In diesem Blogpost werde ich kurz auf 2 oft übersehene Schwachstellen und Fehlkonfigurationen im Active Directory Tiering Modell eingehen. Konkret werde ich auf die Fehlbehandlung von Terminalserver und Helpdesk Usergruppe eingehen.
Die richtige Einordnung von Terminalservern
Ein häufiges Missverständnis in der Praxis betrifft die korrekte Zuordnung von Terminalservern innerhalb des Active Directory Tier-Modells. Terminalserver, einschließlich Citrix-Systeme, ermöglichen es Benutzern, sich mit einer virtuellen Desktop-Umgebung zu verbinden. Häufig werden diese Systeme fälschlicherweise dem Tier 1 zugeordnet, da es sich um Server handelt.
Warum Terminalserver zu Tier 2 gehören
Terminalserver sind aus Tiering-Sicht Clients, da sich dort reguläre Benutzer anmelden. Ein kompromittierter Benutzeraccount stellt eine erhebliche Gefahr dar, da Angreifer nach einer erfolgreichen Phishing-Attacke oder einer anderen Angriffsmethode auf das System gelangen können.
Sobald ein Angreifer Zugriff hat, muss er lediglich eine Privilege Escalation ausnutzen – neue Schwachstellen in diesem Bereich werden kontinuierlich entdeckt und veröffentlicht. Gelingt dies, kann der Angreifer als lokaler Administrator auf dem Terminalserver arbeiten und eingeloggte Accounts kompromittieren. Falls sich darunter ein Tier-1-Administrator befindet, ist die gesamte Sicherheitsstruktur gefährdet.
Fazit
➡ Terminalserver müssen als Clients betrachtet werden und gehören daher in Tier 2!
Diese Fehlkonfiguration begegnet mir regelmäßig bei Penetrationstests und hat in der Vergangenheit bereits mehrfach eine entscheidende Rolle beim Erreichen des Domain Admins gespielt. Das Tier-Modell ist eine effektive Schutzmaßnahme, jedoch nur dann, wenn es konsequent und mit Bedacht umgesetzt wird.
Absicherung von Helpdesk-Rechten
In vielen Unternehmen gibt es neben den Administratoren einen Helpdesk, der für verschiedene Aufgaben zuständig ist, darunter das Zurücksetzen von Passwörtern oder die Behebung von Client-Problemen. In der Regel haben Helpdesk-Mitarbeiter keine direkten Zugriffsrechte auf Server und sind daher dem Tier 2 zugeordnet.
Kritische Fehlkonfigurationen im Helpdesk-Bereich
Es gibt zwei grundlegende Konfigurationsfehler, die Unternehmen typischerweise berücksichtigen, um eine unkontrollierte Rechteausweitung zu verhindern:
- Darf der Helpdesk das Passwort eines Domain-Administrators zurücksetzen?
- Darf der Helpdesk administrative Aufgaben auf dem Client eines Domain-Administrators ausführen?
Falls diese Fragen nicht klar mit Nein beantwortet werden können, besteht die Gefahr, dass ein Angreifer über den Helpdesk Zugang zu höher privilegierten Konten erhält und das gesamte Sicherheitskonzept aushebelt.
Eine oft übersehene Gefahr
Ein weniger offensichtliches, aber ebenso kritisches Risiko besteht in der Möglichkeit, dass der Helpdesk Passwörter von Führungskräften zurücksetzen kann:
- Darf der Helpdesk das Passwort des CEOs oder CFOs zurücksetzen?
Obwohl dieser Punkt häufig unbeachtet bleibt, ist der Account eines CFOs für Angreifer oft wertvoller als der eines Domain-Administrators. Finanzielle Transaktionen, Geschäftskommunikation und vertrauliche Dokumente sind attraktive Ziele für Angriffe.
➡ Ein Angreifer benötigt keine Ransomware, wenn er direkten Zugriff auf das Bankkonto des Unternehmens hat.
Das Tier-Modell in der Praxis testen
Das Tier-Modell ist eine zentrale Sicherheitsmaßnahme, um Angriffe innerhalb eines Unternehmensnetzwerks zu erschweren. Doch nur wenn es regelmäßig überprüft und getestet wird, kann es seine volle Schutzwirkung entfalten.
Hast du dein Active Directory bereits getestet?
Bei weiteren Fragen zur Sicherheit von Windows wende dich gerne an VidraSec.
|
+43 720 971425 |
martin@vidrasec.com |
Termin auswählen |