Lokale Admin Passwörter – ein unterschätztes Risiko

SHARE:
Copied!

„39% der Befragten besitzen in ihrem Unternehmen ein oder mehrere lokale Administratoren Konten mit einem einheitlichen Kennwort“

Im Rahmen der ersten Dell ITPro-Lab Online Veranstaltung hatte ich Gelegenheit einen Vortrag über drei typische Themen zu halten, über die ich im Feld immer wieder stolpere:

  • Microsoft Office „Klick 2 Run“ richtig verteilen
  • Microsoft Store richtig einrichten
  • Lokale Adminkonten richtig sichern

Um herauszufinden, ob auch die Teilnehmer meines Vortrags vor den gleichen Herausforderungen stehen, wie viele Kunden vor Ort, inkludierte ich anonyme Umfragen in meine Online-Session. Das Ergebnis deckt sich mit meinen Erfahrungen aus der Praxis. Da mir das Thema Sicherheit wichtig ist, möchte ich das Thema Lokale Administrator Passwörter nochmal hier aufgreifen. Warum?

Eine Frage war, „Wie behandeln Sie Ihre lokalen Administrator-Konten?“, gemeint waren die administrativen Konten, die sich lokal auf dem Computer befinden. Überlegen Sie einmal selbst: Wie wird denn das Thema bei Ihnen behandelt?

39% der Befragten besitzen in ihrem Unternehmen ein oder mehrere lokale Administratoren Konten mit einem einheitlichen Kennwort. Ich habe hier bewusst auf die Frage verzichtet, wie viele Mitarbeiter, die das Passwort kannten, das Unternehmen seit dem letzten Kennwortwechsel verlassen haben. Und dies ist nur ein Risiko.
Die Gründe, die für diese Umstände oft genannt werden, sind hohe Kosten oder zu hohe Komplexität. Dabei ist das gar nicht so komplex und eine einfache Lösung gibt es von Microsoft sogar kostenfrei.

Wo ist die Gefahr?

Bevor ich aber etwas in die Technik gehe, möchte ich erst noch mal auf die Gründe, die gegen einheitliche Admin Passwörter sprechen, eingehen. Hier sind ein paar der Risiken:
• Mitarbeiter, die die Passwörter kennen, könnten sie missbrauchen. Dabei kann unter Umständen nicht nachvollzogen werden, welcher Mitarbeiter einen nicht-personalisierten Administrator benutzt hat.
• Das ändern aller lokalen Administrator-Kennwörter, wenn ein Kenntnisträger das Unternehmen verlässt, ist ohne Werkzeuge nicht zu bewältigen.
• Wenn die Kennwörter identisch sind, ist die Gefahr groß, dass der Kennwort Hash ebenfalls identisch ist. Wenn dieser extrahiert werden kann, kann er missbraucht werden für laterale Bewegung.

Den letzten Fall erkläre ich etwas genauer, um das Problem besser verständlich zu machen.
Ein Hacker schickt eine E-Mail mit einem Social-Enginiering basierten Schadcode an einen Mitarbeiter. Zum Beispiel ein PDF mit dem neuen Spielplan des Lieblingsvereins, der sich leicht auf dem Facebook-Profil herausfinden ließ.. Dieser Schadcode sucht nach lokalen Hashes und versucht diese zu verwenden. Es wird das lokale Administratorkonto „Install“ gefunden. Mit dieser gestohlenen Identität bewegt sich der Hacker oder Virus durch das Netzwerk. Auf einem anderen Computer findet der Angreifer eine weitere Identität samt Hash, die des Domänen-Administrators eines Mitarbeiters. Mit dieser gestohlenen Identität kann der Domänen Controller kompromittiert werden. Da das Active Directory die Quelle der Authentifizierung ist, ist dies für den Hacker der Jackpot. Es können andere Konten übernommen werden und alle Daten, die auf AD-Authentifizierung beruhen sind verwundbar.

 

 

 

Wer jetzt denkt, so etwas würde nicht passieren oder sei an sich utopisch, dem empfehle ich den Artikel von Netzpolitik,org zum Bundestagshack.
Natürlich gibt es auch viele Schutzmechanismen, um dem Diebstahl von Hashes vorzubeugen. Aber: Selbst diese Lösungen schützen nicht vor dem Diebstahl von Zugriffsdaten. Immerhin verhindern sie zumindest laterale Bewegungen mit lokalen Administratorkonten. Mit etwas zusätzlicher Arbeit können uch manche Administrative Prozesse so umgestellt werden, das diese den neuen Ansatz verwenden, statt Persönliche Adminkonten. Und bevor das Argument aufkommt: Ja, es ist auch möglich, zu auditieren wer das Passwort verwendet hat.

Eine Lösung für die lokalen Administrator Konten

Microsoft hat das Problem erkannt und bietet die „Local Administrator Password Solution (LAPS)“ kostenfrei an. LAPS unterstützt alle aktuell supporteten Windows Versionen und war sogar schon für Windows XP verfügbar, als es noch unterstützt wurde. Dieses Tool basiert auf Microsoft Gruppenrichtlinien und dem Active Directory. Die Passwörter und Ablaufdaten werden in besonders gesicherten Attributen des Computerobjektes gespeichert. Der Zugriff auf diese Attribute wird durch Zugriffskontrolllisten gesteuert und kann von den Domänen-Kontrollern protokoliert werden.

Ein Nachteil der Lösung ist, das nur ein Konto damit geschützt werden kann. Eventuell müssen dann die internen Prozesse angepasst werden, um weitere lokale Administratorkonten abzulösen.

Wie genau funktioniert LAPS und was macht es so sicher?

Die berechtigen Mitarbeiter können das Passwort mit einer GUI oder der PowerShell abfragen. Gerade letzteres ist wichtig für Automatisierung. Wichtig ist aber auch, wie es auf der Computer Seite funktioniert.

Der Computer fragt die Gruppenrichtlinen ab. In einer ist LAPS konfiguriert. Dies startet auf dem Client die vorher installierte Gruppenrichtlinenerweiterung (Client Site Extension, kurz CSE). Diese Erweiterung prüft das Ablaufdatum des Lokalen Konto, das geschützt wird. Wenn es abgelaufen ist, wird ein neues nach den Vorgaben der Gruppenrichtline erzeugt. Die Länge und Komplexität sowie die Gültigkeitsdauer und der Benutzername wird in der Gruppenrichtline festgelegt. 20 Zeichen Alphanummerisch mit Sonderzeichen, das alle 7 Tage erneuert werden muss, ist kein Problem für die Technik. Die Frage ist nur, ob das auch zu Ihren Prozessen passt, hier gilt es gesundes Augenmaß zu halten.

Nach dem der Client das Kennwort und den neuen Zeitstempel erfolgreich im Active Directory gespeichert hat, wird es auch lokal geändert.

Möglichkeiten mit LAPS?

Neben Werkzeugen von Microsoft wie das „Windows Admin Center“ gibt es weitere Möglichkeiten LAPS sinnvoll zu nutzen. Hier sind ein paar Beispiele, wie LAPS sinnvoll in Unternehmen und Prozesse integriert werden kann:
Integration der PowerShell Passwortabfrage in eine CMDB
Wenn die CMDB es unterstützt, kann auch die Abfrage mit PowerShell erfolgen. Dabei kann direkt das Ablaufdatum neu gesetzt werden. Durch die Auditierungsmöglichkeit kann so protokoliert werden, welcher Mitarbeiter Zugriff hat.
Wer diese Möglichkeit nicht hat, kann mit der PowerShell eine CSV-Datei aller Passwörter exportieren. Dabei ist die einzige organisatorische Herausforderung, der Nachweis der durchführenden Person.

Integration in Remote-PowerShell Skripte

Integration in Remote-PowerShell Skripte
Da LAPS in der PowerShell nutzbar ist, bietet sich der Einsatz in einem Skript an. Es ist einfach möglich, das Passwort aus dem AD auszulesen und das Skript remote auszuführen. Wenn man es direkt vollständig umsetzen möchte, setzt man als letztes im Skript den Zeitstempel zurück und führt ein Gpupdate aus. Wer ganz genau sein möchte, kann mit Hilfe des Client-Logging auch das Setzen des neuen Kennwortes kontrollieren.
Weiterführende Informationen

• Mein Artikel zu dem Einrichten von LAPS auf Infrastrukturhelden.de: https://www.infrastrukturhelden.de/?p=6080

Continue Reading