Categories
Security

Active Directory TIERing – ganz oder gar nicht?

26. Mai 2023 von Michael van Laak

Ein nicht sauber gehärtetes Active Directory stellt heute eine leichte Beute für Angreifer dar. Um einen Angriff zu starten, wird zunächst Zugriff auf ein internes System benötigt. Dies kann z.B. über eine Verbindung mit einem öffentlich erreichbaren Terminal Server unter Verwendung von kompromittierten Benutzeranmeldedaten erfolgen. Angreifer lassen sich aber auch gerne in das Unternehmensnetz einladen, indem z.B. ein Anwender einen bösartigen E-Mail-Anhang öffnet und damit Schadcode innerhalb seiner Benutzersitzung ausführt. Mittlerweile laufen Angriffsverfahren teils vollautomatisiert ab. Damit schaffen es Angreifer oft, innerhalb kürzester Zeit bis auf die Domänencontroller vorzudringen und die komplette Domäne zu übernehmen. Danach hat der Angreifer die freie Wahl: Spionage, Daten vernichten, Daten verschlüsseln und Lösegeld erpressen, etc.

Um Angreifern das Ausbreiten im internen Netz („Lateral Movement“) und die Erlangung höher privilegierter Rechte („Privilege Escalation“) zu erschweren, hat Microsoft vor vielen Jahren ein Tiering Modell für das Active Directory entwickelt. Mit Einführung der Cloud Dienste wurde dieses Modell um entsprechende Cloud Elemente erweitert und in „Enterprise Access Model“ umbenannt (siehe Securing privileged access Enterprise access model | Microsoft Learn). Wer sich mit dem Thema schon mal beschäftigt hat, wurde wahrscheinlich von der Komplexität erschlagen und weiß nun nicht, wie das Thema angegangen werden kann und womit idealerweise anzufangen ist.

Wogegen schützen logische Schichten im AD?

Die saubere Trennung von logischen Schichten im AD erschwert einem Angreifer die Ausbreitung und die Erlangung höherer Rechte in der Konsolidierungsphase.

(Ablaufdiagramm aus: https://www.heise.de/news/Cybercrime-und-staatlichen-Hacker-Neue-Tools-und-Techniken-7324572.html?wt_mc=nl.red.ho.ho-nl-daily.2022-11-15.link.link)

Eine Aufteilung der Systeme in drei Schichten sieht üblicherweise so aus:

  • Tier 2: Workstations
  • Tier 1: Applikations-Server
  • Tier 0: Infrastruktur (z.B. Domain Controller, Storage, Virtualisierer, etc.)

Wenn ein Angreifer einmal in einer User Session auf einem Tier 1 Device Fuß gefasst hat, wäre ein beispielhafter weiterer Ablauf wie folgt denkbar. Dieses Beispiel ist zwar aus Sicht eines Angreifers sicherlich der „Best Case“, allerdings durchaus nicht praxisfern:

  1. Der Angreifer versucht, aus der User Session heraus das komplette System zu übernehmen.
    1. Der kompromittierte User ist lokaler Admin.
      1. Fertig – System übernommen!
    1. Der kompromittierte User ist kein lokaler Admin.
      1. Probleme in der User Session provozieren, damit der User den Helpdesk anruft und um Hilfe bittet.
      1. Der Helpdesk tippt innerhalb der User Session im Rahmen einer Remote Support Aktion die Credentials seines Helpdesk Accounts ein (z.B. via „run as“).
      1. Diese Credentials werden über einen vom Angreifer etablierten Key Logger abgegriffen.
      1. Fertig – System übernommen!
  2. Der Angreifer versucht, sich auf andere Systeme (Workstations) auszubreiten.
    1. Das lokale Admin-Kennwort ist auf allen Workstations identisch.
      1. Fertig – Alle Workstations übernommen!
      1. Tier 2 verloren!
  3. Der Angreifer möchte nun in den Besitz von höherwertigen Credentials kommen. Dafür reicht es, wenn sich ein solcher Account an einem kompromittierten Gerät anmeldet.
    1. Worst Case: Ein IT Mitarbeiter
      1. meldet sich mit einem Domain Admin Account an einem Client an, oder
      1. nutzt Domain Admin Credentials mittels „run as“, um aus seiner User Session heraus ein Admin Tool zu starten, oder
      1. meldet sich aus seiner User Session heraus via RDP-Client auf einem Drittsystem an und verwendet dabei Domain Admin Credentials,
      1. oder ähnliches…
    1. Ganz fertig – Domäne komplett übernommen!

Mit Tier 2 (Workstation Level) starten!

Da die überwiegende Mehrzahl der Angriffe über besuchte Web-Sites oder bösartige E-Mail-Anhänge erfolgen, sind die Workstations das größte Einfallstor und somit als erste abzusichern.

Das o.g. Beispiel zeigt recht deutlich, welches die wichtigsten Maßnahmen sind, um den Workstation Level (Tier 2) so abzusichern, dass Lateral Movement und Privilege Escalation erschwert werden.

  1. Ein automatisiertes Management der lokalen Administrator-Kennwörter auf den Workstations erschwert Lateral Movement (z.B. via LAPS, das mit dem April Update 2023 fest in das Betriebssystem wandert und nun auch Cloud-Umgebungen unterstützt, siehe: By popular demand: Windows LAPS available now! – Microsoft Community Hub)
    1. Individuelles Admin-Kennwort auf jedem Gerät.
    1. Admin-Kennwort wird regelmäßig automatisch geändert
  2. Entfernen weiterer Accounts und Gruppen aus der lokalen Gruppe der Administratoren auf allen Workstations (soweit möglich) erschwert Lateral Movement.
  3. Konfiguration von Logon Restrictions für Mitglieder privilegierter Gruppen erschwert Privilege Escalation. Somit können sich z.B. Domain Admins nicht mehr an Workstations anmelden.

Diese Maßnahmen sind relativ einfach und mit vertretbarem Aufwand durchführbar. Klar ist allerdings auch, dass in der Regel die bestehenden Workstation Support Prozesse nach der Umsetzung nicht mehr wie gewohnt funktionieren und entsprechend anzupassen sind.

Zusätzliche Maßnahmen sind innerhalb der Active Directory Struktur durchzuführen, um ggf. existierende „indirekte Kontrollpfade“ zu eliminieren. Beispielsweise würde eine indirekte Kontrolle über die Gruppe der Domain Admins gegeben sein, wenn folgendes Szenario zutrifft:

  • Es gibt eine OU im Active Directory, in der Standardbenutzerkonten einsortiert werden.
  • Für diese OU wurde eine Delegierung konfiguriert, dass der Helpdesk Benutzerkennwörter für Userobjekte unterhalb dieser OU zurücksetzen kann.
  • Ein Userobjekt unterhalb dieser OU ist Mitglied in der Gruppe Domain Admins.

Damit kann sich jeder Helpdesk-Mitarbeiter jederzeit einen Domain Admin Account verschaffen, indem er das Kennwort für das entsprechende User Objekt unterhalb der o.g. OU zurücksetzt und sich anschließend mit diesem Konto anmeldet.

Glücklicherweise gibt es Tools, die solche indirekten Kontrollpfade automatisch erkennen und dokumentieren können, so dass auch deren Beseitigung recht schnell und einfach erfolgen kann.

Damit ist die Separierung von Tier 2 (Workstations) in Kombination mit der notwendigen Active Directory Hygiene als absolutes Pflichtprogramm zu bezeichnen.

Wie weit muss ich gehen?

Die Aufwände für die Konzipierung, Implementierung und den Betrieb steigen mit jedem höheren TIER exponentiell an. Die Separierung von Tier 1 (Applikationsserver) ist bereits deutlich aufwändiger als für Tier 2, da hier in der Regel jeder Server / Service einzeln zu betrachten ist. Falls dann auch noch die Separierung von Tier 0 (Infrastruktur) erfolgen soll, müssen etliche Basis-Infrastruktur-Komponenten doppelt und getrennt nach Tier 1 und Tier 0 aufgebaut werden (Storage, Virtualisierung, Backup, etc.). Anders ist nicht zu verhindern, dass z.B. ein Tier 1 Virtualisierungsadmin Vollzugriff auf die Domäne erlangt, weil die Domain Controller mit auf dem Tier 1 Virtualisierer laufen.

Nachdem die Tier 2 Separierung als „Pflichtprogramm“ eingestuft ist, könnte man Tier 1 als „Empfehlung“ und Tier 0 als „Kür“ bezeichnen. Für wen allerdings welche Ausbaustufe zu empfehlen ist, hängt nicht nur von dem vorhandenen Etat ab, sondern auch von der eigenen Einschätzung, wie lohnenswert das eigene Unternehmen für Angreifer sein könnte. Soll heißen: Auch wenn unbegrenzte Geldmittel zur Verfügung stehen, möchte ich nicht jedem Unternehmen die Vollausbaustufe empfehlen. Denn mit steigender Ausbaustufe macht man es nicht nur den Angreifern bei einem Übernahmeversuch schwerer, sondern auch der eigenen IT – und zwar Tag für Tag. Unternehmen, die nach einem Erfolgreichen Hackerangriff von den Microsoft Consulting Services die große Blaupause verpasst bekommen haben, können ein Lied davon singen.

Die Zeit der klassischen Hacker ist vorbei, in der ein pickelgesichtiger, übergewichtiger Sonderling mit Kapuzenpulli in einem dunklen Keller zwischen leeren Pizzakartons an seinem Computer sitzt und manuell das Kennwort seines ausgewählten Opfers rät. Heute sind das hochprofessionelle und bestens organisierte Unternehmen, die Standardangriffe mit einem hohen Automatisierungsgrad gegen eine breite Masse von Unternehmen fahren. Dafür müssen diese Hacker-Organisationen viel Geld investieren, so dass sie einen hohen Wirkungsgrad benötigen, um den gewünschten Gewinn zu erzielen. Wenn es bei einem Unternehmen nicht auf Anhieb klappt, werden zunächst die anderen „Kunden“ in der Queue abgearbeitet. Damit ist es für Sie essenziell wichtig, besser aufgestellt zu sein als durchschnittlich üblich („Ich muss nicht schneller laufen als der Bär – ich muss nur schneller laufen als du“).

Also haben Sie mit der Implementierung von Tier 2 und des AD Hardenings schon den wichtigsten ersten Schritt getan, um vielen anderen Unternehmen das nötige Etwas vorauszuhaben. Als wie wertvoll die jeweiligen Kronjuwelen des Unternehmens einzustufen sind und ob es sich für Hacker lohnt, entsprechend mehr Aufwand zu spendieren, um die ersten Hürden zu überwinden, müssen Sie selbst beurteilen und ggf. weitere Hürden aufbauen.

Fazit

Beim Aufbau eines TIER Modells gibt es kein „ganz oder gar nicht“. Jeder Teilschritt ist ein Schritt in die richtige Richtung zur Etablierung einer höheren Sicherheitsstufe, um das Risiko von erfolgreichen Angriffen immer weiter zu senken.

Aber egal, wie weit Sie gehen wollen: Bitte seien Sie sich bewusst, dass es nicht ausreicht, ein Konzept zu erstellen und umzusetzen – man muss sich auch auf Dauer daran halten. Wenn eine Security Policy definiert wird, muss sie für alle gelten. Es gibt dann keine Ausnahmen – und schon gar nicht für „VIP-User“, die (bzw. deren Daten) ein ganz besonders lohnendes Angriffsziel sind. Das muss bereits in der Designphase berücksichtigt und mit dem Management abgestimmt werden. Im Betrieb muss die IT entsprechende Rückendeckung durch das Management erhalten, um sich gegen Sonderwünsche wehren zu können, die oft eine ganze Reihe von mühsam etablierten Maßnahmen aushebeln können. Es ist besser, nur Teile des TIER Modells zu implementieren und sich strikt an die bis dorthin erforderlichen Regeln zu halten, als ein mühsam aufgebautes Gesamtwerk durch „Praktikabilitäts-Shortcuts“ ad absurdum zu führen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

nach oben