Archiv der Kategorie: Sysadmin Tutorials

Sysop Usability and Integrations, Technical Workarounds and Tutorials for Sysadmins.

Konten mit Active Directory Protected Users schützen

Sensitive AD-Konten mit Privilegien durch hinzufügen zur Gruppe Protected Users schützen

Ab Windows Server 2012 R2 wurde die Sicherheitsgruppe Geschützte Benutzer („Protected Users“) eingeführt. Mit der Mitgliedschaft dieser Gruppe werden Legacy-Funktionen automatisch blockiert, Legacy-Technologien wie die NTLM Authentifizierung können ausgenutzt werden und erleichtert Angreifer den Diebstahl von Identitäten.

Die Gruppe „Geschützte Benutzer“ wurde mit Windows Server 2012 R2 und Windows 8.1 von Microsoft eingeführt um Konten zu härten. Die Gruppe („Protected Users“) ist standardmäßig im Container Users vorhanden, Konten die Mitglieder dieser Gruppe sind werden geschützt, insbesondere vor Pass-the-Hash und Pass-the-Ticket Angriffen durch Deaktivieren von NT LAN Manager (NTLM), eine Legacy-Technologie und Authentifizierungsprotokoll, das aus Gründen der Abwärtskompatibilität noch vorhanden ist.

Mitgliedern dieser Gruppe wird zusätzlicher Schutz vor Sicherheitsbedrohungen bei der Authentifizierung geboten. Die zusätzlichen Schutzmaßnahmen werden nur bereitgestellt, wenn sich Benutzer bei Windows Server 2012 R2 mit Windows 8.1 und neuer anmelden, und für die vollständige Schutzmaßnahmen die Domänenfunktionsebene auf Windows Server 2012 R2 (oder höher) festgelegt wurde.

Geschützte Benutzer sind in erster Linie für die Verwendung von Domänen- und Unternehmensadministratorkonten gedacht, die besonders anfällig für Angriffe sind, da sie bei einer Kompromittierung einen weit geöffneten Zugriff auf Systeme ermöglichen. Das heißt nicht, dass andere Benutzerkonten, die als Ziel angesehen werden könnten, nicht zu geschützten Benutzern hinzugefügt werden können. Aufgrund der strengen Beschränkungen, die Mitgliedern von geschützten Benutzern auferlegt werden, ist es jedoch wichtig, vorher gründliche Tests durchzuführen.

NTLM verwendet für die Authentifizierung eines Benutzers einen Hashwert. Dabei handelt es sich um einen komplexen Code, der jedoch am Ende nichts anderes als ein Passwort ist. Wenn nun ein Angreifer in das Netzwerk eindringt, kann er den Hashwert abfangen und sich damit selbst authentifizieren.

  Es ist ratsam, sicherzustellen dass wenn hochprivilegierte Konten wie Domänen- und Unternehmensadministratoren hinzugefügt werden, mindestens ein Konto, das nicht für reguläre Verwaltungsaufgaben verwendet wird, außerhalb der Gruppe bleibt.

Die folgenden Schutzmaßnahmen werden für Mitglieder der Gruppe („Protected Users“) aktiviert, wenn sie sich von einem unterstützten Gerät aus anmelden, und die Domänenfunktionsebene auf Windows Server 2012 R2 oder höher sichergestellt ist:

  • Zwischengespeicherte Anmeldeinformationen werden blockiert. Zur Authentifizierung muss ein Domänencontroller verfügbar sein.
  • Langzeit-Kerberos-Schlüssel beim Anmelden werden nicht unterstützt.
  • Klartextkennwörter werden für die Windows-Digest-Authentifizierung oder die standardmäßige Delegierung von Anmeldeinformationen (CredSSP) nicht zwischengespeichert, selbst wenn die entsprechenden Richtlinien aktiviert sind.
  • Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
  • Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
  • NTLM und NTLM-Einwegfunktion (NTOWF) ist gesperrt.
  • Kerberos-Ticket-Granting-Tickets (TGT) können nicht länger als 4 Stunden Time-to-Live (TTL) verlängert werden.
  • Data Encryption Standard (DES) und RC4 können für die Kerberos-Vorauthentifizierung nicht verwendet werden.
  • Die constrained und unconstrained Kerberos-Delegation wird nicht unterstützt (kann zu Einschränkungen bei Administration führen).
  • Eingeschränkte und uneingeschränkte Delegierung ist blockiert.

Grundsätzlich können einige dieser Einschränkungen auch per Gruppen­richtlinien konfiguriert werden. Durch die Mitgliedschaft in der Gruppe der geschützten Benutzer werden diese aber automatisch wirksam und es besteht keine Gefahr, sie durch eine Fehlkonfiguration wieder aufzuheben.

Penetration Testing mit Mimikatz

Überprüfung auf Wirksamkeit der Einschränkungen durch die Sicherheitsgruppe, ermöglicht das Penetration-Hacking-Tool Mimikatz. Wenn das Konto nicht Mitglied der Gruppe („Protected Users“) ist, zeigt es unter anderem den NTLM-Hash an.

Mimikatz ist ein sehr leistungsstarkes Tool um Angriffe auf das Active Directory auszuführen. Es ermöglicht auf Klartextpasswörter, Passwort-Hashes sowie Kerberos Tickets zugreifen zu können, und um die Rechte in fremden Systemen auszuweiten und so die Kontrolle über ganze Firmennetzwerke zu übernehmen.

Das Tool kann im interaktiven Modus ausgeführt werden, indem man einfach mimikatz.exe aufruft, oder in der PowerShell mit Übergabe von Parameter und der Option exit um die Abfrage zu beenden.

.\mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit

Hier zu erkennen ist der NTLM-Hash in der Ausgabe, dies wenn das Konto nicht Mitglied von Protected Users ist.

Authentication Id : 0 ; 643260 (00000000:0009cc96)
 Session           : RemoteInteractive from 2
 User Name         : adadmin
 Domain            : COMPANY
 Logon Server      : ADDC01
 Logon Time        : 12/24/2019 11:43:56 AM
 SID               : S-1-5-21-1581655573-3923512380-696547694-500
 msv :
 [00000003] Primary
 * Username : ADAdmin
 * Domain   : COMPANY
 * NTLM     : 5164b9a0fda665d56739954bbcc26833
 * SHA1     : f8db297cb5ae403f8915675ceae78643d0d3b09f
 [00010000] CredentialKeys
 * NTLM     : 5164b9a0fda665d56739954bbcc26833
 * SHA1     : f8db297cb5ae403f8915675ceae78643d0d3b09f

 tspkg :
 wdigest :
 * Username : ADAdmin
 * Domain   : COMPANY
 * Password : (null)
 kerberos :
 * Username : adadmin
 * Domain   : AD.COMPANY.LOCAL
 * Password : (null)
 ssp :   KO

Nach Aufnahme der Mitgliedschaft zur Gruppe Geschützte Benutzer („Protected Users“) erscheint der NTLM-Hash nicht mehr.

  Die Mimikatz Binary kann man von Github: gentilkiwi/mimikatz herunterladen, beim Download wird der Browser eine Sicherheitswarnung ausgeben, wie etwa „Diese Datei enthält einen Virus oder Malware„, mit Klick auf Download erlauben kann der Download vorgesetzt werden.

netool.io – Network Engineering Tool

Simple network discovery

netool.io ist ein kleines Network Engineering Tool im Hosentaschenformat, dieses mit einem Smartphone genutzt wird, die benötigten Informationen erhält man schnell und einfach auf dem Android oder iOS Telefon, Tablet und Laptop.

Schnell lassen sich Switch-Port, Server und Router in den Racks identifizieren und überprüften. Am Patchpanel stehend, wird dazu kein Laptop benötigt, mit dem Smartphone oder Tablet geht es einfach und ohne grossen Aufwand.

Bei Situationen in diesen ermittelt werden muss, wie die VLAN ID und die Priorität ist, liegt Spanning Tree oder Link Aggregation als LACP an einem Port vor, kann dies mittels netool.io einfach und unkompliziert abgefragt werden.

Wenn viele Ports konfigurieren werden müssen, kann netool.io die Ports über LLDP oder CDP erkennen, an diesen es verbunden ist, um sie später automatisch zu konfigurieren. Unterstützte Hersteller: Cisco IOS, Dell Power connect, Ubiquiti EdgeOS, Cisco IOS, Netgear ProSafe, Cisco Small Business Series, HP/Aruba, Juniper OS (in development), Brocade/Ruckus.

netool.io Stellt eine drahtlose Verbindung zu iOS oder Android Geräte her und erkennt:

Tagged VLAN
Netool detects 802.1q packets and notifies you with an icon and notification window.
CDP, LLDP or EDP
Get and display information from discovered packets including switch port, native VLAN, switch hostname and IP.
DHCP Testing
See what IP, gateway, DNS server and subnet Netool is receiving.
LACP
Detects LACP traffic and notifies you that they are present.
Spanning Tree
Detects and notifies of 802.1d packets and shows details of bridge device.
802.1x and EAP
Detect and authenticate with 802.1X.
DETECTED ETHERNET PROTOCOLS

Eigenschaften

Netool.os
Auf netool.io wird eine stark angepasste Linux-Version ausgeführt, die Netool.OS genannt wird. Netool.OS ist so entwickelt, dass es leistungsstark, energiesparend und drahtlos auführbar ist.

ENTDECKTE INFORMATIONEN TEILEN
Teilen von entdeckten Informationen über eine beliebige textbasierte App, einschließlich SMS, E-Mail, Evernote, Threema und mehr.

APP
Erhalte wichtige Informationen schnell und einfach mit der netool.io-App auf iOS oder Android Geräte. Auch für MacOS und Windows verfügbar.

VERBINDUNGSTESTS
ICMP-Tests zum Internet, zum lokalen Gateway und zu einer benutzerdefinierten IP.

NETWORK MAPPING
Speichere erkannte Informationen in der lokalen Datenbank von netool.io oder lade sie automatisch in die Cloud hoch.

REMOTE VIEWING UND PRÜFUNG
Verbinde eine Reihe von Geräten über WLAN, Ethernet-Port oder die Cloud mit einem oder mehreren netool.io.

AP WIFI MODE
AP-Modus für den Fall, dass kein WLAN verfügbar ist.

PROTOKOLLERKENNUNG
Netool erkennt Pakete der Ethernet-Protokolle, analysiert sie und zeigt sie über die App an.