Netzwerkschutz mit Microsoft Net Cease

Nutzer gut versteckt

Microsoft stellt in der TechNet-Gallery immer wieder Tools und Skripte für die PowerShell zur Verfügung, mit denen sich die Verwaltung von Windows-Netzwerken vereinfachen oder die Sicherheit verbessern lässt. Ein Beispiel für ein derartiges Skript ist Net Cease. Es hilft dabei, die Standardberechtigungen von Net Session Enumeration so anzupassen, dass Angreifer keinen Zugang zum Netzwerk erhalten – auch nicht über Pass-the-Hash-Attacken.
Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Das PowerShell-Skript "Net Cease" [1] steht unter dem Stichwort "Hardening Net Session Enumeration" und schützt nicht nur ältere Serversysteme wie Windows Server 2008/2008 R2 und 2012/2012 R2, sondern auch Windows Server 2016. Ebenso lassen sich damit Windows 7/8/8.1 und 10 absichern. Ältere Windows-Versionen wie Server 2000/2003 finden keine Unterstützung.

Die Entwickler empfehlen, das Tool auf allen Windows-Rechnern im Netzwerk auszuführen. Denn wenn Angreifer in ein Netzwerk eindringen, geschieht das normalerweise über einen einzelnen Endpunkt. Sobald dieser Endpunkt, etwa ein unsicherer Server oder Router, übernommen wurde, gilt es für den Angreifer, Informationen über das Netzwerk zu sammeln. Denn nur so kann er auch den Rest des Netzwerks effizient ausspähen oder weitere Angriffe durchführen.

Dieses Ausspähen, auch Reconnaissance, kurz "recon" genannt, soll durch das Net-Cease-Skript verhindert werden. Vor allem das Auffinden von Administrator-Konten im Netzwerk ist dabei ein wichtiger Schritt. Denn sobald ein Angreifer einmal Zugang zum Netzwerk hat und auf privilegierte Benutzerkonten zugreifen kann, besteht höchste Gefahr.

Das passiert bei Pass-the-Hash-Angriffen

Pass-the-Hash-Angriffe zielen direkt auf Benutzerkonten im Active Directory. Hier sind natürlich vor allem Benutzerkonten mit privilegierten Rechten interessant. PtH-Angriffe setzen nicht auf die Kennwörter der Benutzer, sondern auf die Hashes, die einem Benutzerkonto nach der Authentifizierung zugewiesen werden. Einfach ausgedrückt handelt es sich dabei um Eintrittskarten ins Active Directory.

Sobald ein Angreifer ein Benutzerkonto im Active Directory oder der Benutzerverwaltung eines Servers kennt, kann er versuchen, mit PtH-Angriffen an einen Hash des Kontos zu kommen, auch ohne das Kennwort zu kennen. Der Vorgang zielt also nicht darauf ab, Kennwörter zu

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019