dass Passwörter nicht in den Gruppenrichtlinieneinstellungen oder Tasks gespeichert werden. Ein hinterlassenes sensibles Passwort kann für Angreifer ein einfacher Weg sein, um Zugang zu Ihrem System erhalten. Auch hier gilt, dass der Einsatz von LAPS eine bewährte Methode für den Umgang mit Passwörtern in der Netzwerkverwaltung darstellt.
8. Veralteter Ratschlag: Erlauben Sie kein anonymes Konto in der Gruppe „Jeder“
Im Jahr 2000 entfernte Microsoft das anonyme Konto aus der Gruppe „Jeder“. Die Zuweisung des anonymen Kontos war einfach und ermöglichte den Anwendungen, alles zu tun. Auch für Angreifer wurde es dadurch einfacher.
Neuer Ratschlag: Prüfen und Entfernen von Gastkonten
Überprüfen Sie beim Wechsel in die Cloud, wann Sie Gastkonten zu den Ressourcen hinzugefügt und nicht entfernt haben. Überprüfen Sie die Verwendung – und die fehlende Bereinigung – von Gastkonten in Microsoft Office 365.
9. Veralteter Ratschlag: Aktivieren Sie die Benutzerkontensteuerung (UAC)
UAC gibt Nicht-Administratoren auf sichere Weise einige administrative Rechte. Sie wurde unter Windows 7 eingeführt, weil die Entwickler Administratorrechte verlangten, und ist jetzt standardmäßig aktiviert.
Neuer Ratschlag: Whitelist-Anwendungen, Sperrung des lokalen Kontozugriffs
Angreifer sind nun daran gewöhnt, keine Administratorrechte zur Verfügung zu haben und nutzen andere Mittel, um höhere Privilegien zu erlangen. Sobald sie Admin-Rechte erlangt haben, haben Angreifer viel mehr Möglichkeiten, einer Entdeckung zu entgehen und persistent auf einem System zu verbleiben.
Wie kann man sie also aufhalten? Eine Whitelist für Anwendungen hilft, Angreifer daran zu hindern, nicht autorisierte ausführbare Dateien im Netzwerk zu verwenden, aber für viele Unternehmen ist es schwer, eine solche Liste mit bestimmten Anwendungen zu erstellen. Tools wie AaronLocker arbeiten auf Systemen ohne Administratorrechte wesentlich einfacher.
Vergessen Sie die Grundlagen nicht. Microsofts Windows-Sicherheitsrichtlinien empfehlen, die Netzwerkanmeldung für lokale Konten zu verweigern und damit die Gefahr einer lateralen Bewegung durch diese Konten zu blockieren. Angreifer werden immer schlauer, deshalb müssen auch wir bei der Verteidigung unserer Netzwerke klüger werden.
*Susan Bradley schreibt unter anderem für CSO.com.
Be the first to comment