Mit Microsoft LAPS Lateral Movement Bedrohungen vermeiden!
Liebe JDisc Freunde,
dieser Beitrag befasst sich ebenfalls mit dem Thema Sicherheit, zielt aber speziell auf die Verhinderung einer besonderen Bedrohung ab: Risiken durch Lateral Movement.
Lateral Movement beschreibt eine Reihe von Techniken, die Cyberkriminelle einsetzen, um in einem kompromittierten Netzwerk zu navigieren, Schwachstellen zu finden und ihre Zugriffsrechte zu erweitern. Der Begriff „Lateral Movement“ leitet sich von der seitlichen Bewegung der Angreifer durch Geräte, Anwendungen und andere Ressourcen ab. Trotz dieser seitlichen Bewegung besteht das Hauptziel darin, höhere Zugriffsebenen zu erreichen oder sensible Daten abzugreifen. Wenn Sie weitere Details wünschen, das CERT-EU hat einen umfassenden Artikel veröffentlicht, der sich der Erkennung von lateralen Bewegungen in Windows-Infrastrukturen widmet.
Sie sind vielleicht mit bemerkenswerten Beispielen von Lateral Movement-Vorfällen vertraut, darunter die „SolarWinds Orion Compromise (2019)“, der „WannaCry Ransomware-Angriff (2017)“ und der „NotPetya Malware-Angriff (2017)“. Diese Vorfälle betrafen Hunderttausende von Computern und verursachten finanzielle Schäden in Höhe von mehreren Milliarden Dollar.
Welche Maßnahmen können Sie also ergreifen, um das Risiko von Lateral Movement-Angriffen in Ihrer IT-Umgebung zu verringern?
Allgemeine Strategien zur Minderung des Risikos von Lateral Movement Attacken
Um das Risiko von Lateral Movement-Angriffen zu verringern, empfiehlt Microsoft eine Reihe von Gegenmaßnahmen, darunter:
Dieser Artikel konzentriert sich auf die „Einschränkung und den Schutz lokaler Konten mit Administratorrechten“ unter Verwendung von Microsoft LAPS. Ein älterer Artikel beschreibt auch die Integration von Microsoft LAPS mit JDisc Discovery.
Lokale Konten mit Administratorrechten einschränken und schützen
Microsoft LAPS befasst sich mit der zweiten Gegenmaßnahme, „Einschränkung und Schutz lokaler Konten mit Administratorrechten“. LAPS automatisiert die Verwaltung von Kennwörtern für lokale Konten. Dazu wird für jedes lokale Administratorkonto ein eindeutiges, zufälliges Kennwort generiert. Dieses Kennwort wird als vertrauliches Attribut innerhalb des entsprechenden Computerkontos in Active Directory gespeichert.
Konfigurieren von Microsoft LAPS für die Discovery
Für natives (verschlüsseltes) Microsoft LAPS sind zwei wichtige Konfigurationselemente zu beachten:
- Domänencontroller-Zugangsdaten für die Installation des JDisc Discovery Zero-Footprint Agent.
- Zugangsdaten zum Abrufen und Entschlüsseln des vertraulichen LAPS-Administratorkontos/Passwort-Attributs.
Domänencontroller-Zugangsberechtigungen
Navigieren Sie im Dialogfeld Discovery Configuration zur Registerkarte Scope > Directory und wählen Sie das Verzeichnisobjekt (Domain Controllers im Screenshot) aus, das Ihre Domain Controller enthält.
Klicken Sie auf die Schaltfläche „Change Account“ und geben Sie die Zugangsdaten für den Domänencontroller ein („JDISC-LAPS\DCADMIN“ im Screenshot). Der Discovery-Prozess verwendet diese Anmeldeinformationen, um den Zero-Footprint-Agenten bereitzustellen und Daten von den Domänencontrollern zu sammeln. Zusammenfassend lässt sich sagen, dass diese Anmeldeinformationen über lokale Administratorrechte auf den Domänencontrollern verfügen müssen.
Sie könnten einwenden, dass die Verwendung solcher hoch privilegierten Zugangsdaten auf Domänencontrollern für die Discovery nicht ideal ist. Das ist eine berechtigte Sorge, aber es ist die einzige Option, wenn man im reinen Zero-Footprint-Modus arbeitet.
Alternativ können Sie die Funktion zur Berechtigungserweiterung nutzen und den JDisc Discovery Zero-Footprint Agent auf allen Domänencontrollern mit Hilfe Ihrer Softwareverteilungswerkzeuge vorinstallieren und konfigurieren. Auf diese Weise können Sie einen Domänenbenutzer mit geringen Rechten so konfigurieren, dass er mit dem JDisc Discovery Zero-Footprint Agent auf den Domänencontrollern interagiert, so dass er alle Gerätedetails so effektiv erfassen kann, als ob er ein Konto auf Administratorebene verwenden würde.
Anmeldeinformationen zum Abrufen und Entschlüsseln von LAPS-Administratorkontopasswörtern
Nachdem der JDisc Discovery Zero-Footprint Agent erfolgreich auf den Domänencontrollern installiert wurde, ist der nächste Schritt die Aktivierung und Konfiguration der Verzeichnisobjekte, die für die Verwendung mit Microsoft LAPS vorgesehen sind.
Gehen Sie im Dialogfeld Discovery Configuration auf die Registerkarte Scope > LAPS und wählen Sie die Verzeichnisobjekte aus („Windows 10“ im Screenshot), die Sie für Microsoft LAPS aktivieren möchten.
Klicken Sie dann auf die Schaltfläche „Change LAPS Account“ und geben Sie die Anmeldedaten ein, die zum Abrufen und Entschlüsseln des vertraulichen LAPS-Administratorkontos/Passwortattributs für die Computer erforderlich sind.
Ähnlich wie bei den Zugangsdaten für den Domänencontroller wäre es besser, keine hoch privilegierten Zugangsdaten (möglicherweise mit administrativen Rechten) für das Abrufen und Entschlüsseln von LAPS-Administratorkontopasswörtern zu verwenden.
Wenn sich die Zugangsdaten für das LAPS-Konto („JDISC-LAPS\LAPSPWDREADER“ im Screenshot) von den Zugangsdaten für den Domänencontroller („JDISC-LAPS\DCADMIN“ im Screenshot) unterscheiden, sollten Sie diese auch für die Erhöhung der Berechtigungen innerhalb des JDisc Discovery Zero-Footprint Agent konfigurieren.
Schließlich sieht die Konfiguration des JDisc Discovery Zero-Footprint Agent für die Domänencontroller wie folgt aus, basierend auf den oben beschriebenen Einstellungen:
Sie nehmen jetzt bestimmt an, dass alles eingerichtet ist und die Discovery die lokalen Administratorkonten und Kennwörter mit Hilfe von Microsoft LAPS verwendet. Das funktioniert genau dann, wenn das Built-In Administratorkonto auch als der von LAPS verwaltete lokale Administrator festgelegt wurde. Falls das lokale LAPS-Administratorkonto jedoch „nur“ ein lokaler Benutzer, der Mitglied der Gruppe der lokalen Administratoren ist, wird die Discovery leider nur wenig Informationen herausfinden. In diesem Fall ist das lokale LAPS-Administratorkonto ein eingeschränktes Benutzerkonto (LUA – Limited User Account).
Auch hier kennen Sie vielleicht schon die Lösung für das Problem des begrenzten Benutzerkontos (LUA) auf Windows-Computern. Wie zuvor bei den Domänencontrollern können Sie den JDisc Discovery Zero-Footprint Agent auf Ihren Windows-Computern installieren und konfigurieren. Dabei erlauben Sie dem designierten lokalen LAPS-Administratorkonto eine Berechtigungserweiterung.
Ich hoffe, dass dieser Artikel wertvolle Einblicke bietet, um die IT-Sicherheit in Ihrem Unternehmen zu verbessern und gleichzeitig auch ein aktuelles Inventar Ihrer IT-Umgebung zu führen.
Euer Thomas