Berechtigungsanalyse im Active Directory Schlüsselstelle ACL – So enttarnen Sie Schatten-Admins

Ein Gastbeitrag von Christian Götz

Schatten-Admins sind in nahezu jedem Unternehmen anzutreffen. Sie stellen eine erhebliche Gefahr für die Datensicherheit dar und müssen zuverlässig identifiziert werden. Eine Überprüfung der privilegierten Konten und Gruppen im Active Directory reicht dabei nicht aus.

Anbieter zum Thema

Christian Götz von CyberArk erläutert, wie sich Schatten-Admins mithilfe einer ACL-Analyse ermitteln lassen – ein wichtiger Schritt auf dem Weg hin zu einem Domänennetzwerk.
Christian Götz von CyberArk erläutert, wie sich Schatten-Admins mithilfe einer ACL-Analyse ermitteln lassen – ein wichtiger Schritt auf dem Weg hin zu einem Domänennetzwerk.
(Bild: CyberArk)

Schatten-Admin-Konten sind Konten im Netzwerk, die über sensible Berechtigungen verfügen und in der Regel übersehen werden, weil sie nicht Teil einer privilegierten Active-Directory-Gruppe (AD) sind. Stattdessen werden Schatten-Admin-Konten ihre Privilegien durch die direkte Zuweisung von Berechtigungen gewährt – unter Verwendung von Zugriffssteuerungslisten (ACLs – Access Control Lists).

Aus der Sicht eines Angreifers sind diese Konten sehr lukrativ, da sie die für eine Attacke erforderlichen administrativen Berechtigungen bieten. Zur Aufrechterhaltung einer hohen Sicherheit sollte also jedes Unternehmen alle privilegierten Konten im Netzwerk kennen, einschließlich derjenigen von Schatten-Admins.

In jedem Unternehmen gibt es eine Vielzahl unterschiedlicher privilegierter Accounts. Dazu zählen Domain Accounts, lokale Accounts oder Application Accounts. Die Domain Accounts sind dabei unter Sicherheitsaspekten die kritischsten, da ein Angreifer durch ihre Kompromittierung leicht alle anderen Accounts in der Domain missbräuchlich nutzen kann.

Identifizierung privilegierter Domain Accounts

Die einfachste, aber auch eine unzureichende Art, privilegierte Konten zu identifizieren, ist die Überprüfung der integrierten privilegierten Gruppen im Active Directory. Dazu gehören alle Konten in den Gruppen „Enterprise Admins“, „Domain Admins“ oder „Schema Admins“. Dabei bleiben aber die von Unternehmen unter Umständen zusätzlich erstellten Domänen-Administratorgruppen unbeachtet. Außerdem ist es keine Seltenheit, dass ein Unternehmen die Active-Directory-Berechtigungen falsch verwaltet und nicht die Zeit hat, die erforderlichen Zugriffskontrolllisten zu aktualisieren. Auch ältere kritische ACLs sind vereinzelt vorhanden, die schlicht und ergreifend vergessen wurden.

Um alle privilegierten Konten in der Domäne zu kennen und im Auge zu behalten, muss somit eine bessere Methode zur Identifizierung genutzt werden. Der Ansatzpunkt sind dabei die ACL-Berechtigungen.

Die Bedeutung der ACLs

Die Herzstücke eines Netzwerks in den meisten Unternehmen sind die Domänencontroller und die Active-Directory-Instanzen, die auf ihnen laufen. Das Active Directory besteht aus Objekten, die das Netzwerk und alle seine Konten, Gruppen, Systeme oder GPOs (Group Policy Objects) definieren. Jedes Objekt im Active Directory hat seine eigenen Zugriffssteuerungseinträge (ACEs; Access Control Entries), die Teil der ACL sind. Die ACL eines jeden Objekts legt fest, wer über Berechtigungen für dieses spezielle Objekt verfügt und welche Aktionen mit ihm durchgeführt werden können. Es gibt verschiedene Arten von Berechtigungen – von der „Vollkontrolle“ bis hin zu spezifischeren Berechtigungen wie „Schreiben“, „Löschen“, „Lesen“ und sogar einige „erweiterten Rechte“ wie „User-Force-Change-Password“, das das Zurücksetzen des Passworts des Zielkontos ermöglicht.

Die Active-Directory- und ACL-Überprüfung kann zeigen, dass der Gruppe „Domain Admins“ standardmäßig Vollzugriff auf alle Objekte im Verzeichnis gewährt wird, aber ein Konto nicht Teil der Gruppe „Domain Admins“ sein muss, um dieselben Berechtigungen zu besitzen. Das heißt, ein einzelnes Konto kann die gleichen ACEs wie ein Domänenadministrator haben. Ein solches Konto ist als Schatten-Admin-Konto einzustufen.

Ermittlung von Schatten-Admins mittels ACL-Analyse

Eine Gruppenanalyse ist somit nicht ausreichend, um alle privilegierten Konten in der Domäne zu ermitteln. Eine umfassendere Methode stellt die Ermittlung und Analyse der ACL-Berechtigungen dar, die den einzelnen Konten gewährt werden.

Die Berechtigungsanalyse des Active Directory identifiziert alle Konten, die über kritische Rechte verfügen. Im Idealfall sind diese Konten privilegiert. Es kann aber auch durchaus sein, dass es unbekannte Konten mit administrativen Rechten gibt. Ebenfalls ist es möglich, dass bekannte, nicht privilegierte Konten vorhanden sind, die aus unerklärlichen Gründen administrative Rechte besitzen. All diese Konten können ein erhebliches Risiko darstellen, da sie möglicherweise über Monate oder Jahre hinweg unbemerkt und ungesichert bleiben. Schlimmer noch: Die Existenz dieser Schatten-Admin-Konten könnte darauf hindeuten, dass gerade eine Cyberattacke stattfindet. Das heißt: Die Konten sind unter Umständen von einem Angreifer erstellt worden, der sie mit zusätzlichen Berechtigungen „erweitert“ hat, um bösartige Aktionen auszuführen.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Mögliche Beispiele für Schatten-Admins sind Accounts mit einer „Vollkontrolle“ über die Domain-Admin-Gruppenobjekte, Accounts mit „Reset Password“-Erlaubnis oder Accounts mit der Berechtigung „Verzeichnisänderungen replizieren“. Das letzte Beispiel birgt das höchste Risiko, da jeder Benutzer damit jedes Objekt im Verzeichnis replizieren kann – einschließlich aller Kennwörter. Es ist wichtig, dass nur Domänencontroller und die Domänenadministrator-Gruppe über diese ACEs verfügen; kein anderes Konto und keine andere Gruppe in der Domäne sollten eine solche ACL-Konfiguration besitzen.

Schatten-Administrator-Konten sind mit größter Wahrscheinlichkeit in jedem Unternehmen vorhanden, das Active Directory verwendet. Wenn diese privilegierten Konten übersehen werden und ungesichert bleiben, stellen sie ein unnötiges Risiko dar. Daher ist es wichtig, dass Unternehmen genau wissen, welche Konten in ihrem Netzwerk über sensible Berechtigungen verfügen.

Sind alle Schatten-Admin-Konten ermittelt, können Unternehmen auch adäquate Sicherheitsmaßnahmen ergreifen. Zunächst sollte überprüft werden, ob die aufgespürten Konten Teil eines laufenden Angriffs sind. Unternehmen müssen zudem abklären, ob alle Konten die ihnen zugewiesenen Berechtigungen auch wirklich benötigen. Nicht zuletzt sind die Best Practices zum Schutz und zur Sicherung von privilegierten Konten zu beachten. Dazu zählen die Trennung der persönlichen Benutzerkonten von den administrativen Konten, die Verwendung komplexer Passwörter, die an einem sicheren Ort aufbewahrt und häufig gewechselt werden, und die Überwachung der Account-Nutzung.

Christian Götz.
Christian Götz.
(Bild: CyberArk)

Über den Autor

Christian Götz ist Solutions Engineering Director DACH bei CyberArk.

Bildergalerie
Bildergalerie mit 55 Bildern

(ID:48169013)