Account-Hygiene. Mehr als Händewaschen!

Transkript

1 Account-Hygiene Mehr als Händewaschen! 1

2 Die Angreifer sind innerhalb der Mauern: Schutz gegen Credential-Diebstahl und Pass-the-Hash Attacken 2

3

4

5

6 Pass-the-Hash / Pass-the-Ticket Pass-the-Hash entdeckt in 1997 automatisiert und als Waffe einsetzbar seit 2008 ( Hernan Ochoa ) Pass-the-Hash Toolkit injiziert NTLM-Hashes in eine Anmeldesitzung 2010 Fortentwicklung des Tools Pass-the-Ticket entdeckt in 2010 automatisiert und als Waffe einsetzbar seit 2011 ( Hernan Ochoa ) 6

7 1. PC kompromittiert Domain-Admin kompromittiert Attacke entdeckt Forschung & Prävention Datenabfluss (Attacke unentdeckt) Stunden Monate Angriffskomplexität Angreifernutzt jedeschwachstelleaus Zielinformationauf jedemgerät /Service Angriff unerkannt AktuelleDetection-Tools übersehendie meistenangriffe Ziele: AD & Identitäten Active Directory steuertzugriffauf Unternehmens-/Betriebsressourcen Angreiferzielen auf AD-Admins Response and Recovery Spezialwissenund technologieerforderlich Erfolg= HohefinanzielleAufwände Quelle: Fa. Microsoft 2015

8 24-48 Stunden 1. Phishing Attacke (o.ä.) 2. Credential-Diebstahl 3. Kompromittieren weiterer PCs + Credentials (Suche nach Domain- Admin) 4. Erhalt Domain-Admin Credentials 5. Ausführen der Angriffsmission (Datendiebstahl, Zerstörung des Systems etc.) Quelle: Fa. Microsoft 2015

9 9

10 Lösungsansatz 10

11 Privilege Escalation Mitigation Strategy Tier 0 1. Privilege Escalation Credential Theft Application Agents Service Accounts 2. Lateral Traversal Credential Theft Application Agents Service Accounts Tier 1 Tier 2 Quelle: Fa. Microsoft 2015

12 Logon Restrictions Quelle: Fa. Microsoft 2015

13 Präventivmaßnahmen: 1. Admin Workstations & Logon Restrictions Domain-, Server-, Application- und Workstation- Admins 2. Zufällige lokale Admin-Passwörter Server + Workstation 3. RDP / Restricted Admin Mode Domain-, Server-, Application- und Workstation- Admins 13

14 Tier 3 Client Tier 2 Server Tier 1 Domain Nds. Justiz Account Hygiene Phase 1 3 Stufiges Vorgehen Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3 Domänenadministrator 1 Domänenadministration Verschlüsselt über IPSec Privileged Workstation (PAW) Server und Fach- Administrator 2 Terminalserver Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.b. Phone-Authentication Verschlüsselt über IPSec Client Administrator 3 ZIB Windows Client Windows Client 14

15 Tier 3 Client Tier 2 Server Tier 1 Domain Nds. Justiz Account Hygiene Phase 2 3 Stufiges Vorgehen Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3 Domänenadministrator 1 Domänenadministration Verschlüsselt über IPSec Privileged Workstation (PAW) Server und Fach- Administrator 2 Server und Fach- Administrator - Sensibel - 4 Terminalserver Sensible Daten Privileged Workstation (PAW) Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.b. Phone-Authentication Verschlüsselt über IPSec LAPS LEAP nur noch lokale Adminkonten mit kryptischen Kennwort je Client Client Administrator 3 ZIB Windows Client Windows Client 15

16 Tier 3 Client Tier 2 Server Tier 1 Domain Nds. Justiz Account Hygiene Phase 3 3 Stufiges Vorgehen Blau = Phase 1 / Grün = Phase 2 / Gelb = Phase 3 Domänenadministrator 1 Domänenadministration Verschlüsselt über IPSec Privileged Workstation (PAW) 4 Server und Fach- Administrator Privileged Workstation (PAW) Remote Verbindung (Protokoll min. 8.1) 2 Faktor z.b. Phone-Authentication Verschlüsselt über IPSec Terminalserver Alle Serversystem LEAP nur noch lokale Adminkonten mit kryptischen Kennwort je Client Client Administrator 3 ZIB Windows Client Windows Client 16

17 1. IST-Analyse Schützenswerte Objekte 2. Zuordnung der administrativen Ressourcen zu einer Sicherheitsschicht 3. Zuordnung Schutzmaßnahmen zu administrativen Ressourcen 17

18 Admins anonym-x Admins anonym-xx Admins anonym- XXX 3. Zuordnung Schutzmaßnahmen zu administrativen Ressourcen Anzahl Administratoren 0 XX XX XX Zugang zu Tier 0 x Zugang zu Tier 1 (x) Zugang zu Tier 2 x x Kommentar/ Berechtigung Domain Admins Restricted Group, lokaler Admin alle Clients DHCP/DNS. (Bereits in Diskussion: SQL+DB Server Admin) Tier Violation keine! Seit Win10: Zugang zu ZIB Workstations DHCP/DNS Maßnahme 1 Logon Restrictions vorbereiten LAPS einsetzen Aktuell Ausnahme aktzeptieren Maßnahme 2 Admin Workstation evaluieren Restricted RDP testen Maßnahme 3 Berechtigung auf PAWs lösen - Client Build Team 18

19 Vorgehensweise: 1. IST-Analyse Schützenswerte Objekte 2. Zuordnung der administrativen Ressourcen zu einer Sicherheitsschicht 3. Zuordnung Schutzmaßnahmen zu administrativen Ressourcen 4. Maßnahmenumsetzung (LAPS, PAWs ) 5. Projektbegleitende Admin-Schulungen 6. PEN-Test 19

20 Hürden: 1. Zuordnung administrativer Ressourcen zu Sicherheitsschichten ( Tiers ) 2. Veränderung bestehender Admin- Workflows 3. Tlw. geringfügige zeitliche Verlängerung des Anmeldeprozesses für Admins 4. Trennung bestehender Admin-Konten für mehrere Sicherheitsschichten 5. Anpassung LAPS an eigene Infrastruktur 6. Trennung Tier-übergreifender Ressourcen (z.b. SCCM) 20

21 6. Trennung Tier-übergreifender Ressourcen und Admin-Tools Tier-übergreifende Ressourcen + Tools = Angriffsvektor/Schwachstelle! Schwachstelle = Risikoakzeptanz? SCCM für jedes Tier? Lösungsansatz? Enhanced Security Admin Environment! 21

22 Enhanced Security Admin Environment (ESAE) Sichere Rollentrennung Prinzip der geringstmöglichen Zugriffsrechte Gehärtete sumgebung Netzwerksegmentierung und -sicherheit Dedizierte Tier 0 Admin- Workstation (PAW) Authentifizierungs- und Logon- Restriktionen Multifactor-Authentifizierung One-way trust with Selective Authentication Tier 0: Domain Controllers Tier 1: Servers and Applications Production Domains Tier 2: Users and Workstations Internet Protocol Security (IPsec) Admin Environment Gold Card Admins Management and Monitoring Red Card Admins Break Glass Account(s) Quelle: Fa. Microsoft 2016

23 Projekt-Aufwände: ohne ESAE (Enhanced Security Admin Environment) Personal: 50 PT extern PT intern Haushaltsmittel: EUR mit ESAE (Enhanced Security Admin Environment) Personal: 300 PT extern PT intern Haushaltsmittel: bis EUR Die Zahlen beruhen auf Erfahrungen, Angeboten und Schätzungen! 23

24 FAZIT: 1. Entwicklung Schichtenmodell 2. Zuordnung administrativer Ressourcen zu Sicherheitsschichten (Tier 0 / 1 / 2) 3. Account Hygiene Einschränkung Admin-Konten 4. Maßnahmenumsetzung (LAPS, PAW, ESAE etc.) 5. Projektbegleitende Admin-Schulungen 6. PEN-Test 24

25 Vielen Dank für Ihre Aufmerksamkeit! 25