Der Lokaler Administrator und seine Probleme…

Der Lokaler Administrator und seine Probleme…

  • In jedem Windows Betriebssystem ist von Haus ein Lokaler Administrator angelegt.

Dieser Lokale Administrator wird häufig benutzt, wenn der Domain Login nicht mehr möglich ist, z.B. wenn die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne nicht mehr vorhanden ist.

  • Der Name „Administrator“ ist sehr bekannt, sowie seine SID.
  • In vielen Umgebungen ist auf allen Arbeitsstationen dasselbe Administrator-Passwort gesetzt. Wer dieses Passwort erfährt, erlangt Vollzugriff auf alle Arbeitsstationen.
  • Die meisten Passwörter werden Jahrelang nicht geändert, selbst wenn Dritte davon erfahren, oder wenn Personen die Umgebung verlassen, die das Passwort kennen.

Microsoft hat in der Vergangenheit ermöglicht, dass man diese Passwörter über Gruppenrichtlinien verwaltet. Im Mai 2014 gab Microsoft jedoch die Angreifbarkeit dieser Methode bekannt:

CVE-2014-1812: The Group Policy implementation in Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, and Windows Server 2012 Gold and R2 does not properly handle distribution of passwords, which allows remote authenticated users to obtain sensitive credential information and consequently gain privileges by leveraging access to the SYSVOL share, as exploited in the wild in May 2014, aka „Group Policy Preferences Password Elevation of Privilege Vulnerability.“

Warum ist das ein Problem?

Die Passwörter werden im sog. “Sysvol” der Domäne gespeichert (\\%Domäne%\sysvol ) und sind damit jedem authentifizierten Benutzer zugänglich, folglich jedem Mitarbeiter im Unternehmen.

Mittels eines Powershell Script, z.B.von https://github.com/mattifestation/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1 lässt sich ohne große Kenntnisse das Kennwort auslesen.

Auch die Powershell Excecution Policy schützt in diesem Fall nicht.

  1. Diese lässt sich leicht umgehen (C:\> Invoke-Expression (Get-Content .\badscript.ps1)
  2. Auch ist es möglich, die Dateien zu kopieren und die Kennwörter dann an einem anderen Rechner auszulesen

 

Wer sich nicht sicher ist, ob er betroffen ist, sollte sich das Freeware Tool von SDM anschauen:

Group Policy Preference Password Remediation Utility

This utility is designed to allow you to discover vulnerable “cpassword” entries in GP Preferences settings across your AD domain. Once discovered, you can use the utility to optionally remediate those cpassword entries (remove them from the GPO). The utility creates GPO backups of any GPOs you plan to remediate, prior to remediation.

Link https://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/

 

Wir haben also zwei Herausforderungen zu lösen:

  1. Was machen wir mit dem vorinstallierten Administrator Account?
  2. Wie gehen wir mit den Passwörtern des Lokalen Administrators um?

Zu ersterem gibt es folgende zwei Dinge:

Der vorinstallierte Administrator Account lässt sich nicht so einfach entfernen und deswegen ist meine Empfehlung die von Microsoft:

A good security practice for protecting built-in local accounts is to rename and disable themBecause a built-in local account retains its SID it retains all its other properties such as its description, password, group memberships, user profile, account information, and any assigned permissions and user rights. Due to this built-in local accounts should be disabled”.

In diesem Technet-Artikel wird erklärt, wie man vorgeht:

How to Enable and Disable the Built-in Administrator Account

 

Hier ein paar Beispiele, wie man Accounts deaktiviert:

  • net user cmd
    • net user administrator /active:no
  • Powershell
  • GPO

Bedenke bitte das man den vorinstallieren Administrator wieder aktivieren könnte, somit ist wäre die GPO zumindest ein etwas erweiterter Schutz um das aktivieren zu unterbinden.

Da es weiterhin Fälle geben wird, in denen eine lokale Anmeldung an der Arbeitsstation mit administrativen Rechten notwendig ist, sollte man im Vorfeld einen neuen Administrator anlegen.

Auch hierfür können einige bekannte Methoden genutzt werden:

  • Net User CMD
    • net user LOCALADM SecretP@ssw0rd /add
    • net localgroup administrators LOCALADM /add
  • Powershell

Das Erstellen eines Lokalen Administrators ist via GPO leider nicht mehr möglich.

Was nun noch bleibt, ist die Herausforderung beim Umgang mit den Passwörtern.

Es gibt hierzu von Microsoft eine Lösung, die Martin Forch bereits prima in einem Artikel beschreibt:

LAPS – lokales Admin-Passwort endlich sicher

 

Viel Erfolg bei der Absicherung eurer Umgebung.

 

Viele Grüße,

 

Jean.

Weitere Interessante Artikel und Links zu diesem Thema:

 

 

 

Share Button

Ersten Kommentar schreiben

Antworten

Ihre E-Mail-Adresse wird nicht veröffentlicht.


*