Hereinspaziert!

Cyberkriminelle verschaffen sich bei 81 Prozent ihrer Angriffe über gestohlene oder schwache Passwörter Zugang zu Unternehmensnetzwerken. Dies zeigt der jüngste Data Breach Investigations Report (DBIR) von Verizon. Security-Abteilungen vergessen diese Schwachstelle oft, während sie ihre Energie in die Abwehr extremer, aber seltener Angriffsszenarien stecken.

Besonders unterschätzt als IT-Sicherheitsrisiko: das lokale Administratorkonto. Zwar nur mit lokal begrenzten Zugriffsrechten ausgestattet, existiert es auf jedem Windows-Rechner im Unternehmen – direkt neben anderen, interessanteren Konten. Auch bei dezentraler Verwaltung haben solche lokalen Accounts oft identische Passwörter. Eine Einladung an jeden Hacker.

Hat ein Angreifer die Schwachstelle erkannt, braucht er das verschlüsselte Admin-Kennwort nur noch zu knacken. Dank online verfügbaren Regenbogentabellen-Diensten, GPU-basierten Hash-Cracking-Tools oder spezialisierter Hardware wie Brutalis oder Invictus ist dies auch bei hochkomplexen Zeichenfolgen eine Sache von Sekunden.

Allein mit dem lokalen Admin-Kennwort meldet sich der Eindringling dann über die Pass-the-Hash-Technik auf jedem Domain-Account der betroffenen Computer an. So erlangt er nach und nach umfassende Zugriffsrechte und übernimmt schliesslich die Kontrolle über das gesamte Netzwerk. Haben alle lokalen Konten identische Passwörter, ist es dem Cyberkriminellen mit einem Graphen möglich,
auch auf den Domain-Controller zuzugreifen.

Wie lässt sich das Problem lösen? Alle lokalen Accounts zu deaktivieren, ist nicht erstrebenswert. Daher gilt es, alle lokalen Passwörter zu randomisieren. Dies ermöglichen Anwendungen wie die Local Administrator Password Solution (LAPS) von Microsoft. Per Group Policy Engine generiert sie automatisch Zufallspasswörter für jeden Domänencomputer. Sogenannte Access Controll Lists (ACL) schützen die generierten Passwörter vor unberechtigtem Zugriff. Jedes Passwort ist zentral im Active Directory sowie lokal gespeichert. In der Group Policy lässt sich die Komplexität und Gültigkeit der Passwörter festlegen. Zudem können die Domain-Admins definieren, wer etwa im Helpdesk berechtigt ist, das Kennwort zu lesen. Der Teufel steckt allerdings im Detail. Per Single Image Management lässt sich schnell und komfortabel eine sogenannte Klon-Armee aufbauen.

Andererseits gibt es auch bei virtuellen Maschinen Dinge, die eindeutig bleiben sollten. Computernamen beispielsweise oder eben randomisierte lokale Kennwörter. Bei nichtdauerhaften Maschinen und Single Image Management werden Änderungen beim Herunterfahren zurückgenommen – darunter auch zufällig generierte lokale Admin-Passwörter. Folgende Lösung funktioniert für Xen App und Xen Desktop gleichermassen: Ein Shut-Down-Skript veranlasst, dass ein neues Passwort generiert wird, sobald die nichtpersistente virtuelle Maschine in den Default-Zustand zurückgesetzt ist. Hierfür ändert man das Attribut für das Ablaufdatum «ms-Mcs-AdmPwdExpirationTime» im Active Directory auf den bereits abgelaufenen Wert. Beim nächsten Hochfahren der virtuellen Maschine erstellt LAPS automatisch das neue Kennwort. Die einfache Anpassung bewirkt ein erhebliches Plus an IT-Sicherheit.