1

Account-Hygiene

Mehr als Händewaschen!

Die Angreifer sind innerhalb der Mauern:

2

Schutz gegen Credential-Diebstahl und

Pass-the-Hash Attacken

6

• Pass-the-Hash

– entdeckt in 1997

– automatisiert und als „Waffe“ einsetzbar seit 2008

(„Hernan Ochoa“)

• Pass-the-Hash Toolkit injiziert NTLM-Hashes in eine

Anmeldesitzung

• 2010 Fortentwicklung des Tools

• Pass-the-Ticket

– entdeckt in 2010

– automatisiert und als „Waffe“ einsetzbar seit 2011

(„Hernan Ochoa“)

Pass-the-Hash / Pass-the-Ticket

Forschung & Prävention

1. PCkompromittiert

24-48 Stunden

Domain-Adminkompromittiert

Datenabfluss (Attacke unentdeckt)

11-14 Monate

Attacke entdeckt

AngriffskomplexitätAngreifernutzt jedeSchwachstelleaus

Zielinformationauf jedemGerät

/Service

Angriff unerkanntAktuelleDetection-Tools übersehendie

meistenAngriffe

Ziele: AD & IdentitätenActive Directory steuertZugriffauf

Unternehmens-/Betriebsressourcen

Angreiferzielenauf AD-Admins

Response and RecoverySpezialwissenund – technologieerforderlich

Erfolg= HohefinanzielleAufwände

Quelle: Fa. Microsoft 2015

1. Phishing Attacke (o.ä.)

2. Credential-Diebstahl

3. Kompromittieren weiterer PCs +

Credentials (Suche nach Domain-

Admin)

4. Erhalt Domain-Admin Credentials

5. Ausführen der Angriffsmission

(Datendiebstahl, Zerstörung des

Systems etc.)

24-48 Stunden

Quelle: Fa. Microsoft 2015

9

10

Lösungsansatz

Privilege EscalationMitigation Strategy

1. Privilege Escalation• Credential Theft

• Application Agents

• Service Accounts

2. Lateral Traversal• Credential Theft

• Application Agents

• Service Accounts

Tier 0

Tier 2

Tier 1

Quelle: Fa. Microsoft 2015

Logon Restrictions

Quelle: Fa. Microsoft 2015

13

1. Admin Workstations & Logon Restrictions

• Domain-, Server-, Application- und Workstation-

Admins

2. Zufällige lokale Admin-Passwörter

• Server + Workstation

3. RDP / Restricted Admin Mode

• Domain-, Server-, Application- und Workstation-

Admins

Präventivmaßnahmen:

14

Nds. Justiz Account Hygiene Phase 1

Tie

r 3

Clie

nt

Ad

min

istr

ati

on

Tie

r 1

Do

ma

in

Ad

min

istr

ati

on

Tie

r 2

Se

rve

r A

dm

inis

tra

tio

n

3 Stufiges Vorgehen – Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3

Administration Terminalserver

Privileged Administration Workstation (PAW)

DomänenadministrationVerschlüsselt über IPSec

Administration

Administration

Domänen-administrator

Administration

ZIB Windows ClientWindows Client

Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.B. Phone-Authentication Verschlüsselt über IPSec

Server und Fach-Administrator

Administration

Administration

ClientAdministrator

Administration

Legende:Dokumentstatus: EntwurfVersion: 0.2Letzte Änderung: 03.12.2015Erstellt durch: René Fürst TBZ

1

2

3

12

3

Dies sind getrennte Benutzerkonten. Ein Benutzerkonto darf nur noch

innerhalb einer Tier genutzt werden!

Administration

15

Nds. Justiz Account Hygiene Phase 2

Tie

r 3

Clie

nt

Ad

min

istr

ati

on

Tie

r 1

Do

ma

in

Ad

min

istr

ati

on

Tie

r 2

Se

rve

r A

dm

inis

tra

tio

n

3 Stufiges Vorgehen – Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3

Administration Terminalserver

Privileged Administration Workstation (PAW)

DomänenadministrationVerschlüsselt über IPSec

Sensible Daten

Administration

Administration

Domänen-administrator

Administration

ZIB Windows ClientWindows Client

Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.B. Phone-Authentication Verschlüsselt über IPSec

Server und Fach-Administrator

Administration

Administration

ClientAdministrator

Administration

Legende:Dokumentstatus: EntwurfVersion: 0.2Letzte Änderung: 03.12.2015Erstellt durch: René Fürst TBZ

1

2

3

12

3

Dies sind getrennte Benutzerkonten. Ein Benutzerkonto darf nur noch

innerhalb einer Tier genutzt werden!

Administration

LEAP nur noch lokale

Adminkonten mit kryptischen Kennwort je Client

Privileged Administration Workstation (PAW)

Server und Fach-Administrator

- Sensibel -

Administration

Administration

4

4

Administration

LAPS

16

Nds. Justiz Account Hygiene Phase 3

Tie

r 3

Clie

nt

Ad

min

istr

ati

on

Tie

r 1

Do

ma

in

Ad

min

istr

ati

on

Tie

r 2

Se

rve

r A

dm

inis

tra

tio

n

3 Stufiges Vorgehen – Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3

Administration Terminalserver

Privileged Administration Workstation (PAW)

DomänenadministrationVerschlüsselt über IPSec

Alle Serversystem

Administration

Domänen-administrator

Administration

ZIB Windows ClientWindows Client

Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.B. Phone-Authentication Verschlüsselt über IPSec

Administration

ClientAdministrator

Administration

Legende:Dokumentstatus: EntwurfVersion: 0.2Letzte Änderung: 03.12.2015Erstellt durch: René Fürst TBZ

1

3

12

3

Dies sind getrennte Benutzerkonten. Ein Benutzerkonto darf nur noch

innerhalb einer Tier genutzt werden!

Administration

LEAP nur noch lokale

Adminkonten mit kryptischen Kennwort je Client

4

Administration

Privileged Administration Workstation (PAW)

Server und Fach-Administrator

Administration

4

17

1. IST-Analyse „Schützenswerte Objekte“

2. Zuordnung der administrativen

Ressourcen zu einer Sicherheitsschicht

3. Zuordnung Schutzmaßnahmen zu

administrativen Ressourcen

18

3. Zuordnung Schutzmaßnahmen zu

administrativen Ressourcen

Anzahl Administratoren Ad

min

s a

no

nym

-X

Ad

min

s an

on

ym-X

X

Ad

min

s a

no

nym

-

XX

X

0 XX XX XX

Zugang zu Tier 0 x

Zugang zu Tier 1 (x)

Zugang zu Tier 2 x x

Kommentar/ Berechtigung

Domain Admins

Restricted Group, lokaler Admin

alle ClientsDHCP/DNS. (Bereits in Diskussion:

SQL+DB Server Admin)

Tier Violation keine!

Seit Win10: Zugang zu ZIB

Workstations DHCP/DNS

Maßnahme 1 Logon Restrictions vorbereitenLAPS einsetzen

Aktuell Ausnahme aktzeptieren

Maßnahme 2 Admin Workstation evaluierenRestricted RDP testen

Maßnahme 3Berechtigung auf PAWs lösen -

Client Build Team

19

Vorgehensweise:

1. IST-Analyse „Schützenswerte Objekte“

2. Zuordnung der administrativen

Ressourcen zu einer Sicherheitsschicht

3. Zuordnung Schutzmaßnahmen zu

administrativen Ressourcen

4. Maßnahmenumsetzung (LAPS, PAWs…)

5. Projektbegleitende Admin-Schulungen

6. PEN-Test

20

1. Zuordnung administrativer Ressourcen zu

Sicherheitsschichten („Tiers“)

2. Veränderung bestehender Admin-

Workflows

3. Tlw. geringfügige zeitliche Verlängerung

des Anmeldeprozesses für Admins

4. Trennung bestehender Admin-Konten für

mehrere Sicherheitsschichten

5. Anpassung LAPS an eigene Infrastruktur

6. Trennung Tier-übergreifender

Ressourcen (z.B. SCCM)

Hürden:

21

Tier-übergreifende Ressourcen + Tools

= Angriffsvektor/Schwachstelle!

• Schwachstelle = Risikoakzeptanz?

• SCCM für jedes Tier?

• …

Lösungsansatz?

Enhanced Security Admin Environment!

6. Trennung Tier-übergreifender Ressourcen

und Admin-Tools

Enhanced Security Admin Environment (ESAE)

Tier 2:

Users and

Workstations

Admin Environment

Production Domains

Tier 0:

Domain

Controllers

Tier 1:

Servers and

Applications

Management and

Monitoring

Gold Card

Admins

Break Glass

Account(s)Red Card

Admins

One-way trust with Selective Authentication

Internet Protocol

Security (IPsec)

Sichere Administration

Rollentrennung

Prinzip der geringstmöglichen

Zugriffsrechte

Gehärtete Administrations-

umgebung

Netzwerksegmentierung und

-sicherheit

Dedizierte Tier 0 Admin-

Workstation (PAW)

Authentifizierungs- und Logon-

Restriktionen

Multifactor-Authentifizierung

Quelle: Fa. Microsoft 2016

23

• ohne ESAE (Enhanced Security Admin Environment)

Personal: 50 PT extern + 100 PT intern

Haushaltsmittel: 125.000 EUR

• mit ESAE (Enhanced Security Admin Environment)

Personal: 300 PT extern + 200 PT intern

Haushaltsmittel: 750.000 bis 1.000.000 EUR

Die Zahlen beruhen auf Erfahrungen, Angeboten und Schätzungen!

Projekt-Aufwände:

24

1. Entwicklung Schichtenmodell

2. Zuordnung administrativer Ressourcen zu

Sicherheitsschichten (Tier 0 / 1 / 2)

3. Account Hygiene – Einschränkung

Admin-Konten

4. Maßnahmenumsetzung (LAPS, PAW,

ESAE etc.)

5. Projektbegleitende Admin-Schulungen

6. PEN-Test

FAZIT:

25

Vielen Dank für Ihre Aufmerksamkeit!