Ein effektiver Schutz der Systeme muss nicht komplex sein. Das möchte ich in diesem Artikel zeigen. Dazu schauen wir uns erst mal die Basis vieler Angriffe auf einem System an.
Hacking 1x1 – so läuft es ab
Ist ein Hacker oder eine Schadsoftware auf dem System, krallen sie sich oft als erstes privilegierte Accounts, damit sie ihren Angriff durchführen können. Denn ohne privilegierten Account kommen die Angreifer oft nicht sehr weit. Damit dieses meist genutzte Vorgehen funktioniert, müssen zwei Bedinungen gegeben sein:
- Auf dem Client können Fremdsoftwares ausgeführt werden.
- Auf dem Client wird mit privilegierten Accounts gearbeitet.
Wenn auf dem Client kein Application whitelisting aktiv ist, aber der Angreifer merkt, dass der User keine privilegierte Berechtigungen hat, die er übernehmen kann, stört er oft das System. Der Benutzer eröffnet darauf ein Ticket bei der IT Abteilung da sein System nicht ordnungsgemäss funktioniert. Ein IT-Supporter wird sich dem Problem annehmen. Um das Problem zu lokalisieren und zu beheben wird er sich oft mit seinem privilegierten Account auf dem System anmelden. Diese Situation wird der Angreifer ausnutzen wollen, um an dessen privilegierten Account heran zu kommen.
Und was kann man dagegen machen?
Viele würden sich jetzt fragen: «Wie kann ich Fremdsoftware blockieren und privilegierte Accounts entfernen, ohne dass die Benutzer und Admins bei ihrer täglichen Arbeit eingeschränkt werden? Das ist doch ein Widerspruch?»
Für genau dieses Problem gibt es eine Lösung, die ich mir etwas genauer angeschaut habe. Sie heisst „Privilege Management für Desktops“ (früher DefendPoint) und wird vom Hersteller BeyondTrust vertrieben – früher unter dem Namen Avecto bekannt. Die Lösung verspricht viel und ich war am Anfang kritisch, ob das wirklich funktionieren kann. Also habe ich das Tool mal auf Herz und Nieren geprüft und war wirklich positiv beeindruckt.
So funktioniert das ganze: Mit Privilege Management für Desktops wird das Application Whitelisting extrem vereinfacht. Denn alles was mit Trusted Owner installiert wurde, wird schon einmal zugelassen ohne das dafür explizit eine Erlaubnis erteilt wird. Das heisst alle Applikationen die über ein Software Deployment Management verteilt oder mit administrativen Berechtigungen installiert wurden, sind automatisch zugelassen. Die restlichen Applikationen oder Tasks, die der Benutzer oder der Admin ausführen muss, sind schnell definiert. Denn Privilege Management für Desktops nimmt dabei mit seiner GUI sehr viel administrativen Aufwand ab.
Mit Privilege Management für Desktops benötigt der Benutzer und sogar der Admin nur noch normale Benutzerrechte. Der Clou an der Sache ist, dass Privilege Management für Desktops dem Benutzer oder dem Admin für die erlaubten Tasks oder Applikationen jeweils ein Admin Access Token ausstellt. Hierbei wird das User Access Token mit administrativen Berechtigungen für die definierten Tasks erweitert. Somit können die privilegierten Rechte nicht für andere Tasks oder Applikationen missbraucht werden.
Und was ist mit den Ausnahmen?
Wenn der Mitarbeiter dann doch mal ein Tool benötigt, Software für einen privaten Drucker oder eine neue Maus installieren muss oder notwendige Anpassungen am System selbst vornehmen soll, gibt es in diesem System sehr flexible Möglichkeiten solche Ausnahmen abzufangen.
Mit sehr gut anpassbaren Dialogen kann auf verschiedene Weise auf Ausnahmen reagiert werden. Von einer reinen Info bis zu komplexen Cheallenge/Response Verfahren/Workflows ist da alles drin.
Mein Fazit
Die Lösung hat mich sehr überzeugt. Denn mit Privilege Management für Desktops kann man die privilierten Accounts im Netzwerk fast komplett eliminieren, hat ein Application Whitelisting dass schwierigste Konstellationen abdeckt und kann Software und Taskausnahmen sehr einfach gemäss den intern definierten Betriebsprozessen abbilden.
Wenn beispielsweise der Aussendienstmitarbeiter seinen HP Homedrucker auf dem Laptop installieren will, muss er mit dieser Lösung dazu kein Helpdesk Ticket mehr erstellen. Er bekommt on-the-fly die nötige Berechtigung (wenn gewollt). Somit kann nicht nur der Helpdesk entlastet werden sondern auch die Anzahl der privilegierten Accounts können mit Privilege Management für Desktops sehr stark reduziert werden. Sicherlich wird es für das Erhöhen des Active Directory Forest Levels weiterhin den Enterprise Admin benötigt. Aber für das tägliche Arbeiten der Benutzer und Admins werden keine privilegierten Accounts mehr benötigt. Wenn die privilegierten Account nicht mehr gebraucht werden, können diese auch nicht mit den bekannten Angriffen wie «Pass the Hash» oder «Pass the Ticket» missbraucht werden.
Links
Weitere Informationen darüber findet man unter www.avantec.ch/loesungen/beyondtrust.
Point
Point ist Security Engineer bei AVANTEC und hat sich spezialisiert im Access-, Identitäts- und im Clientbereich. Die MS-Welt ist ihm auch nicht fremd. Er setzt sich für das Gute ein, weil die gute Seite am Schluss immer gewinnt :-)