![Erst der Einsatz von Digital-Workspace-Konzepten macht ein Arbeiten von überall aus möglich – aber auch beim Arbeiten aus dem Homoffice oder im Büro nimmt die Bedeutung des Digital Workspace stetig zu. (Bild: © barmaleeva - stock.adobe.com [KI])](https://cdn1.vogel.de/gpuvdH_vf3CSeVXMMjaq9DDP6t4=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/e5/8b/e58b57e5742e1cb77577828dfbbad52c/0115692375.jpeg "Erst der Einsatz von Digital-Workspace-Konzepten macht ein Arbeiten von überall aus möglich – aber auch beim Arbeiten aus dem Homoffice oder im Büro nimmt die Bedeutung des Digital Workspace stetig zu. (Bild: © barmaleeva - stock.adobe.com [KI])")
![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/a0/af/a0afad7a288676ac94fc57a3f9e82fd7/0115293832.jpeg "Baramundi Remote Desk nutzt den Client des Technologiepartners AnyDesk. (Bild: Baramundi)")
:quality(80)/p7i.vogel.de/wcms/71/95/71951b75b2321e282559e37149c73f85/0114835821.jpeg "„Neofetch“ und andere Tools zeigen Informationen zur Hardware in Linux an. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/71/d9/71d9fe279310ba6d6b4fe4abe6d6fdbd/0114053010.jpeg "Bisher gibt es hierzulande Handynetze der Deutschen Telekom, von Vodafone und von Telefónica Deutschland (O2), jetzt kommt das Netz von 1&1 dazu. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/17/02171279d4f3ec0eebb17c9d7330c20e/0115442143.jpeg "5G ermöglicht Vernetzung in Bereichen der Industrie, in denen WLAN aus technischen Gründen nicht eingesetzt werden kann. (Bild: © ART STOCK CREATIVE - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/59/9e5931526af55d34cf212a6aa0593fd8/0115293144.jpeg "Opensignal hat die Erlebnisse von Nutzerinnen und Nutzern in den deutschen Mobilfunknetzen ausgewertet. (Bild: © – Bojan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/d1/b7d1f5b4af32a8a34cc9722702bfa8d3/0115309559.jpeg "Bei Planung, Konzeption und Aufbau eines 5G-Campusnetzes gibt es einiges zu beachten. Eine Checkliste hilft, alles Wichtige im Auge zu behalten. (Bild: © Manoj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/61/9a618f4ca0e23d8907f7da04cf200b79/0115598017.jpeg "Windows Server 2012/2012 R2 sind End of Life und erhalten keine Updates mehr – und ein Upgrade zu Windows Server 2019 ist nicht unbedingt die Lösung. (Bild: © Zsolt Biczó - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/9a/369ab1402e1750c6eec1113ad47d6986/0115333789.jpeg "Vor der dauerhaften Anwendung von PoE mit höheren Leistungspegeln sollte die gesamte Verkabelung eines LAN geprüft werden. (Bild: R&M)")
:quality(80)/p7i.vogel.de/wcms/28/04/2804aab069ecf363d4eab6def9770dfb/0115489895.jpeg "Der IDS-710CT bietet acht 10/100/1000-MBit/s-RJ45-Ethernet-Ports und zwei 1000-MBit/s-SC/ST-LWL-Ports. (Bild: Perle Systems)")
:quality(80)/p7i.vogel.de/wcms/6e/62/6e626b77c822ea5e5709311090406af1/0115316511.jpeg "Der Drucker ist ein Paradebeispiel für moderne Mobilitätsherausforderungen. (Bild: © – scharfsinn86 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/af/84af116a75193e0fde6f749327e02b40/0115409144.jpeg "Moderne Endpoint Management Programme wie Syspectr nutzt der IT-Administrator direkt aus einem Cloud-Service heraus. (Bild: Thomas Bär - O&O Software GmbH)")
:quality(80)/p7i.vogel.de/wcms/aa/50/aa50d165b2e85876a34d230dd5200be9/0115506351.jpeg "Laut Testbericht erzielte der Wi-Fi-7-AP von Huawei „die beste Einzelnutzerleistung ist, die Tolly bisher getestet hat“. (Bild: Huawei / Tolly Group)")
:quality(80)/p7i.vogel.de/wcms/7f/c3/7fc39d164018ede761cc46c9b3a693dc/0115316025.jpeg "Der Mobilfunkrouter Digi TX40 5G bietet zwei Gigabit-Ethernet-Ports, Wi-Fi 6, USB 3.0 und eine serielle Schnittstelle. (Bild: Bressner Technology)")
:quality(80)/p7i.vogel.de/wcms/09/e7/09e74326290a3bbe7e061488a6c7c1b4/0115334273.jpeg "Um die Folgen von Downtimes zu minimieren, müssen Firmen ihre Netzwerkresilienz erhöhen. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/11/d1117229fba07efd775762507eef9025/0114187597.jpeg "Unternehmen sollten die Datenportabilität unbedingt in ihr Cloud-Sicherheitsmodell integrieren, um potenzielle Datenverluste und Datensilos zu vermeiden. (Bild: frei lizenziert tookapic - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/9b/17/9b172b64e5c98d2dddd77a6bc9687122/0115274495.jpeg "Brandschutzübungen für den Ransomware-Ernstfall: Check Point gibt fünf Empfehlungen. (Bild: Canva / iz)")
:quality(80)/p7i.vogel.de/wcms/b8/eb/b8eb242798e302e33239560cd17b06cd/0115293814.jpeg "Arista und Zscaler vertiefen ihre Zusammenarbeit. (Bild: Arista / Zscaler)")
:quality(80)/p7i.vogel.de/wcms/0d/d4/0dd416bd5ede8e030098411e28a47980/0115014065.jpeg "Das Forschungsprojekt QuaSiModO zeigt mehrere praktikable Ansätze und Verfahren, mit denen der IPsec/IKEv2-Datenaustausch quantensicher gemacht werden kann. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/67/a0676c15c39f3d545491e641f5471cd0/0115165459.jpeg "Die Yamaha CS-800 ist eine Video Sound Bar für kleine Besprechungsräume. (Bild: Yamaha)")
:quality(80)/p7i.vogel.de/wcms/ef/82/ef82510c2a772ae53fc6556827f3e05c/0115140985.jpeg "Das Dashboard der Wildix-Lösung visualisiert transparent das Anrufaufkommen. (Bild: Wildix)")
:quality(80)/p7i.vogel.de/wcms/44/df/44dfe37c86dbc0914e8bda9b98f46553/0115371771.jpeg "Perimeter-basierte Security-Lösungen eignen sich heute insbesondere für lokale Netzwerk-Operationen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/26/25261bdef48903ea330ead23ac5718f4/0115095196.jpeg "Wenn ein System einen Alarm auslöst, muss dieser vom Sicherheitsteam untersucht werden. Handelt es sich dabei aber um einen falschen Alarm, müssen die Experten ihre Zeit an eine Bedrohung verschwenden, die nicht existiert. (Bild: Jesse Bettencourt/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f0d56ca4a1a8696bca9e2dc940292/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/b2/77/b277e4f71c0fd0234e605443300c7c6d/0114803890.jpeg "Die NC4000-Optical-Node-Plattformen sind eine Entwicklung der CommScope-Tochter Arris.
(Bild: CommScope)")
:quality(80)/p7i.vogel.de/wcms/5d/15/5d15351840a95644c2174e6c2cea50b8/0114801126.jpeg "Iwis ist Hersteller moderner Kettentriebsysteme und hat sein teures und langsames MPLS-Netz durch eine SD-WAN-Lösung von Fortinet ersetzt. (Bild: © Photocreo Bednarek - stock.adobe.com)")
Berechtigungsanalyse im Active Directory Schlüsselstelle ACL – So enttarnen Sie Schatten-Admins
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Schatten-Admins sind in nahezu jedem Unternehmen anzutreffen. Sie stellen eine erhebliche Gefahr für die Datensicherheit dar. Folglich müssen sie zuverlässig identifiziert werden. Eine Überprüfung der privilegierten Konten und Gruppen im Active Directory reicht dabei nicht aus. Ein zielführender Ansatz ist vielmehr die Analyse der Zugriffskontrolllisten.
Schatten-Admin-Konten sind Konten im Netzwerk, die über sensible Berechtigungen verfügen und in der Regel übersehen werden, weil sie nicht Teil einer privilegierten Active-Directory-Gruppe (AD) sind. Stattdessen werden Schatten-Admin-Konten ihre Privilegien durch die direkte Zuweisung von Berechtigungen gewährt – unter Verwendung von Zugriffssteuerungslisten (ACLs – Access Control Lists).
Aus der Sicht eines Angreifers sind diese Konten sehr lukrativ, da sie die für eine Attacke erforderlichen administrativen Berechtigungen bieten. Zur Aufrechterhaltung einer hohen Sicherheit sollte also jedes Unternehmen alle privilegierten Konten im Netzwerk kennen, einschließlich derjenigen von Schatten-Admins.
In jedem Unternehmen gibt es eine Vielzahl unterschiedlicher privilegierter Accounts. Dazu zählen Domain Accounts, lokale Accounts oder Application Accounts. Die Domain Accounts sind dabei unter Sicherheitsaspekten die kritischsten, da ein Angreifer durch ihre Kompromittierung leicht alle anderen Accounts in der Domain missbräuchlich nutzen kann.
Identifizierung privilegierter Domain Accounts
Die einfachste, aber auch eine unzureichende Art, privilegierte Konten zu identifizieren, ist die Überprüfung der integrierten privilegierten Gruppen im Active Directory. Dazu gehören alle Konten in den Gruppen „Enterprise Admins“, „Domain Admins“ oder „Schema Admins“. Dabei bleiben aber die von Unternehmen unter Umständen zusätzlich erstellten Domänen-Administratorgruppen unbeachtet. Außerdem ist es keine Seltenheit, dass ein Unternehmen die Active-Directory-Berechtigungen falsch verwaltet und nicht die Zeit hat, die erforderlichen Zugriffskontrolllisten zu aktualisieren. Auch ältere kritische ACLs sind vereinzelt vorhanden, die schlicht und ergreifend vergessen wurden.
Um alle privilegierten Konten in der Domäne zu kennen und im Auge zu behalten, muss somit eine bessere Methode zur Identifizierung genutzt werden. Der Ansatzpunkt sind dabei die ACL-Berechtigungen.
Die Bedeutung der ACLs
Die Herzstücke eines Netzwerks in den meisten Unternehmen sind die Domänencontroller und die Active-Directory-Instanzen, die auf ihnen laufen. Das Active Directory besteht aus Objekten, die das Netzwerk und alle seine Konten, Gruppen, Systeme oder GPOs (Group Policy Objects) definieren. Jedes Objekt im Active Directory hat seine eigenen Zugriffssteuerungseinträge (ACEs; Access Control Entries), die Teil der ACL sind. Die ACL eines jeden Objekts legt fest, wer über Berechtigungen für dieses spezielle Objekt verfügt und welche Aktionen mit ihm durchgeführt werden können. Es gibt verschiedene Arten von Berechtigungen – von der „Vollkontrolle“ bis hin zu spezifischeren Berechtigungen wie „Schreiben“, „Löschen“, „Lesen“ und sogar einige „erweiterten Rechte“ wie „User-Force-Change-Password“, das das Zurücksetzen des Passworts des Zielkontos ermöglicht.
Die Active-Directory- und ACL-Überprüfung kann zeigen, dass der Gruppe „Domain Admins“ standardmäßig Vollzugriff auf alle Objekte im Verzeichnis gewährt wird, aber ein Konto nicht Teil der Gruppe „Domain Admins“ sein muss, um dieselben Berechtigungen zu besitzen. Das heißt, ein einzelnes Konto kann die gleichen ACEs wie ein Domänenadministrator haben. Ein solches Konto ist als Schatten-Admin-Konto einzustufen.
Ermittlung von Schatten-Admins mittels ACL-Analyse
Eine Gruppenanalyse ist somit nicht ausreichend, um alle privilegierten Konten in der Domäne zu ermitteln. Eine umfassendere Methode stellt die Ermittlung und Analyse der ACL-Berechtigungen dar, die den einzelnen Konten gewährt werden.
Die Berechtigungsanalyse des Active Directory identifiziert alle Konten, die über kritische Rechte verfügen. Im Idealfall sind diese Konten privilegiert. Es kann aber auch durchaus sein, dass es unbekannte Konten mit administrativen Rechten gibt. Ebenfalls ist es möglich, dass bekannte, nicht privilegierte Konten vorhanden sind, die aus unerklärlichen Gründen administrative Rechte besitzen. All diese Konten können ein erhebliches Risiko darstellen, da sie möglicherweise über Monate oder Jahre hinweg unbemerkt und ungesichert bleiben. Schlimmer noch: Die Existenz dieser Schatten-Admin-Konten könnte darauf hindeuten, dass gerade eine Cyberattacke stattfindet. Das heißt: Die Konten sind unter Umständen von einem Angreifer erstellt worden, der sie mit zusätzlichen Berechtigungen „erweitert“ hat, um bösartige Aktionen auszuführen.
Mögliche Beispiele für Schatten-Admins sind Accounts mit einer „Vollkontrolle“ über die Domain-Admin-Gruppenobjekte, Accounts mit „Reset Password“-Erlaubnis oder Accounts mit der Berechtigung „Verzeichnisänderungen replizieren“. Das letzte Beispiel birgt das höchste Risiko, da jeder Benutzer damit jedes Objekt im Verzeichnis replizieren kann – einschließlich aller Kennwörter. Es ist wichtig, dass nur Domänencontroller und die Domänenadministrator-Gruppe über diese ACEs verfügen; kein anderes Konto und keine andere Gruppe in der Domäne sollten eine solche ACL-Konfiguration besitzen.
Schatten-Administrator-Konten sind mit größter Wahrscheinlichkeit in jedem Unternehmen vorhanden, das Active Directory verwendet. Wenn diese privilegierten Konten übersehen werden und ungesichert bleiben, stellen sie ein unnötiges Risiko dar. Daher ist es wichtig, dass Unternehmen genau wissen, welche Konten in ihrem Netzwerk über sensible Berechtigungen verfügen.
Sind alle Schatten-Admin-Konten ermittelt, können Unternehmen auch adäquate Sicherheitsmaßnahmen ergreifen. Zunächst sollte überprüft werden, ob die aufgespürten Konten Teil eines laufenden Angriffs sind. Unternehmen müssen zudem abklären, ob alle Konten die ihnen zugewiesenen Berechtigungen auch wirklich benötigen. Nicht zuletzt sind die Best Practices zum Schutz und zur Sicherung von privilegierten Konten zu beachten. Dazu zählen die Trennung der persönlichen Benutzerkonten von den administrativen Konten, die Verwendung komplexer Passwörter, die an einem sicheren Ort aufbewahrt und häufig gewechselt werden, und die Überwachung der Account-Nutzung.
Über den Autor
Christian Götz ist Solutions Engineering Director DACH bei CyberArk.
:quality(80)/p7i.vogel.de/wcms/87/f8/87f88bec164f78e0e22c9e3dca2db421/0102047170.jpeg)
:quality(80)/p7i.vogel.de/wcms/c8/a1/c8a13338f9b3139c9c316d8a01e5ee2c/0106089557.jpeg)
:quality(80)/p7i.vogel.de/wcms/d6/b1/d6b13471629d8ab4757e5ce5ec163c86/0106089303.jpeg)
:quality(80)/p7i.vogel.de/wcms/9b/3e/9b3e1dbdf8eec58771504f96d4e7c62d/0106089295.jpeg)
(ID:48153294)
:quality(80)/p7i.vogel.de/wcms/21/15/21159a46f653b95382814d09539fbbe7/0113073150.jpeg "Auch im Active Directory sollte man hin und wieder Ordnung schaffen – wobei es aus Sicherheitsgründen besser ist, wenn man hier kontinuierlich am Ball bleibt! (Bild: © M. Johannsen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/a1/75a126f7409bcd380588ad6d1f6cda62/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")