Empfehlungen für ein sicheres Client Admin Konzept
Gastbeitrag von Florian Bogner / Bee IT Security
Bei vielen der von uns durchgeführten Hacking Workshops (aka Pentests) stellen wir fest, dass es erhebliche IT Security Defizite in der Handhabung von administrativen Konten gibt. Dies betrifft vor allem das dauerhafte Arbeiten mit administrativen Berechtigungen und die Mehrfachverwendung von Passwörtern für lokale Benutzer.
Die Kompromittierung eines einzigen Endnutzergerätes durch einen Angreifer reicht aus, um in weiterer Folge infrastrukturweiten Vollzugriff zu erhalten. Um diese Risiken zu minimieren, werden in diesem Beitrag entsprechende Handlungsempfehlungen aufgezeigt, die viele der bestehenden Angriffsvektoren unmöglich machen.
„Zero-Trust“ Ansatz für Windows Clients
Um die im vorherigen Kapitel beschriebenen Risiken zu minimieren, wird empfohlen eine „Zero Trust“ Strategie für Windows Endgeräte umzusetzen.
Grundsätzlich muss immer von der möglichen Kompromittierung von Endbenutzersystemen ausgegangen werden. Diese darf in keinem Fall zum Ausfall kritischer Systemkomponenten führen. Für Windows Endgeräte wird darum die Umsetzung einer „Zero Trust“ Strategie empfohlen.
Dementsprechend dürfen:
- Auf den Clients keine mehrfachverwendeten Passwörter mehr eingesetzt werden. Dies betrifft vor allem die Passwörter der lokalen Benutzerkonten.
- Besonders bei Fernwartungstätigkeiten ist darauf zu achten, dass nicht die NTLM Passwort Hashes privilegierter Benutzerkonten (z.B.: Client Admins) auf möglicherweise kompromittierte Endgeräte übertragen werden.
Ein weiterer wichtiger Faktor ist die Verwendung separater Administratorenkonten für IT Mitarbeiter an sich. Daher darf das normale „Office Benutzerkonto“ keine administrativen Berechtigungen besitzen.
Empfehlungen
Um den beschriebenen „Zero Trust“ Ansatz mit Windows Boardmitteln und kostenfreien Tools bestmöglich umzusetzen, wurden die folgenden Maßnahmenempfehlungen erarbeitet. Werden diese wie beschrieben umgesetzt, sind Angriffe nur mehr mit erheblichen Mehraufwänden durchführbar. Bei dem folgenden Konzept handelt es sich um eine „Rohfassung“ die natürlich für die jeweilige Infrastruktur angepasst werden muss.
Benutzerrollen
Besonders wichtig für die Absicherung komplexer IT Landschaften ist der Schutz privilegierter Benutzerkonten. Daher wird das folgende Rollenkonzept vorgeschlagen. Ein IT Mitarbeiter kann dabei mehrere Rollen einnehmen und somit auch mehrere Benutzerkonten besitzen. Pro Ebene wird ein Active Directory Account erstellt. Im Folgenden werden die Rollen definiert:
Office Users (z.B.: bogner)
Bei einem Office User handelt es sich um das „normale“ Benutzerkonto. Jeder Mitarbeiter erhält einen entsprechenden Account. Das Empfangen und Versenden von Mails, sowie der Zugriff auf interne Portale ist nur mit diesem Nutzer möglich. Für Mitarbeiter der IT besitzt dieses Benutzerkonto keine administrativen Berechtigungen.
Client Admins (z.B.: 00bogner)
Um administrative Aufgaben an den Endgeräten anderer Anwender (nur Clients) durchführen zu können, gibt es die Benutzerrolle „Client Admin“. Mitglieder dieser Benutzergruppe sind indirekt Teil der lokalen Administratorengruppe (auf Endnutzergeräten) und können so Software installieren bzw. Systemkonfigurationen ändern.
Um zu verhindern, dass ein Angreifer mit Kenntnis eines Client Admins Zugriff auf alle Endgeräte erhält, wird auf all diesen Systemen eine Gruppenrichtlinie ausgerollt, die Client Admins keine Netzwerkanmeldung erlaubt. Technisch wird dies umgesetzt indem Client Admins per GPO „Deny access to this computer from the network“ der Zugriff über das Netzwerk unterbunden wird. Dieses Setting sollte auch für Domänen Admins umgesetzt werden.
Server Admins / Domain Admins (z.B.: 99bogner)
Für alle IT Mitarbeiter wird außerdem ein Server Admin Konto angelegt. Dieses Konto wiederum ist Mitglied der Domänen Administratoren und kann somit zur Wartung von Servern eingesetzt werden. Wichtig ist, dass eine Anmeldung auf Clients damit nicht durchgeführt werden sollte. In größeren Infrastrukturen empfiehlt sich außerdem die Aufsplittung in Server und Domänen Admins. Das Konto des Domänen-Administrators sollte stillgelegt werden (Notfallkonto mit Passwort im Safe).
Lokales Benutzermanagement
Ein weit verbreitetes Einfallstor sind lokale Benutzerkonten. Wie die folgende Grafik schemenhaft zeigt, werden in praktisch allen größeren Unternehmen „Standard Images“ eingesetzt. Wird ein neues Gerät in Betrieb genommen, wird diese Basisinstallation darauf übertragen. Problematisch an diesem Vorgehen ist, dass dadurch auch die lokalen Benutzer (und deren Passwörter) auf allen Rechnern gleich sind. Erlangt ein Angreifer Vollzugriff auf einen einzigen Client, kann er dort das Passwort (bzw. dessen Hash) auslesen. Diese Information reicht aus, um sich auf andere Systeme weiterzuverbreiten.
Um diese technische Verwundbarkeit zu lösen wird empfohlen Microsoft LAPS einzusetzen. Das kostenlose und voll von Microsoft unterstütze Tool randomisiert das Passwort des lokalen Administrators in regelmäßigen Abständen. Das aktuell gültige Kennwort wird in dem jeweiligen AD Computer Objekt gespeichert. Berechtigte Personen (z.B.: IT Mitarbeiter) können anschließend auf die Datensätze im Klartext über eine grafische Anwendung bzw. Powershell Scripts zugreifen.
Hervorzuheben ist, dass das Passwort des lokalen Administratorkontos nur sehr selten benötigt wird. Beispiele sind: Ein Gerät, das die Zuordnung zur Windows Domäne verliert bzw. wenn ein Anwender im Notfall Zugriff auf sein Endgerät benötigt. Es wird empfohlen lediglich ein lokales Benutzerkonto (Administrator) über das Standardimage auszurollen und eben per LAPS zu managen.
Fernwartungsprozesse
Damit die im Folgenden beschriebenen Fernwartungsprozesse auch tatsächlich umgesetzt werden können, wurden einige Use-Cases basierend auf unserem Kundenfeedback erarbeitet, die mit oben genannnten Maßnahmen gelöst werden:
- Fernwartung (Benutzer sieht mit) bei Anmeldebildschirm
- Fernwartung (Benutzer sieht mit) in Benutzersession
- Remote Desktop (Benutzer sieht nicht mit)
- Ausführen von Remote Tasks (psexec)
- Zugriff mit lokalem Admin über das Netzwerk
- Zugriff mit lokalem Admin Vor-Ort
- Optional: Zugriff auf C$
Basierend auf diesen Anforderungen und den zuvor beschriebenen Empfehlungen wurden diese drei Fernwartungsprozesse definiert:
- RDP mit LAPS User
Soll auf ein Endgerät zugegriffen werden, ohne dass der Benutzer die Interaktionen verfolgen muss, wird RDP mit dem per LAPS gemanagten Benutzer verwendet. Damit wird sichergestellt, dass ein Zugriff auch ohne Windows Domäne möglich ist und dass ein potentieller Angreifer keine Zugangsdaten erhält, die auf anderen Systemen missbraucht werden können. Der Zugriff per LAPS-Admin kann auch verwendet werden, um Daten auf die C$ Freigabe zu kopieren bzw. Tasks per psexec auszuführen. Die dazu notwendigen Passwörter können per Powershell und dem Get-AdmPwdPassword ausgelesen werden.
- Remote Assistance mit SCCM / Teamviewer / …
Damit Endnutzer bei der Lösung von Problemen angeleitet werden können, ist es entscheidend, dass IT Mitarbeiter den Bildschirminhalt des jeweiligen Gerätes einsehen können. Dazu können unter anderem SCCM Remote Assistance, Microsoft Remote Assistance oder auch Teamviewer verwendet werden. Wichtig ist, dass auf dem gesteuerten Gerät keine vollständige Benutzersitzung durch den fernsteuernden Administrator aufgebaut wird, wodurch ein potentieller Angreifer keine Passworthashes auslesen kann.
- Lokale Anmeldung mit Client Admin
Manchmal ist es notwendig, dass direkt auf einem Endnutzergerät administrative Tätigkeiten durchgeführt werden müssen (Stichwort: Softwareinstallation). In Zukunft wird für die lokale Anmeldung das jeweilige Client Admin Konto verwendet. Darüber ist eine vollständige Kontrolle aller Endgeräte möglich. Erhält ein Angreifer Zugriff auf dieses Konto, ist auf Grund der GPO „Deny access to this computer from the network“ keine Verbreitung im Netzwerk möglich.
Fazit
Durch die hier beschriebenen drei Prozesse sind alle zuvor identifizierten Use-Cases sicher abgedeckt. Besonders hervorzuheben ist, dass keine kostenpflichtigen Produkte angeschafft werden müssen. Die bestehende Infrastruktur muss durch GPOs und kostenlose Tools (LAPS) nur leicht angepasst werden.
Die Umsetzung der in diesem Artikel beschriebenen Maßnahmen erschwert einen erfolgreichen Angriff auf die IT Infrastruktur enorm. Viele der kritischsten Angriffsvektoren können so geschlossen werden.
Kontakt
IT Security ist ein sehr komplexer Themenbereich bei dem oft Punkt und Strich über die Sicherheit bzw. Unsicherheit eines Systems entscheiden. Bei Fragen zu diesen Empfehlungen stehen Ihnen die Experten von Bee IT Security gerne hilfreich zur Seite.