Ein einfaches Beispiel für eine klassische Fehlkonfiguration sind administrative Benutzer. Ein Unternehmen verfügt über 20 administrative Benutzerkonten, jedoch nur über 4 IT-Mitarbeiter. Diese administrativen Konten werden für Konfigurationen, das Starten von Diensten, den Helpdesk oder das Ausführen von Skripten verwendet.
Jeder administrative Account erhöht die Gefahr eines erfolgreichen Cyberangriffs!
Ohne administrativen Zugang kann der eingesetzte Schadcode nur begrenzten Schaden anrichten.
Die Standardangriffsvektoren, die in der Regel von Cryptotrojanern bzw. Ransomware ausgenutzt werden, betreffen administrative Konten.
Reduzierung der administrativen Benutzerkonten
Daher ist es entscheidend, administrative Zugänge sowohl auf lokaler als auch auf globaler Ebene zu schützen
Wie erhöht man den Schutz der administrativen Konten?
Hier ist eine Checkliste mit möglichen Maßnahmen:
- Trennung von Benutzer und administrativen Konten, KEINER hat unter seinem Standard User administrative Rechte!
- Verwendung personalisierter Administratoren, die nur eingeschränkten Zugriff auf Funktionen und/oder bestimmte Organisationsbereiche der Windows-Domäne haben.
- Einsatz von Microsoft LAPS für lokale Administratoren, hierdurch hat jedes lokale Administratorkonto ein anderes Passwort!
- Überwachung von Konten mit globalen Administratorenrechten:
- Deaktivierung des Benutzers „Administrator“.
- Alarmierung bei der Verwendung von globalen administrativen Konten
- Einschränkung der Anmeldezeiten von Administratorkonten mit Alarm bei Abweichungen
- Einsatz von „Honey Admin“, dieser darf sich nie anmelden und erzeugt eine Alarmierung bei Nutzung.
- Administrationskonzept verbessern
- Die Administration von Servern sollte nur über einen dedizierten und geschützten Jumphost erfolgen.
Netztrennung
Bei der Netztrennung denken viele an Probleme mit Anwendern, die nicht arbeiten können, weil eine Anwendung einen Dienst im Netzwerk benötigt. Daher empfehle ich, die wichtigsten Backend-Systeme wie den Backupserver und Management-Schnittstellen von Servern oder Netzwerkkomponenten zu schützen.
Ein Backupserver muss alles erreichen können, aber niemand muss den Backupserver und seine Freigaben erreichen können!
Dieses Prinzip gilt auch für administrative PCs oder Jumphosts. Isolieren Sie diese Geräte in ein separates Netzwerk, sodass kein Client oder Server mit diesen Systemen kommunizieren darf! Die administrativen Endgeräte können mit den Management-Schnittstellen kommunizieren und auch die Management-Oberfläche des Backupsystems über bspw. HTTPS erreichen.
Durch diese grundlegende Absicherung auf Netzwerkebene bleibt Ihr Unternehmen im Falle eines Cyberangriffs handlungsfähig. Die administrativen Endgeräte können vom Schadcode oder dem Angreifer nicht erreicht werden und sind funktionsfähig! (Nur solange jemand den Schadcode im Adminnetz ausführt 😉). Das Backupsystem und vor allem die Daten sind vor einer Verschlüsselung geschützt und können für die Wiederherstellung verwendet werden.
Aber Vorsicht: Alle Daten aus dem Backup müssen nach der Wiederherstellung auf Schadcode überprüft werden, da die Infektion bereits einige Tage zurückliegen kann.
Eine Checkliste bei Cyberangriffen findet ihr hier.
Multi Faktor Authentifizierung
Bei allen gängigen Cloud-Anwendungen kann eine Multi-Faktor Authentifizierung aktiviert werden. Dies bedeutet, dass neben dem Passwort auch ein temporärer PIN eingegeben werden muss, der nur für kurze Zeit gültig ist.
Dieser Schutz ist besonders wichtig für Benutzerkonten, da Ihre digitale Identität, wie Ihr E-Mail Postfach, für Angreifer ein äußerst lukratives Ziel ist. Wenn Ihre Zugangsdaten in die Hände eines Angreifers gelangen, können diese für gefälschte Rechnungen und andere betrügerische Aktivitäten genutzt werden. Eine Multi-Faktor Authentifizierung kann dies erschweren und Ihnen viel Ärger ersparen.
Es gibt verschiedene Möglichkeiten zur Umsetzung. Die einfachste ist die Verwendung eines Smartphones mit einer Authentifizierungs-App zur Generierung der PINs (OTP). Wenn jedoch nicht jeder Mitarbeiter ein Firmen-Smartphone hat oder private Geräte nicht verwendet werden sollen, können auch Hardware-Token eingesetzt werden, die den PIN generieren oder per USB an den PC angeschlossen werden müssen. Alternativ bieten einige Cloud-Systeme eine Validierung per E-Mail an, bei der der Benutzer den Code aus der E-Mail eingeben muss. Dies bietet zwar begrenzten Schutz für Ihr E-Mail-Postfach, aber zusätzliche Sicherheit für die Cloud-Anwendungen, die den Code verlangen.
Es sollte nur eine Ausnahme von der Multifaktor Authentifizierung geben, den „Break Glass Account“.
Dieser administrative Zugang verfügt über ein äußerst langes Passwort und wird ausschließlich in Notfällen genutzt. Das Passwort wird sicher aufbewahrt, beispielsweise in einem Safe.
Hierzu hat Microsoft auch einen Artikel veröffentlicht den ich hier verlinke.