In meinen Kundenprojekten ist das Active Directory (AD) immer wieder ein wichtiges Thema, da es für die meisten Unternehmen die Basis der täglichen Arbeit darstellt.
Ohne AD keine Anmeldung am PC, keine E-Mails, kein ERP!
Daher möchte ich heute 3 Basisabsicherungen für das AD vorstellen, die ich immer wieder bei meinen Kunden vorfinde.
1. NTLM
NTLM (NT LAN Manager) ist ein altes Authentifizierungsprotokoll, das noch aus Windows NT Zeiten stammt. Dieses Authentifizierungsprotokoll ist logischerweise anfällig für Angriffe und wird meist von Migration zu Migration mitgeschleppt, daher muss es deaktiviert werden.
Gefahren:
- NTLM-Authentifizierung kann mit Brute-Force-Angriffen geknackt werden.
- NTLM-Hashes können offline geknackt werden.
- NTLM-Relay-Angriffe sind möglich.
Empfehlungen:
- Verwendung von Kerberos statt NTLM
- NTLM deaktivieren
2. LDAP
LDAP (Lightweight Directory Access Protocol) ist ein Protokoll zum Abfragen und Verwalten von AD-Objekten, dieses wird verwendet, um eine Benutzerauthentifizierung gegenüber Drittsystemen zu ermöglichen. Das Problem bei LDAP ist, dass es unverschlüsselt ist und alle Authentifizierungsinformationen wie Passwörter im Klartext übertragen werden.
Nun könnte man sagen: “Egal, ich benutze es nur intern!”
Das Problem ist, dass der Schadcode auf einem infizierten PC genau auf diese unverschlüsselte Kommunikation wartet. Sobald sich ein Administrator über LDAP authentifiziert, ist unser “geliebter” Angreifer auch ein “Administrator”!
Daher ist eine Umstellung auf LDAPs (LDAPS) notwendig. LDAPs verschlüsseln die Kommunikation zwischen den Clients und dem AD Server.
Gefahren:
- LDAP-Anfragen können im Klartext übertragen werden.
- Angreifer können Benutzernamen und Passwörter abfangen.
Empfehlungen:
- Aktivierung von LDAPs
- LDAPS für alle AD-Anfragen verwenden
3. KERBEROS
Kerberos ist ein Authentifizierungsprotokoll, das mit Windows Server 2000 eingeführt wurde. Es hat also schon einige Jahre auf dem Buckel und verwendet standardmäßig eine schwache Verschlüsselung. Dennoch ist Kerberos immer noch das Mittel der Wahl für die Windows-Authentifizierung und man kommt um dieses Protokoll nicht herum. Leider hat Microsoft bei neuen Serverversionen keine verbesserte Verschlüsselung standardmäßig aktiviert, so dass die Verschlüsselung manuell auf AES-256 erhöht werden muss.
Gefahren:
- Die schwache Kerberos-Verschlüsselung kann durch Brute-Force-Angriffe geknackt werden.
- Angreifer können Kerberos-Tickets entwerten und missbrauchen.
Empfehlungen:
- AES-256 Verschlüsselung für Kerberos aktivieren
Das sind meine 3 Tipps, wie man sein AD absichern kann und bei der nächsten Sicherheitsüberprüfung nicht nur die Standardfindings im Bericht findet.
Ihr wollt euer Active Directory auch auf solche Konfigurationen prüfen, dann Termin buchen
Weitere Informationen zur Härtung des Active Directories findet ihr hier.