Netzwerkschutz mit Microsoft Net Cease

Das PowerShell-Skript "Net Cease" [1] steht unter dem Stichwort "Hardening Net Session Enumeration" und schützt nicht nur ältere Serversysteme wie Windows Server 2008/2008 R2 und 2012/2012 R2, sondern auch Windows Server 2016. Ebenso lassen sich damit Windows 7/8/8.1 und 10 absichern. Ältere Windows-Versionen wie Server 2000/2003 finden keine Unterstützung.

Die Entwickler empfehlen, das Tool auf allen Windows-Rechnern im Netzwerk auszuführen. Denn wenn Angreifer in ein Netzwerk eindringen, geschieht das normalerweise über einen einzelnen Endpunkt. Sobald dieser Endpunkt, etwa ein unsicherer Server oder Router, übernommen wurde, gilt es für den Angreifer, Informationen über das Netzwerk zu sammeln. Denn nur so kann er auch den Rest des Netzwerks effizient ausspähen oder weitere Angriffe durchführen.

Dieses Ausspähen, auch Reconnaissance, kurz "recon" genannt, soll durch das Net-Cease-Skript verhindert werden. Vor allem das Auffinden von Administrator-Konten im Netzwerk ist dabei ein wichtiger Schritt. Denn sobald ein Angreifer einmal Zugang zum Netzwerk hat und auf privilegierte Benutzerkonten zugreifen kann, besteht höchste Gefahr.

Das passiert bei Pass-the-Hash-Angriffen

Pass-the-Hash-Angriffe zielen direkt auf Benutzerkonten im Active Directory. Hier sind natürlich vor allem Benutzerkonten mit privilegierten Rechten interessant. PtH-Angriffe setzen nicht auf die Kennwörter der Benutzer, sondern auf die Hashes, die einem Benutzerkonto nach der Authentifizierung zugewiesen werden. Einfach ausgedrückt handelt es sich dabei um Eintrittskarten ins Active Directory.

Sobald ein Angreifer ein Benutzerkonto im Active Directory oder der Benutzerverwaltung eines Servers kennt, kann er versuchen, mit PtH-Angriffen an einen Hash des Kontos zu kommen, auch ohne das Kennwort zu kennen. Der Vorgang zielt also nicht darauf ab, Kennwörter zu

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.