Die Angreifer sind innerhalb der Mauern:
2
Schutz gegen Credential-Diebstahl und
Pass-the-Hash Attacken
6
• Pass-the-Hash
– entdeckt in 1997
– automatisiert und als „Waffe“ einsetzbar seit 2008
(„Hernan Ochoa“)
• Pass-the-Hash Toolkit injiziert NTLM-Hashes in eine
Anmeldesitzung
• 2010 Fortentwicklung des Tools
• Pass-the-Ticket
– entdeckt in 2010
– automatisiert und als „Waffe“ einsetzbar seit 2011
(„Hernan Ochoa“)
Pass-the-Hash / Pass-the-Ticket
Forschung & Prävention
1. PCkompromittiert
24-48 Stunden
Domain-Adminkompromittiert
Datenabfluss (Attacke unentdeckt)
11-14 Monate
Attacke entdeckt
AngriffskomplexitätAngreifernutzt jedeSchwachstelleaus
Zielinformationauf jedemGerät
/Service
Angriff unerkanntAktuelleDetection-Tools übersehendie
meistenAngriffe
Ziele: AD & IdentitätenActive Directory steuertZugriffauf
Unternehmens-/Betriebsressourcen
Angreiferzielenauf AD-Admins
Response and RecoverySpezialwissenund – technologieerforderlich
Erfolg= HohefinanzielleAufwände
Quelle: Fa. Microsoft 2015
1. Phishing Attacke (o.ä.)
2. Credential-Diebstahl
3. Kompromittieren weiterer PCs +
Credentials (Suche nach Domain-
Admin)
4. Erhalt Domain-Admin Credentials
5. Ausführen der Angriffsmission
(Datendiebstahl, Zerstörung des
Systems etc.)
24-48 Stunden
Quelle: Fa. Microsoft 2015
Privilege EscalationMitigation Strategy
1. Privilege Escalation• Credential Theft
• Application Agents
• Service Accounts
2. Lateral Traversal• Credential Theft
• Application Agents
• Service Accounts
Tier 0
Tier 2
Tier 1
Quelle: Fa. Microsoft 2015
13
1. Admin Workstations & Logon Restrictions
• Domain-, Server-, Application- und Workstation-
Admins
2. Zufällige lokale Admin-Passwörter
• Server + Workstation
3. RDP / Restricted Admin Mode
• Domain-, Server-, Application- und Workstation-
Admins
Präventivmaßnahmen:
14
Nds. Justiz Account Hygiene Phase 1
Tie
r 3
Clie
nt
Ad
min
istr
ati
on
Tie
r 1
Do
ma
in
Ad
min
istr
ati
on
Tie
r 2
Se
rve
r A
dm
inis
tra
tio
n
3 Stufiges Vorgehen – Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3
Administration Terminalserver
Privileged Administration Workstation (PAW)
DomänenadministrationVerschlüsselt über IPSec
Administration
Administration
Domänen-administrator
Administration
ZIB Windows ClientWindows Client
Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.B. Phone-Authentication Verschlüsselt über IPSec
Server und Fach-Administrator
Administration
Administration
ClientAdministrator
Administration
Legende:Dokumentstatus: EntwurfVersion: 0.2Letzte Änderung: 03.12.2015Erstellt durch: René Fürst TBZ
1
2
3
12
3
Dies sind getrennte Benutzerkonten. Ein Benutzerkonto darf nur noch
innerhalb einer Tier genutzt werden!
Administration
15
Nds. Justiz Account Hygiene Phase 2
Tie
r 3
Clie
nt
Ad
min
istr
ati
on
Tie
r 1
Do
ma
in
Ad
min
istr
ati
on
Tie
r 2
Se
rve
r A
dm
inis
tra
tio
n
3 Stufiges Vorgehen – Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3
Administration Terminalserver
Privileged Administration Workstation (PAW)
DomänenadministrationVerschlüsselt über IPSec
Sensible Daten
Administration
Administration
Domänen-administrator
Administration
ZIB Windows ClientWindows Client
Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.B. Phone-Authentication Verschlüsselt über IPSec
Server und Fach-Administrator
Administration
Administration
ClientAdministrator
Administration
Legende:Dokumentstatus: EntwurfVersion: 0.2Letzte Änderung: 03.12.2015Erstellt durch: René Fürst TBZ
1
2
3
12
3
Dies sind getrennte Benutzerkonten. Ein Benutzerkonto darf nur noch
innerhalb einer Tier genutzt werden!
Administration
LEAP nur noch lokale
Adminkonten mit kryptischen Kennwort je Client
Privileged Administration Workstation (PAW)
Server und Fach-Administrator
- Sensibel -
Administration
Administration
4
4
Administration
LAPS
16
Nds. Justiz Account Hygiene Phase 3
Tie
r 3
Clie
nt
Ad
min
istr
ati
on
Tie
r 1
Do
ma
in
Ad
min
istr
ati
on
Tie
r 2
Se
rve
r A
dm
inis
tra
tio
n
3 Stufiges Vorgehen – Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3
Administration Terminalserver
Privileged Administration Workstation (PAW)
DomänenadministrationVerschlüsselt über IPSec
Alle Serversystem
Administration
Domänen-administrator
Administration
ZIB Windows ClientWindows Client
Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.B. Phone-Authentication Verschlüsselt über IPSec
Administration
ClientAdministrator
Administration
Legende:Dokumentstatus: EntwurfVersion: 0.2Letzte Änderung: 03.12.2015Erstellt durch: René Fürst TBZ
1
3
12
3
Dies sind getrennte Benutzerkonten. Ein Benutzerkonto darf nur noch
innerhalb einer Tier genutzt werden!
Administration
LEAP nur noch lokale
Adminkonten mit kryptischen Kennwort je Client
4
Administration
Privileged Administration Workstation (PAW)
Server und Fach-Administrator
Administration
4
17
1. IST-Analyse „Schützenswerte Objekte“
2. Zuordnung der administrativen
Ressourcen zu einer Sicherheitsschicht
3. Zuordnung Schutzmaßnahmen zu
administrativen Ressourcen
18
3. Zuordnung Schutzmaßnahmen zu
administrativen Ressourcen
Anzahl Administratoren Ad
min
s a
no
nym
-X
Ad
min
s an
on
ym-X
X
Ad
min
s a
no
nym
-
XX
X
0 XX XX XX
Zugang zu Tier 0 x
Zugang zu Tier 1 (x)
Zugang zu Tier 2 x x
Kommentar/ Berechtigung
Domain Admins
Restricted Group, lokaler Admin
alle ClientsDHCP/DNS. (Bereits in Diskussion:
SQL+DB Server Admin)
Tier Violation keine!
Seit Win10: Zugang zu ZIB
Workstations DHCP/DNS
Maßnahme 1 Logon Restrictions vorbereitenLAPS einsetzen
Aktuell Ausnahme aktzeptieren
Maßnahme 2 Admin Workstation evaluierenRestricted RDP testen
Maßnahme 3Berechtigung auf PAWs lösen -
Client Build Team
19
Vorgehensweise:
1. IST-Analyse „Schützenswerte Objekte“
2. Zuordnung der administrativen
Ressourcen zu einer Sicherheitsschicht
3. Zuordnung Schutzmaßnahmen zu
administrativen Ressourcen
4. Maßnahmenumsetzung (LAPS, PAWs…)
5. Projektbegleitende Admin-Schulungen
6. PEN-Test
20
1. Zuordnung administrativer Ressourcen zu
Sicherheitsschichten („Tiers“)
2. Veränderung bestehender Admin-
Workflows
3. Tlw. geringfügige zeitliche Verlängerung
des Anmeldeprozesses für Admins
4. Trennung bestehender Admin-Konten für
mehrere Sicherheitsschichten
5. Anpassung LAPS an eigene Infrastruktur
6. Trennung Tier-übergreifender
Ressourcen (z.B. SCCM)
Hürden:
21
Tier-übergreifende Ressourcen + Tools
= Angriffsvektor/Schwachstelle!
• Schwachstelle = Risikoakzeptanz?
• SCCM für jedes Tier?
• …
Lösungsansatz?
Enhanced Security Admin Environment!
6. Trennung Tier-übergreifender Ressourcen
und Admin-Tools
Enhanced Security Admin Environment (ESAE)
Tier 2:
Users and
Workstations
Admin Environment
Production Domains
Tier 0:
Domain
Controllers
Tier 1:
Servers and
Applications
Management and
Monitoring
Gold Card
Admins
Break Glass
Account(s)Red Card
Admins
One-way trust with Selective Authentication
Internet Protocol
Security (IPsec)
Sichere Administration
Rollentrennung
Prinzip der geringstmöglichen
Zugriffsrechte
Gehärtete Administrations-
umgebung
Netzwerksegmentierung und
-sicherheit
Dedizierte Tier 0 Admin-
Workstation (PAW)
Authentifizierungs- und Logon-
Restriktionen
Multifactor-Authentifizierung
Quelle: Fa. Microsoft 2016
23
• ohne ESAE (Enhanced Security Admin Environment)
Personal: 50 PT extern + 100 PT intern
Haushaltsmittel: 125.000 EUR
• mit ESAE (Enhanced Security Admin Environment)
Personal: 300 PT extern + 200 PT intern
Haushaltsmittel: 750.000 bis 1.000.000 EUR
Die Zahlen beruhen auf Erfahrungen, Angeboten und Schätzungen!
Projekt-Aufwände:
24
1. Entwicklung Schichtenmodell
2. Zuordnung administrativer Ressourcen zu
Sicherheitsschichten (Tier 0 / 1 / 2)
3. Account Hygiene – Einschränkung
Admin-Konten
4. Maßnahmenumsetzung (LAPS, PAW,
ESAE etc.)
5. Projektbegleitende Admin-Schulungen
6. PEN-Test
FAZIT: