7 wichtige Active Directory-Risikoindikatoren im Varonis-Dashboard

Ein Angreifer benötigt lediglich Zeit und Motivation, um in Ihr Netzwerk einzudringen. Unsere Arbeit mit Ihnen besteht jedoch darin, ihn daran zu hindern oder diese Aufgabe zumindest so weit wie möglich zu erschweren. Sie müssen zunächst Schwachstellen in Active Directory (im Folgenden als AD bezeichnet) identifizieren, mit denen ein Angreifer unentdeckt auf das Netzwerk zugreifen und sich darin bewegen kann. In diesem Artikel werden wir uns heute anhand des AD Varonis-Dashboards mit Risikoindikatoren befassen, die die vorhandenen Schwachstellen in der Cyber-Abwehr Ihres Unternehmens widerspiegeln.

Angreifer verwenden bestimmte Konfigurationen in der Domäne

Angreifer verwenden viele Tricks und Schwachstellen, um in das Unternehmensnetzwerk einzudringen und die Berechtigungen zu erhöhen. Einige dieser Schwachstellen sind Domänenkonfigurationsparameter, die nach ihrer Identifizierung leicht geändert werden können.

Das AD-Dashboard benachrichtigt Sie sofort, wenn Sie (oder Ihre Systemadministratoren) das KRBTGT-Kennwort im letzten Monat nicht geändert haben oder wenn sich jemand mit dem integrierten Standardadministratorkonto (Administrator) authentifiziert hat. Diese beiden Konten bieten uneingeschränkten Zugriff auf Ihr Netzwerk: Angreifer versuchen, Zugriff auf sie zu erhalten, um Unterschiede bei Berechtigungen und Zugriffsberechtigungen frei zu umgehen. Und als Ergebnis erhalten Sie Zugriff auf alle Daten, die sie interessieren.

Natürlich können Sie diese Sicherheitsanfälligkeiten selbst erkennen: Legen Sie beispielsweise eine Kalendererinnerung zur Überprüfung fest oder führen Sie ein PowerShell-Skript aus, um diese Informationen zu erfassen.

Das Varonis-Dashboard wird automatisch aktualisiert, um eine schnelle Anzeige und Analyse der wichtigsten Messdaten zu ermöglichen, die potenzielle Schwachstellen aufzeigen, sodass Sie sofort Maßnahmen ergreifen können.

3 wichtige Risikoindikatoren auf Domain-Ebene

Im Folgenden finden Sie eine Reihe von Widgets, die im Varonis-Dashboard verfügbar sind und deren Verwendung den Schutz des Unternehmensnetzwerks und der IT-Infrastruktur insgesamt erheblich verbessern wird.

1. Die Anzahl der Domänen, für die sich das Kennwort des Kerberos-Kontos nicht wesentlich geändert hat

Das KRBTGT-Konto ist ein spezielles Konto in AD, das alle Kerberos-Tickets signiert. Angreifer, die Zugriff auf einen Domänencontroller (DC) erhalten, können mit diesem Konto ein Goldenes Ticket erstellen, mit dem sie uneingeschränkten Zugriff auf nahezu jedes System im Unternehmensnetzwerk erhalten. Wir waren mit einer Situation konfrontiert, in der der Angreifer nach erfolgreichem Erhalt des Goldenen Tickets zwei Jahre lang Zugriff auf das Netzwerk der Organisation hatte. Wenn sich das Passwort des KRBTGT-Kontos in Ihrem Unternehmen in den letzten vierzig Tagen nicht geändert hat, werden Sie vom Widget darüber informiert.

Vierzig Tage sind mehr als genug Zeit für einen Angreifer, um Zugriff auf das Netzwerk zu erhalten. Wenn Sie jedoch den Prozess der regelmäßigen Änderung dieses Kennworts bereitstellen und standardisieren, wird dies die Aufgabe eines Angreifers, in das Unternehmensnetzwerk einzudringen, erheblich erschweren.


Denken Sie daran, dass Sie gemäß der Implementierung des Kerberos-Protokolls durch Microsoft das KRBTGT- Kennwort zweimal ändern müssen.

In Zukunft wird Sie dieses AD-Widget daran erinnern, wann es Zeit ist, das KRBTGT-Kennwort für alle Domänen in Ihrem Netzwerk erneut zu ändern.

2. Anzahl der Domänen, die kürzlich das integrierte Administratorkonto verwendet haben

Nach dem Prinzip der geringsten Berechtigungen werden Systemadministratoren zwei Konten zur Verfügung gestellt: Das erste ist ein Konto für den täglichen Gebrauch und das zweite für geplante Verwaltungsarbeiten. Dies bedeutet, dass niemand das Standardadministratorkonto verwenden sollte.

Ein integriertes Administratorkonto wird häufig verwendet, um den Systemverwaltungsprozess zu vereinfachen. Dies kann eine schlechte Angewohnheit sein und zu einem Hack führen. Wenn dies in Ihrer Organisation geschieht, ist es für Sie schwierig, die ordnungsgemäße Verwendung dieses Kontos von potenziell böswilligem Zugriff zu unterscheiden.


Wenn das Widget etwas anderes als Null anzeigt, bedeutet dies, dass jemand nicht ordnungsgemäß mit Administratorkonten arbeitet. In diesem Fall müssen Sie Maßnahmen ergreifen, um den Zugriff auf das integrierte Administratorkonto zu korrigieren und einzuschränken.
Sobald Sie einen Wert von Null für das Widget erreicht haben und Systemadministratoren dieses Konto nicht mehr für ihre Arbeit verwenden, deutet jede Änderung in Zukunft auf einen möglichen Cyberangriff hin.

3. Die Anzahl der Domänen, in denen keine Gruppe geschützter Benutzer vorhanden ist (geschützte Benutzer)

Alte Versionen von AD unterstützten eine schwache Art der Verschlüsselung - RC4. Hacker haben RC4 vor vielen Jahren geknackt, und jetzt ist es für einen Angreifer eine triviale Aufgabe, ein Konto zu knacken, das immer noch RC4 verwendet. Mit der in Windows Server 2012 eingeführten Version von Active Directory wurde eine Gruppe von Benutzern eines neuen Typs namens Protected Users Group eingeführt. Es bietet zusätzliche Sicherheitstools und verhindert die Benutzerauthentifizierung mithilfe der RC4-Verschlüsselung.

Dieses Widget zeigt an, ob es in keiner Domäne der Organisation eine solche Gruppe gibt, damit Sie sie beheben können, d. H. Aktivieren Sie eine Gruppe geschützter Benutzer und verwenden Sie sie zum Schutz der Infrastruktur.

Leichte Ziele für Angreifer

Benutzerkonten sind das Hauptziel für Angreifer - von den ersten Eindringversuchen bis zur fortschreitenden Eskalation von Berechtigungen und dem Verbergen ihrer Aktionen. Angreifer suchen mit einfachen PowerShell-Befehlen nach einfachen Zielen in Ihrem Netzwerk, die häufig schwer zu erkennen sind. Entfernen Sie so viele dieser Lichtziele wie möglich aus AD.

Angreifer suchen nach Benutzern mit unbegrenzten Kennwörtern (oder die keine Kennwörter benötigen), Technologiekonten, die Administratoren sind, und Konten, die alte RC4-Verschlüsselung verwenden.

Der Zugriff auf eines dieser Konten ist entweder trivial oder wird in der Regel nicht überwacht. Angreifer können diese Konten entführen und sich frei in Ihrer Infrastruktur bewegen.

Sobald Angreifer den Sicherheitsbereich durchdringen, erhalten sie wahrscheinlich Zugriff auf mindestens ein Konto. Können Sie verhindern, dass sie Zugriff auf vertrauliche Daten erhalten, bevor Sie den Angriff erkennen und beenden?

Das Varonis AD-Dashboard verweist auf anfällige Benutzerkonten, damit Sie die Probleme im Voraus beheben können. Je schwieriger es ist, in Ihr Netzwerk zu gelangen, desto höher sind Ihre Chancen, einen Angreifer zu neutralisieren, bevor er ernsthaften Schaden anrichtet.

4 wichtige Risikoindikatoren für Benutzerkonten

Im Folgenden finden Sie Beispiele für Widgets im Varonis AD-Dashboard, die die am stärksten gefährdeten Benutzerkonten angeben.

1. Die Anzahl der aktiven Benutzer mit Kennwörtern, die niemals ablaufen

Für jeden Angreifer ist der Zugriff auf ein solches Konto immer ein großer Erfolg. Da das Kennwort niemals abläuft, erhält der Angreifer einen dauerhaften Halt im Netzwerk, mit dem er die Berechtigungen erhöhen oder sich innerhalb der Infrastruktur bewegen kann.
Angreifer haben Listen mit Millionen von Benutzer-Kennwort-Kombinationen, die sie bei Angriffen zum Ersetzen von Anmeldeinformationen verwenden, und der Wahrscheinlichkeit
dass die Kombination für den Benutzer mit dem "ewigen" Passwort in einer dieser Listen steht, viel mehr als Null.

Konten mit nicht ablaufenden Kennwörtern sind einfach zu verwalten, aber nicht sicher. Verwenden Sie dieses Widget, um alle Konten mit diesen Kennwörtern zu finden. Ändern Sie diese Einstellung und aktualisieren Sie das Passwort.


Sobald der Wert dieses Widgets Null wird, werden alle mit diesem Kennwort erstellten neuen Konten im Dashboard angezeigt.

2. Die Anzahl der Verwaltungskonten mit SPN

SPN (Service Principal Name) ist eine eindeutige Kennung für eine Instanz eines Dienstes. Dieses Widget zeigt an, wie viele Dienstkonten über vollständige Administratorrechte verfügen. Der Wert im Widget muss Null sein. Ein SPN mit Administratorrechten tritt auf, weil die Gewährung solcher Rechte für Softwareanbieter und Anwendungsadministratoren praktisch ist, dies jedoch ein Sicherheitsrisiko darstellt.

Durch die Erteilung von Administratorrechten für ein Dienstkonto erhält ein Angreifer vollen Zugriff auf ein Konto, das nicht verwendet wird. Dies bedeutet, dass Angreifer mit Zugriff auf SPN-Konten innerhalb der Infrastruktur frei agieren und gleichzeitig die Überwachung ihrer Aktionen vermeiden können.

Sie können dieses Problem beheben, indem Sie die Berechtigungen für Dienstkonten ändern. Solche Konten müssen dem Prinzip der geringsten Privilegien entsprechen und nur den Zugang haben, der für ihre Arbeit wirklich notwendig ist.


Mit diesem Widget können Sie alle SPNs mit Administratorrechten finden, solche Berechtigungen entfernen und den SPN weiter steuern, wobei das gleiche Prinzip des Zugriffs mit den geringsten Berechtigungen gilt.

Der neu erscheinende SPN wird im Dashboard angezeigt, und Sie können diesen Vorgang steuern.

3. Anzahl der Benutzer, die keine Kerberos-Vorauthentifizierung benötigen

Im Idealfall verschlüsselt Kerberos ein Authentifizierungsticket mithilfe der AES-256-Verschlüsselung, die bis heute nicht unterbrochen wurde.

Ältere Versionen von Kerberos verwendeten jedoch die RC4-Verschlüsselung, die jetzt in wenigen Minuten geknackt werden kann. Dieses Widget zeigt, welche Benutzerkonten noch RC4 verwenden. Microsoft unterstützt RC4 aus Gründen der Abwärtskompatibilität weiterhin, dies bedeutet jedoch nicht, dass Sie es in Ihrem AD verwenden sollten.


Nachdem Sie solche Konten gefunden haben, müssen Sie das Kontrollkästchen "Keine Kerberos-Vorautorisierung erforderlich" in AD deaktivieren, damit die Konten eine komplexere Verschlüsselung verwenden.

Die Selbsterkennung dieser Konten ohne das Varonis AD-Dashboard ist zeitaufwändig. In der Realität ist es noch schwieriger, rechtzeitig über alle Konten informiert zu werden, die für die Verwendung der RC4-Verschlüsselung bearbeitet wurden.

Wenn sich der Wert im Widget ändert, kann dies auf illegale Aktionen hinweisen.

4. Die Anzahl der Benutzer ohne Passwort

Angreifer verwenden die grundlegenden PowerShell-Befehle, um das Flag "PASSWD_NOTREQD" aus den AD-Eigenschaften in den Kontoeigenschaften zu lesen. Die Verwendung dieses Flags bedeutet, dass das Vorhandensein oder die Komplexität eines Kennworts nicht erforderlich ist.
Wie einfach ist es, ein Konto mit einem einfachen oder leeren Passwort zu stehlen? Stellen Sie sich nun vor, eines dieser Konten ist ein Administrator.


Was ist, wenn eine der Tausenden von vertraulichen Dateien, die für alle zugänglich sind, ein bevorstehender Finanzbericht ist?

Das Ignorieren der obligatorischen Kennworteingabe ist eine weitere Abkürzung zur Systemadministration, die in der Vergangenheit häufig verwendet wurde. Heute ist sie jedoch inakzeptabel und unsicher.

Beheben Sie dieses Problem, indem Sie die Kennwörter für diese Konten aktualisieren.

Wenn Sie dieses Widget in Zukunft überwachen, können Sie Benutzerkonten ohne Kennwort vermeiden.

Varonis gleicht die Chancen aus

In der Vergangenheit dauerte das Sammeln und Analysieren der im Artikel enthaltenen Metriken viele Stunden und erforderte fundierte Kenntnisse von PowerShell: Sicherheitsspezialisten mussten jede Woche oder jeden Monat Ressourcen für solche Aufgaben zuweisen. Die manuelle Erfassung und Verarbeitung dieser Informationen verschafft Angreifern jedoch einen Vorsprung bei der Durchdringung und beim Datendiebstahl.

Mit Varonis verbringen Sie einen Tag mit der Bereitstellung des AD-Dashboards und zusätzlicher Komponenten, um alle berücksichtigten und viele andere Schwachstellen zu erfassen. Zukünftig wird das Dashboard während des Betriebs automatisch aktualisiert, wenn sich der Status der Infrastruktur ändert.

Die Durchführung von Cyber-Angriffen ist immer ein Wettlauf zwischen Angreifern und Verteidigern. Der Wunsch eines Angreifers, Daten zu stehlen, bevor Sicherheitsexperten den Zugriff darauf blockieren können. Die Früherkennung von Cyberkriminellen und ihrer rechtswidrigen Handlungen in Verbindung mit einer starken Cyberabwehr ist der Schlüssel zur Gewährleistung der Sicherheit Ihrer Daten.