Linkedin Youtube
Knight_with_Microsoft_Logo_on_his Shield
Picture of owl

owl

Microsoft Active Directory Schwachstellen und Hardening

Microsoft Active Directory (AD) ist ein Verzeichnisdienst, der von vielen Unternehmen und Organisationen genutzt wird, um Benutzerkonten und -authentifizierung, Zugriffskontrolle und andere zentrale Verwaltungsaufgaben zu verwalten. Es ist jedoch auch ein bevorzugtes Ziel für Angreifer, die darauf abzielen, unautorisierten Zugriff auf Netzwerke zu erlangen oder Daten zu stehlen. In diesem technischen Beitrag werden einige der wichtigsten Schwachstellen von Microsoft Active Directory sowie mögliche Gegenmaßnahmen erläutert.

Schwachstellen:

  • Pass-the-Hash-Angriffe Ein Pass-the-Hash-Angriff tritt auf, wenn ein Angreifer die Hash-Werte von Benutzerpasswörtern aus einem Active Directory stiehlt und sie dann verwendet, um sich ohne Kenntnis des Passworts als Benutzer anzumelden. Da die Hash-Werte statisch sind, ist es für Angreifer einfacher, sie zu stehlen und wiederzuverwenden als Passwörter, die geändert werden können.

 

  • Kerberos-Angriffe Kerberos ist ein Authentifizierungsprotokoll, das in Active Directory verwendet wird. Ein Angreifer kann eine Kerberos-Schwachstelle ausnutzen, um einen Benutzer zu übernehmen, indem er dessen Ticket-Granting-Ticket (TGT) stiehlt oder manipuliert. Mit einem TGT kann ein Angreifer sich als der Benutzer authentifizieren, ohne dass dieser es merkt.

 

  • Domain Name System (DNS) Spoofing DNS-Spoofing ist eine Technik, bei der Angreifer die DNS-Antworten manipulieren, um den Benutzer zu einer schädlichen Website umzuleiten. Da Active Directory stark auf DNS angewiesen ist, kann DNS-Spoofing eine schwerwiegende Schwachstelle sein, die es Angreifern ermöglicht, sich als legitime Active-Directory-Domänencontroller auszugeben.

 

Gegenmaßnahmen:

  1. Pass-the-Hash-Mitigation:

 

Die Pass-the-Hash-Mitigation hat zum Ziel, den Diebstahl von Passwort-Hashes zu verhindern oder ihre Verwendung zu erschweren. Dazu können Unternehmen folgende Maßnahmen ergreifen:

  • Verwendung von sicheren Passwörtern: Unternehmen sollten ihre Benutzer dazu anhalten, starke und komplexe Passwörter zu wählen, die schwer zu erraten oder zu knacken sind.
  • Hash-Verkettung: Hierbei werden die Passwort-Hashes mit anderen Hashes verknüpft, um ihre Integrität und Vertraulichkeit zu gewährleisten. Dadurch wird es für Angreifer schwieriger, Hashes zu stehlen und zu verwenden.
  • Passwort-Hash-Isolation: Hierbei werden die Passwort-Hashes auf verschiedene Systeme und Server verteilt, um ihre Wiederverwendung zu verhindern. Dadurch wird es für Angreifer schwieriger, Hashes zu stehlen und zu verwenden.

Beispiel für die Implementierung:

  • Verwendung von Group Policies: Mit Group Policies können Unternehmen die Sicherheitsrichtlinien für ihre Active-Directory-Umgebung festlegen. Dazu können sie beispielsweise eine Gruppenrichtlinie erstellen, die Benutzer dazu zwingt, sichere Passwörter zu wählen.
  • Einsatz von Hash-Verkettung: Unternehmen können Tools wie Microsoft LAPS (Local Administrator Password Solution) einsetzen, um die Passwort-Hashes auf ihren Systemen und Servern zu verketten und ihre Vertraulichkeit und Integrität zu gewährleisten.
  • Verwendung von Hash-Isolation: Unternehmen können Tools wie Microsoft Credential Guard oder Passwort-Tresore von Drittanbietern einsetzen, um die Passwort-Hashes auf verschiedene Systeme und Server zu verteilen und ihre Wiederverwendung zu verhindern.

 

  1. Kerberos-Härtung:

 

Die Kerberos-Härtung hat zum Ziel, Kerberos-Authentifizierungsprotokolle zu schützen und deren Manipulation oder Übernahme durch Angreifer zu verhindern. Dazu können Unternehmen folgende Maßnahmen ergreifen:

  • Aktivierung von „Kerberos Armoring“: Hierbei wird die Integrität von Kerberos-Tickets durch die Verwendung digitaler Signaturen geschützt. Dadurch wird es schwieriger, Tickets zu manipulieren oder zu übernehmen.
  • Verwendung von „Protected Users“ Gruppe: Diese Gruppe bietet zusätzliche Sicherheit für Benutzer, die hochsensible Informationen oder Systeme zugreifen. Diese Benutzer werden automatisch mit höheren Sicherheitsrichtlinien geschützt.

Beispiel für die Implementierung:

  • Aktivierung von „Kerberos Armoring“: Unternehmen können die Armoring-Option in den Kerberos-Richtlinien aktivieren, um die Integrität von Kerberos-Tickets zu schützen.
  • Verwendung von „Protected Users“ Gruppe: Unternehmen können Benutzer in die „Protected Users“ Gruppe aufnehmen, um ihre Sicherheitseinstellungen automatisch zu erhöhen. Dazu können sie beispielsweise die Kerberos-Richtlinien anpassen, um die Anforderungen für die Authentifizierung von „Protected Users“ zu erhöhen.

 

  1. DNS-Sicherheit:

 

Die DNS-Sicherheit hat zum Ziel, DNS-Spoofing-Angriffe zu verhindern und die Integrität von DNS-Transaktionen zu gewährleisten. Dazu können Unternehmen folgende Maßnahmen ergreifen:

  • Verwendung von DNSSEC: DNSSEC bietet zusätzliche Sicherheit für DNS-Transaktionen, indem es digitale Signaturen verwendet, um die Authentizität von DNS-Antworten zu gewährleisten.
  • Verwendung von DANE: DANE ermöglicht es Unternehmen, Zertifikate für ihre DNS-Server bereitzustellen, um ihre Authentizität zu gewährleisten.

Beispiel für die Implementierung:

  • Aktivierung von DNSSEC: Unternehmen können DNSSEC auf ihren DNS-Servern aktivieren, indem sie die entsprechenden Einstellungen in ihren DNS-Konfigurationsdateien anpassen. Die Implementierung von DNSSEC erfordert jedoch eine sorgfältige Planung und Konfiguration, um sicherzustellen, dass es ordnungsgemäß funktioniert.
  • Verwendung von DANE: Unternehmen können DANE-Zertifikate von einer Zertifizierungsstelle (CA) erwerben und sie auf ihren DNS-Servern installieren, um ihre Authentizität zu gewährleisten.

 

Domain Name System-based Authentication of Named Entities (DANE) ist ein Protokoll, das die Sicherheit von DNS-Transaktionen verbessert, indem es digitale Zertifikate verwendet, um die Authentizität von DNS-Servern und den von ihnen bereitgestellten Informationen zu gewährleisten. DANE nutzt die vorhandene DNS-Infrastruktur, um digitale Zertifikate bereitzustellen, anstatt dass eine separate Infrastruktur notwendig wäre. Es stellt somit eine Erweiterung von DNSSEC dar, dem DNS Security Extensions Protokoll.

Im Detail ermöglicht DANE es Domainbesitzern, digitale Zertifikate für ihre DNS-Server bei einer vertrauenswürdigen Zertifizierungsstelle (CA) zu erwerben und dann diese Zertifikate im DNS zu veröffentlichen. Durch diese Veröffentlichung wird sichergestellt, dass Clients, die DNS-Anfragen senden, nur Antworten von vertrauenswürdigen DNS-Servern erhalten und keine Antworten von gefälschten oder manipulierten DNS-Servern.

Dabei gibt es verschiedene Arten von DANE-Records, die in DNS-Einträge eingefügt werden können, um die Vertrauenswürdigkeit von DNS-Servern zu erhöhen, einschließlich TLSA-Records (für die Verifizierung von SSL/TLS-Verbindungen), SSHFP-Records (für die Verifizierung von SSH-Verbindungen) oder SMIMEA-Records (für die Verifizierung von S/MIME-Email-Zertifikaten). Durch diese Verwendung von digitalen Zertifikaten kann DANE DNS-Spoofing-Angriffe erschweren oder verhindern, die die DNS-Antworten manipulieren und Benutzer zu bösartigen oder gefälschten Websites umleiten.

Um DANE zu implementieren, müssen Unternehmen sicherstellen, dass ihre DNS-Server DNSSEC unterstützen und dann digitale Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle erwerben. Anschließend müssen sie die entsprechenden DANE-Records in ihre DNS-Zonen konfigurieren, um sicherzustellen, dass Clients, die DNS-Anfragen senden, nur Antworten von vertrauenswürdigen DNS-Servern erhalten. Es ist jedoch zu beachten, dass DANE eine sorgfältige Planung und Konfiguration erfordert, um sicherzustellen, dass es ordnungsgemäß funktioniert und die Sicherheit von DNS-Transaktionen erhöht.

Ein weiterer wichtiger Punkt bei der Implementierung von DANE ist, dass Clients, die DNS-Anfragen senden, DANE-fähig sein müssen, um die DANE-Records abzufragen und zu validieren. Daher müssen Unternehmen sicherstellen, dass ihre Clients die entsprechenden DANE-Protokolle und -Standards unterstützen, um sicherzustellen, dass die Implementierung von DANE erfolgreich ist.

Insgesamt kann DANE dazu beitragen, die Sicherheit von DNS-Transaktionen zu erhöhen und DNS-Spoofing-Angriffe zu erschweren oder zu verhindern. Allerdings ist es wichtig zu beachten, dass DANE kein Allheilmittel gegen alle Arten von DNS-Angriffen ist und dass es zusammen mit anderen Sicherheitsmaßnahmen wie DNSSEC und Firewall-Regeln eingesetzt werden sollte, um eine umfassende Sicherheitslösung zu bieten.

 

Links, die sich detailliert mit den Gegenmaßnahmen gegen die Schwachstellen von Microsoft Active Directory befassen:

Der Link enthält Informationen zu den Best Practices für die Sicherung von Active Directory und bietet praktische Ratschläge und Anleitungen für deren Umsetzung. Die Dokumentation stammt direkt von Microsoft und ist daher eine zuverlässige Quelle.

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory

Der Link führt zu den CIS-Controls, die eine Reihe von Sicherheitsmaßnahmen beschreiben, die Unternehmen ergreifen können, um ihre Netzwerke sicherer zu machen. Der Link führt zur Version 7.1 der CIS-Controls, die sich speziell mit der Sicherung von Active Directory befassen.

https://www.cisecurity.org/white-papers/cis-controls-for-effective-cyber-defense-version-7-1/

Share this post

Copyright 2025 © All rights Reserved. cyber13sec.com