Schlagwort-Archive: Microsoft Windows

Windows-Betriebssysteme sind vor allem auf Personal Computern und Servern verbreitet; daneben existieren Varianten für Geräte wie Smartphones oder PDAs .

Konten mit Active Directory Protected Users schützen

Sensitive AD-Konten mit Privilegien durch hinzufügen zur Gruppe Protected Users schützen

Ab Windows Server 2012 R2 wurde die Sicherheitsgruppe Geschützte Benutzer („Protected Users“) eingeführt. Mit der Mitgliedschaft dieser Gruppe werden Legacy-Funktionen automatisch blockiert, Legacy-Technologien wie die NTLM Authentifizierung können ausgenutzt werden und erleichtert Angreifer den Diebstahl von Identitäten.

Die Gruppe „Geschützte Benutzer“ wurde mit Windows Server 2012 R2 und Windows 8.1 von Microsoft eingeführt um Konten zu härten. Die Gruppe („Protected Users“) ist standardmäßig im Container Users vorhanden, Konten die Mitglieder dieser Gruppe sind werden geschützt, insbesondere vor Pass-the-Hash und Pass-the-Ticket Angriffen durch Deaktivieren von NT LAN Manager (NTLM), eine Legacy-Technologie und Authentifizierungsprotokoll, das aus Gründen der Abwärtskompatibilität noch vorhanden ist.

Mitgliedern dieser Gruppe wird zusätzlicher Schutz vor Sicherheitsbedrohungen bei der Authentifizierung geboten. Die zusätzlichen Schutzmaßnahmen werden nur bereitgestellt, wenn sich Benutzer bei Windows Server 2012 R2 mit Windows 8.1 und neuer anmelden, und für die vollständige Schutzmaßnahmen die Domänenfunktionsebene auf Windows Server 2012 R2 (oder höher) festgelegt wurde.

Geschützte Benutzer sind in erster Linie für die Verwendung von Domänen- und Unternehmensadministratorkonten gedacht, die besonders anfällig für Angriffe sind, da sie bei einer Kompromittierung einen weit geöffneten Zugriff auf Systeme ermöglichen. Das heißt nicht, dass andere Benutzerkonten, die als Ziel angesehen werden könnten, nicht zu geschützten Benutzern hinzugefügt werden können. Aufgrund der strengen Beschränkungen, die Mitgliedern von geschützten Benutzern auferlegt werden, ist es jedoch wichtig, vorher gründliche Tests durchzuführen.

NTLM verwendet für die Authentifizierung eines Benutzers einen Hashwert. Dabei handelt es sich um einen komplexen Code, der jedoch am Ende nichts anderes als ein Passwort ist. Wenn nun ein Angreifer in das Netzwerk eindringt, kann er den Hashwert abfangen und sich damit selbst authentifizieren.

  Es ist ratsam, sicherzustellen dass wenn hochprivilegierte Konten wie Domänen- und Unternehmensadministratoren hinzugefügt werden, mindestens ein Konto, das nicht für reguläre Verwaltungsaufgaben verwendet wird, außerhalb der Gruppe bleibt.

Die folgenden Schutzmaßnahmen werden für Mitglieder der Gruppe („Protected Users“) aktiviert, wenn sie sich von einem unterstützten Gerät aus anmelden, und die Domänenfunktionsebene auf Windows Server 2012 R2 oder höher sichergestellt ist:

  • Zwischengespeicherte Anmeldeinformationen werden blockiert. Zur Authentifizierung muss ein Domänencontroller verfügbar sein.
  • Langzeit-Kerberos-Schlüssel beim Anmelden werden nicht unterstützt.
  • Klartextkennwörter werden für die Windows-Digest-Authentifizierung oder die standardmäßige Delegierung von Anmeldeinformationen (CredSSP) nicht zwischengespeichert, selbst wenn die entsprechenden Richtlinien aktiviert sind.
  • Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
  • Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
  • NTLM und NTLM-Einwegfunktion (NTOWF) ist gesperrt.
  • Kerberos-Ticket-Granting-Tickets (TGT) können nicht länger als 4 Stunden Time-to-Live (TTL) verlängert werden.
  • Data Encryption Standard (DES) und RC4 können für die Kerberos-Vorauthentifizierung nicht verwendet werden.
  • Die constrained und unconstrained Kerberos-Delegation wird nicht unterstützt (kann zu Einschränkungen bei Administration führen).
  • Eingeschränkte und uneingeschränkte Delegierung ist blockiert.

Grundsätzlich können einige dieser Einschränkungen auch per Gruppen­richtlinien konfiguriert werden. Durch die Mitgliedschaft in der Gruppe der geschützten Benutzer werden diese aber automatisch wirksam und es besteht keine Gefahr, sie durch eine Fehlkonfiguration wieder aufzuheben.

Penetration Testing mit Mimikatz

Überprüfung auf Wirksamkeit der Einschränkungen durch die Sicherheitsgruppe, ermöglicht das Penetration-Hacking-Tool Mimikatz. Wenn das Konto nicht Mitglied der Gruppe („Protected Users“) ist, zeigt es unter anderem den NTLM-Hash an.

Mimikatz ist ein sehr leistungsstarkes Tool um Angriffe auf das Active Directory auszuführen. Es ermöglicht auf Klartextpasswörter, Passwort-Hashes sowie Kerberos Tickets zugreifen zu können, und um die Rechte in fremden Systemen auszuweiten und so die Kontrolle über ganze Firmennetzwerke zu übernehmen.

Das Tool kann im interaktiven Modus ausgeführt werden, indem man einfach mimikatz.exe aufruft, oder in der PowerShell mit Übergabe von Parameter und der Option exit um die Abfrage zu beenden.

.\mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit

Hier zu erkennen ist der NTLM-Hash in der Ausgabe, dies wenn das Konto nicht Mitglied von Protected Users ist.

Authentication Id : 0 ; 643260 (00000000:0009cc96)
 Session           : RemoteInteractive from 2
 User Name         : adadmin
 Domain            : COMPANY
 Logon Server      : ADDC01
 Logon Time        : 12/24/2019 11:43:56 AM
 SID               : S-1-5-21-1581655573-3923512380-696547694-500
 msv :
 [00000003] Primary
 * Username : ADAdmin
 * Domain   : COMPANY
 * NTLM     : 5164b9a0fda665d56739954bbcc26833
 * SHA1     : f8db297cb5ae403f8915675ceae78643d0d3b09f
 [00010000] CredentialKeys
 * NTLM     : 5164b9a0fda665d56739954bbcc26833
 * SHA1     : f8db297cb5ae403f8915675ceae78643d0d3b09f

 tspkg :
 wdigest :
 * Username : ADAdmin
 * Domain   : COMPANY
 * Password : (null)
 kerberos :
 * Username : adadmin
 * Domain   : AD.COMPANY.LOCAL
 * Password : (null)
 ssp :   KO

Nach Aufnahme der Mitgliedschaft zur Gruppe Geschützte Benutzer („Protected Users“) erscheint der NTLM-Hash nicht mehr.

  Die Mimikatz Binary kann man von Github: gentilkiwi/mimikatz herunterladen, beim Download wird der Browser eine Sicherheitswarnung ausgeben, wie etwa „Diese Datei enthält einen Virus oder Malware„, mit Klick auf Download erlauben kann der Download vorgesetzt werden.

Externe Festplatte kann nicht geöffnet werden

Eine externe Festplatte reparieren mit Datenrettung

Möchte man auf eine externe Festplatte zugreifen, es dabei aber zu Zugriffsfehler kommt, oder sie wird nicht mehr eingebunden und es dauert bis es letztlich zum Abbruch mit Fehler kommt. Hier werden Lösungen für die häufigsten Festplattenprobleme gezeigt.

Externe Festplatte wird nicht gefunden

Externe Festplatten sind USB-Laufwerke, die wie ein USB-Stick verwendet werden. Bei jedem Einstecken erstellt Windows eine Verbindung über ein Laufwerksbuchstabe dieser zugewiesen wird. Am Computer wird immer derselbe Laufwerksbuchstabe zugewiesen, die Verbindungsdaten werden in der Registrierung gespeichert und der Laufwerksbuchstabe bleibt derselbe.

Wenn die externe Festplatte scheinbar nicht gefunden wird, lässt sich der Status der Laufwerke in der Computerverwaltung überprüfen. Die Festplatte wird zwar in der Datenträgerverwaltung (diskmgmt.msc) angezeigt, ist aber im Explorer nicht mehr korrekt eingebunden.

Hier erscheint die externe Festplatte als Datenträger 1 diese jedoch als RAW Dateisystem erkannt wird, damit kann Windows nichts anfangen und auf das Laufwerk D kann kein Zugriff stattfinden. Wird der versucht aus Explorer ein Zugriff auf das Laufwerk unternommen, kommt es zum Abbruch, in der Eingabeaufforderung erscheint bei Zugriff auf das Laufwerk ein CRC Error. In diesem Fall kann man gleich zum Abschnitt TestDisk File recovery weiter unten gehen, um die Partition wiederherzustellen.

Festplatte auf Dateisystemfehler überprüfen und reparieren

Wenn eine Festplatte beim Zugriff Probleme macht und es immer wieder zu Schreib- oder Lesefehlern kommt, kann man diese externe Festplatte nicht wirklich reparieren. Man kann aber versuchen, dass es nicht zu weiterem Datenverlust kommt. Alle Betriebssysteme beinhalten eine Festplattenprüfung, die beschädigte Sektoren erkennt. In dem Fall lassen sich die beschädigten Sektoren markieren so dass sie in Zukunft nicht mehr genutzt werden.

Beschädigte Sektoren weisen allerdings auf größere Probleme auch für die Zukunft hin, gefundene beschädigte Sektoren weisen mit hoher Wahrscheinlichkeit auf weitere Probleme hin. Daher ist es jetzt Zeit die Daten zu sichern. Auf lange Sicht muss die Festplatte ersetzt werden. Die Daten auf der alten Festplatte sollte man löschen, oder dann zerstören. Damit nicht doch noch jemand in den besitzt der Daten kommt.

Datenträger Fehlerüberprüfung CHKDSK

Es gibt zwei Möglichkeiten, wie man mit den Bordmittel von Windows eine Festplatte während einer Fehlerüberprüfung reparieren kann. Es wird hierzu eine Eingabeaufforderung geöffnet, und den Befehl chkdsk mit Parameter ausgeführt. Dieser Befehl prüft alle Partitionen auf der Festplatte, stellt gefundene Fehler fest und markiert sie im Index der Partition als beschädigt, zusätzlich wird versucht, lesbare Daten wiederherzustellen und sie an anderer Stelle abzulegen.

So wird’s gemacht:

Drücke die Tastenkombination Win+R, das Fenster Ausführen öffnet sich.

In das Feld öffnen den Befehl cmd eingeben und OK klicken.

Im nun geöffneten Fenster Eingabeaufforderung folgender Befehl eingeben und ausführen:

chkdsk F: /F /R

Die nun folgende Fehlerüberprüfung dauert etwas, es ist abhängig von der Festplattengröße. Der Parameter /F behebt Fehler auf dem Datenträger, /R sucht beschädigte Sektoren und stellt lesbare Informationen wieder her.

Nach dem das Dienstprogramm chkdsk beendet ist, sollte die Festplatte zunächst wieder genutzt werden können.

Windows Festplatten Fehlerüberprüfung

Die zweite Möglichkeit einer Festplattenreparatur kann direkt in Windows stattfinden. Sie besteht aus mehreren Schritten. Wenn man bereits weiss, dass die Platte Dateisystemfehler hat, wende gleich das oben beschriebene Verfahren an.

So überprüft und repariert man eine externe Festplatte in Windows:

  1. Öffne den Explorer mit der Maus oder der Tastenkombination Win+E
  2. Klicke mit der rechten Maustaste auf das Laufwerk und wähle aus dem Kontextmenü Eigenschaften
  3. Es öffnet sich das Fenster Eigenschaften, gehe hier zum Registerabschnitt Tools
  4. Klicke auf die Schaltfläche Prüfen
  5. Im nächsten Fenster wählt man die Option Laufwerk scannen und reparieren

Jetzt findet eine schnelle Fehlerüberprüfung statt. Die ist bei weitem nicht so gründlich wie die oben beschriebene Methode. Werden dabei allerdings Fehler gefunden, dann öffnen sich weitere Dialoge, in denen es verschiedene Reparaturmöglichkeiten gibt. Klicke hier die nötigen Haken und starte eine Intensivprüfung mit integrierter Festplattenreparatur.

TestDisk File recovery

TestDisk ist eine leistungsstarke kostenlose Software für Datenwiederherstellung. Wenn man mit den Windows-Bordmittel am Ende angelangt ist, kann TestDisk hier weiterhelfen, das Tool ist in erster Linie entwickelt, um verlorene Partitionen wiederherzustellen und/oder nicht bootende Festplatten wieder bootfähig zu machen, wenn Symptome auftreten die durch fehlerhafte Software verursacht werden, oder durch Viren oder menschliche Fehler, wie das versehentliche Löschen einer Partitionstabelle erfolgte. TestDisk ermöglicht eine einfache Wiederherstellung von Partitionstabellen.

TestDisk ist OpenSource-Software und wird unter den Bedingungen der GNU General Public License (GPL v2+) lizenziert. Das Tool kann hier heruntergeladen werden.

Datenwiederherstellung mit TestDisk

Helfen die Bordmittel von Windows nicht mehr weiter, kann TestDisk Data Recovery Utility die letzte Möglichkeit sein, seine Dokumente, Bilder und Videos oder andere Dateien zu retten. Nicht wie etwa der Name des Tools vermuten lässt, handelt es sich nicht um eine Test Version, oder um Datenträger zu Testen. TestDisk Data Recovery Utility ist ein vollständiges Packet zur Datenwiederherstellung, verfügbar für Windows, Linux und macOS.

TestDisk Data Recovery Utility

  • TestDisk – Partition recovery
  • TestDisk – Filesystem repair
  • TestDisk – File recovery
  • PhotoRec – File recovery
  • QPhotoRec – File recovery

Nach dem herunterladen und entpacken der ZIP-Datei wechselt man in das Verzeichnis testdisk-7.2-wip.win64, hier die Datei testdisk_win.exe mit einem Doppelklick ausführen. Zum aktuellen Zeitpunkt beim Erstellen dieses Post, ist die TestDisk 7.2 WIP (Work In Progress) verfügbar. Unter Linux wie bei Debian/Ubuntu erfolgt die Installation mit dem Packet Manager apt install testdisk, bei CentOS/Fedora mit dnf install testdisk qphotorec.

Die Bilderstrecke zeigt die Schritte, wie die Dateien aus der beschädigten Partition auf ein anderen Datenträger kopiert werden.

Der Kopiervorgang beginnt nach der Zielpfad Auswahl, dort wo die Daten hin kopiert werden sollen, mit Betätigung durch drücken der Taste C (Gross). Beispielsweise können die Daten auf eine zweite externe Festplatte gesichert werden, diese an einem USB-Anschluss eingesteckt wird. Zu der zweiten Festplatte navigiert man über die Cursortasten, indem man auf die zweit Punkte (..) geht und die Eingabetaste drückt, dabei wechselt man ein Verzeichnis nach oben, ist man in der Root angelangt, das Laufwerk mit der Cursortaste wählen, und mit Enter selektieren.

TestDisk Data Recovery Utility ist ein vollständiges Packet zur Datenwiederherstellung.

Es dauert etwas bis der Kopiervorgang beendet wird, abhängig von der Grösse der Partition können schon mal mehrere Stunden vergehen. Können Dateien nicht wiederhergestellt werden, sollte man es mit der Option Deep Search versuchen, anstelle von Quick Search, es dauert dann zwar noch länger, aber die Chance auf Erfolg ist wesentlich höher.

Ein Blick in die TestDisk Dokumentation kann sich lohnen, die PDF-Datei testdisk.pdf findet man ebenfalls nach dem entpacken im Verzeichnis, hier werden alle Funktionen zur Anwendung von TestDisk beschreiben.

Die aktuelle Hiren’s BootCD PE (Preinstallation Environment) ist eine restaurierte Ausgabe von Hiren’s BootCD basierend auf Windows 10 PE x64 (v1.0.1). Vornehmliches Ziel ist es, defekte Microsoft-Windows-Systeme zu retten oder wiederherzustellen, mit einer vielzahl von Möglichkeiten zur Datenrettung, Backup und Forensik. Neben Parted Magic und GParted, ist auch TestDisk als Packet im Image enthalten, diese in einem bootfähigen Live-System bereitgestellt werden.