Guido Grillenmeier
Die Anzahl und der Umfang der verwirrenden und riskanten Sicherheitseinstellungen in Active Directory werden mit jedem neuen Cyberangriff besser bekannt. Es stimmt zwar, dass viele dieser Schwachstellen auf riskante Konfigurationen zurückzuführen sind, die sich im Laufe der Zeit in älteren Umgebungen angesammelt haben, aber IT-Teams müssen dennoch auf problematische Einstellungen achten, die in Windows Server 2022 standardmäßig vorhanden sind.
Eine Einstellung, mit der sich jedes IT-Team sofort befassen sollte, ist die vorausgefüllte "vor Windows 2000 kompatible Zugriffsgruppe" mit dem Sicherheitsprinzip "Authentifizierte Benutzer". Diese Einstellung kann Eindringlingen Tür und Tor öffnen, wie ich gleich zeigen werde.
Um zu verstehen, warum diese Einstellung so problematisch ist, lassen Sie uns einen Blick auf die Geschichte der Delegierung von Berechtigungen und der Zuweisung von Richtlinien in AD werfen, damit Sie eine fundierte Entscheidung darüber treffen können, wie Sie diese Einstellung in Ihrem Unternehmen handhaben.
Kompatibel mit Windows NT sein oder nicht sein ...?
Ich hätte nie gedacht, dass ich einen neuen Artikel schreiben würde, der sich auf NT reimt. Es gibt einen guten Grund, warum wir heute nicht mehr über Windows NT sprechen. Es ist Geschichte. Es ist eine Technologie aus dem letzten Jahrhundert. Es war zwar ein großer Schritt nach vorn für Microsoft und entsprach dem Eintritt in den Unternehmensmarkt im Jahr 1993, aber das Betriebssystem Windows NT wurde seit der Veröffentlichung von Windows 2000 ganz zu Beginn dieses Jahrhunderts durch neuere und sicherere Versionen ersetzt. Und auf der Serverseite hielt sich Microsoft sogar an den Namensstandard, das Jahr in der Nähe des Veröffentlichungsdatums an den Namen des Betriebssystems anzufügen. So wurde vor wenigen Wochen Windows Server 2022 veröffentlicht.
Eine wesentliche Änderung mit Windows 2000 war die Ablösung des Windows NT-Domänenkonzepts - ein flaches Verzeichnis zur Authentifizierung von Benutzern und Rechnern im Netzwerk eines Unternehmens - durch das wesentlich skalierbarere und sicherere Active Directory. Neben dem Konzept der Domänen führte AD auch Domänenbäume und -wälder ein und ermöglichte die Erstellung einer hierarchischen Struktur von Organisationseinheiten für Objekte innerhalb einer Domäne, die für die Delegierung von Berechtigungen und die Zuweisung spezifischer Richtlinien nützlich waren.
Genauso wichtig war ein weiterer entscheidender Unterschied zu seinem Vorgänger: AD führte die Möglichkeit ein, Berechtigungen nicht nur auf Objektebene (z.B. Benutzer, Gruppen, Computer usw.), sondern auch auf der Ebene der Attribute jedes Objekts (z.B. Abteilung, Telefonnummer, Gruppenmitgliedschaft usw.) festzulegen. Was in Windows NT noch nicht möglich war, ist nun eine schöne Unterscheidung zwischen der Möglichkeit, alle Attribute eines bestimmten AD-Objekts zu lesen oder zu schreiben, oder nur die für eine bestimmte Aufgabe relevanten.
Diese Fähigkeit war der Schlüssel für Unternehmen, um das Mantra der "geringsten Rechte" eines jeden guten Sicherheitsplans zu befolgen: Erteilen Sie Ihren Benutzern nur so viele Berechtigungen, wie sie für ihre Arbeit benötigen. Erteilen Sie ihnen nicht mehr Berechtigungen für den Zugriff auf Daten, die sie nicht benötigen. Andernfalls könnte ein Benutzer - insbesondere ein gefährdeter Benutzer - diese Berechtigungen missbrauchen und dem Unternehmen schaden.
In jeder Fileserver- oder SharePoint-Struktur, in der Dokumente für Benutzer des gesamten Unternehmens gemeinsam genutzt werden, ist es am natürlichsten, diese "Least-Privilege"-Regel zu befolgen. So müssen Benutzer beispielsweise Mitglied einer entsprechenden Sicherheitsgruppe sein, um Dokumente mit finanziellen oder anderweitig sensiblen Daten eines Unternehmens einsehen zu können - oder sogar die Existenz der Datei aufzulisten. Sie können jedoch bestimmte, nicht sensible Daten allen Benutzern über eine öffentliche Dokumentenfreigabe zur Verfügung stellen, auf die alle Benutzer Zugriff haben, ohne dass sie einer speziellen Gruppe angehören müssen. Dieser Zugriff würde in der Regel Ihrer Gruppe "Domänenbenutzer" oder sogar den Sicherheitsprinzipien "Authentifizierte Benutzer" oder "Jeder" gewährt.
Leider behandeln die meisten Unternehmen ihr AD nicht auf die gleiche Weise. Und ein Teil des Grundes sind die Standardberechtigungen, mit denen Microsoft neue AD-Domänen eingerichtet hat - und immer noch einrichtet. Anstatt die Gruppe "Weniger sichere Windows NT-Berechtigungen" zu nennen, entschied sich Microsoft bei der Veröffentlichung von Windows 2000 für die Einführung einer Gruppe namens "Pre-Windows 2000 kompatibler Zugriff".
Das Problem: Selbst bei der Neueinrichtung einer brandneuen AD-Gesamtstruktur auf Windows Server 2022-Servern hat sich Microsoft dafür entschieden, die Gruppe "Pre-Windows 2000 compatible access" mit dem Sicherheitsprinzip "Authenticated Users" vorzubelegen.
Warum ist das wichtig, und warum sollte Sie das interessieren?
Wie der Name schon sagt, wurde die Gruppe "Pre-Windows 2000 kompatibler Zugriff" geschaffen, um genau das zu sein: kompatibel mit Windows NT, d.h. um Berechtigungen auf Objektebene in Ihrem Active Directory zu gewähren, die mit dem weniger sicheren Windows NT kompatibel sind, anstatt die granulareren Berechtigungen auf Attributebene zu verwenden. Um diesen Artikel etwas abzukürzen, nenne ich sie von nun an einfach die "Pre-Win2K"-Gruppe.
Microsoft verschweigt die potenziell riskanten Auswirkungen in der Beschreibung der Gruppe nicht, wo es heißt: "Eine Abwärtskompatibilitätsgruppe, die Lesezugriff auf alle Benutzer und Gruppen in der Domäne erlaubt."
Und da Microsoft Ihnen mit dieser Abwärtskompatibilität so weit wie möglich "helfen" möchte, gewährt es volle READ-Berechtigungen für die entsprechenden Objekte (Benutzer und Gruppen) direkt an der Spitze jeder Domäne in Ihrer Gesamtstruktur, so dass diese in der gesamten OU-Hierarchie vererbt werden können.
Diese Standardberechtigungen sind festgelegt, obwohl Microsoft Sie nicht mehr fragt, ob Sie Ihre neue AD-Forest auf eine Weise bereitstellen möchten, die mit Windows-Versionen vor Windows 2000 (Windows NT) kompatibel ist. Diese Option wurde Ihnen im früheren Betriebssystem angezeigt, wenn Sie einen neuen AD-Forest einrichten wollten - und wenn Sie diese Option vor ein paar Jahren tatsächlich gewählt hätten, hätten Sie sogar "Anonyme Benutzer" und "Jeder" zur Gruppe "Vor-Win2K" hinzugefügt und ihnen damit umfassenden Lesezugriff auf Ihr AD gewährt - d.h. die Benutzer müssten sich nicht einmal authentifizieren, um Ihr AD zu lesen. Ich hoffe sehr, dass Sie diese Legacy-Berechtigungen, vor denen Sie jede Sicherheitsüberprüfung gewarnt hätte, bereits bereinigt haben.
Ist es in Ordnung, die Gruppe "Authentifizierte Benutzer" in der Vor-Win2K-Gruppe in Windows Server 2022 zu belassen?
Mit dieser Konfiguration gewähren Sie den Benutzern und Gruppen "volle LESE"-Rechte, d.h. jeder Benutzer und jeder domänenverbundene Computer kann die entsprechenden Daten in einem solchen Objekt lesen. Beachten Sie, dass jeder domänenverbundene Computer auch ein authentifizierter Benutzer in Ihrem AD Forest ist. Das bedeutet, dass ein Prozess - möglicherweise ein Trojaner -, der im Systemkontext eines domänenverbundenen Computers läuft, den gleichen Zugriff auf Ihr AD hat wie Ihre Benutzer, selbst wenn kein Benutzer auf diesen Computern angemeldet ist.
Um die Auswirkungen besser zu verstehen, müssen wir etwas tiefer graben und prüfen, welche Berechtigungen "Authentifizierte Benutzer" standardmäßig für alle Ihre Benutzer- und Gruppenobjekte in Ihrer Domäne gewährt werden. Immer wenn Sie ein neues Objekt erstellen, fügt AD dem neuen Objekt die Standard-Sicherheitsbeschreibung für das betreffende Objekt hinzu. Diese Berechtigungen werden dem Objekt "explizit" gewährt, d.h. nicht vererbt, und haben daher die höchste Priorität, wenn die Gesamtberechtigungen für das Objekt festgelegt werden. Beachten Sie, dass diese Konfiguration auch bedeutet, dass diese Standardberechtigungen eine höhere Priorität haben als eine vererbte Verweigerungsberechtigung, was Administratoren oft verwirrt.
Bei Gruppenobjekten machen die Vor-Win2K-Berechtigungen keinen Unterschied, da Authenticated Users ohnehin vollen READ auf jedes Gruppenobjekt erhält.
Das bedeutet, dass selbst wenn Sie die Berechtigung Authentifizierte Benutzer aus der Pre-Win2K-Gruppe entfernen, alle Ihre Benutzer weiterhin in der Lage sind, die Mitgliedschaften ALLER Gruppen in Ihrem AD Forest zu lesen. Wenn Sie diese Berechtigung nicht von ausgewählten Gruppen entfernen, kann jeder Benutzer in Ihrem Forest - auch ein potenzieller Eindringling - leicht feststellen, wer Mitglied einer beliebigen Gruppe in Ihrer Domäne ist. Für Ihre sensibelsten AD-Gruppen, wie z.B. Domänenadministratoren oder Unternehmensadministratoren, müssen Sie einige zusätzliche Schritte unternehmen, um diese Leseberechtigung zu entfernen, die ich in einem anderen Blog behandeln werde.
Bei Benutzerobjekten ist die Situation jedoch ganz anders. Die Standardberechtigungen, die Authentifizierten Benutzern für Benutzerobjekte gewährt werden, sind zwar ebenfalls recht umfangreich, wie z.B. das Lesen aller allgemeinen und persönlichen Informationsattribute, aber sie sind weniger weitreichend als die Erlaubnis, ALLE Attribute der Benutzer zu lesen.
Das bedeutet, dass verschiedene sensible Benutzerattribute für Authentifizierte Benutzer über diese Standardobjektberechtigungen NICHT zugänglich sind. Dazu gehören userAccountControl, memberOf und alle Attribute, die sich auf die Anmeldung beziehen, wie z.B. die letzte Anmeldung oder wann das Passwort zuletzt geändert wurde. Beachten Sie, dass Sie, wenn Sie Lesezugriff auf das Attribut userAccountControl erhalten, auch herausfinden können, bei welchen Benutzern das Flag "PasswordNotRequired" gesetzt ist und welche anderen Informationen die Entdeckung von unsicheren Objekten in Ihrem AD Forest ermöglichen könnten. Benutzer, die mit dem Flag "PasswordNotRequired" konfiguriert sind, wurden möglicherweise vor langer Zeit für irgendeine Anwendung erstellt und haben möglicherweise wirklich kein Passwort, wenn der AD-Administrator dies so eingestellt hat. Als solche sind sie ein leichter Köder für einen Eindringling.
Wenn Sie sich also dafür entscheiden, die Gruppe "Authentifizierte Benutzer" in Ihrer Gruppe "Kompatibler Zugriff vor Windows 2000" zu belassen, werden jedem Benutzer und Computer in der Domäne bei der Anmeldung automatisch die Berechtigungen dieser Gruppe zugewiesen. Und mit dieser Zuweisung ist jeder Prozess - einschließlich bösartigem Code, den ein Eindringling auf einem Client in der Domäne ausführen könnte, ohne dass ein Benutzer angemeldet ist - berechtigt, alle Benutzerattribute in Ihrer Domäne aufzuzählen.
Während Eindringlinge oft spezielle Tools und Skripte verwenden, um AD zu scannen und Schwachstellen zu finden, sollten Sie nicht glauben, dass es für Ihre normalen Benutzer schwierig ist, dasselbe zu tun - selbst ohne Administratorrechte auf ihrem Client können sie einfach den neuesten Sysinternals AD Explorer von Microsoft(https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer) herunterladen und fröhlich in Ihrem AD-Wald herumschnüffeln. Die folgenden Bilder zeigen, wie einfach das ist:
Sollte ich Authenticated Users aus der Vor-Win2K-Gruppe in Windows Server 2022 entfernen?
Ja, Sie sollten Authentifizierte Benutzer aus den vor Windows 2000 kompatiblen Zugriffsgruppen in jeder Domäne Ihres AD-Forests entfernen - auch wenn Microsoft dies immer noch als Standard für neue AD-Implementierungen vorsieht. Dies ist nur einer von vielen wichtigen Schritten, um die Sicherheit Ihres Active Directory zu erhöhen. Heutzutage besteht keine Notwendigkeit mehr, die Kompatibilität mit dem Windows NT-Sicherheitsmodell aufrechtzuerhalten.
Ihre Benutzer benötigen die von der Vor-Win2K-Gruppe gewährten Berechtigungen nicht. Sie können sich weiterhin anmelden. Auch Computer und Server, die mit einer Domäne verbunden sind, benötigen die Berechtigungen nicht; sie funktionieren weiterhin in Ihrer Domäne. Die Verarbeitung von Gruppenrichtlinien ist von dieser Änderung ebenfalls nicht betroffen. AD-Administratoren benötigen diese Berechtigungen ebenfalls nicht, da sie ansonsten die gleichen und mehr Berechtigungen erhalten.
Dennoch ist das Entfernen von Authentifizierten Benutzern aus der Pre-Win2K-Gruppe keine Änderung, die Sie einfach an einem Montagmorgen schnell in Ihrem AD durchführen. Testen Sie zunächst die möglichen Auswirkungen der Änderung in Ihrer eigenen Umgebung, da Sie möglicherweise Tools oder Lösungen verwenden, die die Konfiguration dieser Vor-Win2K-Berechtigungen in Ihrem AD erwarten und diese aus legitimen Gründen nutzen.
Beispiele für Lösungen oder Aufgaben, die standardmäßig die über Authentifizierte Benutzer gewährten Berechtigungen in der Vor-Win2K-Gruppe verwenden:
- Einige Sicherheitstools, die nicht mit einem privilegierten Konto ausgeführt werden oder im Sicherheitskontext eines Rechners laufen, sind möglicherweise ebenfalls nicht in der Lage, die in diesem Artikel besprochenen sicherheitsrelevanten Benutzerattribute zu lesen. Infolgedessen warnen diese Tools Sie möglicherweise nicht, wenn ein Benutzer mit dem Flag "PasswordNotRequired" konfiguriert ist. Sie können den entsprechenden Benutzer oder das Computerkonto zur Vor-Win2K-Gruppe hinzufügen oder die erforderlichen Berechtigungen separat erteilen.
- Hüten Sie sich vor Anwendungen, die sich über LDAP an AD binden, um Gruppenmitgliedschaften für die Sicherheit innerhalb der Anwendung aufzuzählen.
- Wenn Sie AD Federation Services (ADFS) verwenden, kann sich dies je nach Ihrer Einrichtung auf die WebForms-Authentifizierung auswirken. Dies kann durch spezielle Leseberechtigungen für Ihre ADFS-Server oder durch die Verwendung der Windows Authorization Access Group (WAAG) behoben werden.
- Wenn Sie die Registerkarte "Effektiver Zugriff" in den erweiterten Sicherheitseinstellungen auf Ihren Dateiservern verwenden, um zu prüfen, welche Berechtigung ein bestimmter Benutzer auf einen Ordner haben kann, verwendet der Server sein Computerkonto, um die Gruppenmitgliedschaften des Benutzers zu lesen. Dieser Vorgang schlägt fehl, sobald Authentifizierte Benutzer aus der Vor-Win2K-Gruppe entfernt wird. Auch wenn der tatsächliche Wert der Registerkarte "Effektiver Zugriff" im Allgemeinen fragwürdig ist, da sie verschachtelte Gruppen nicht richtig berücksichtigt, könnten Sie, wenn Sie sie dennoch verwenden möchten, Ihre Dateiserver-Computerkonten erneut zur Vor-Win2K-Gruppe hinzufügen oder auf andere Weise die entsprechenden Leseberechtigungen für Benutzerobjekte erteilen.
- Der Ivanti File Director-Client hat Probleme beim Lesen der Attribute homeDirectory und userAccountAttribute, so dass sich Benutzer nicht bei dieser Software anmelden können, es sei denn, Sie fügen das verwendete Konto zur Pre-Win2K-Gruppe hinzu oder erteilen die entsprechenden Berechtigungen direkt für Ihre Benutzerobjekte.
Ein zusätzlicher Vorteil, wenn Sie Ihre Pre-Win2k-Gruppe leeren, besteht darin, dass dies Sie sogar vor der PrintNightmare-Schwachstelle geschützt hätte, bevor Sie Ihre Domänencontroller mit dem kritischen Patch CVE-2021-1675 aus diesem Sommer gepatcht haben (siehe auch https://www.theregister.com/2021/07/01/printnightmare_windows_fix).
In jedem Fall ist es für den normalen und sicheren Betrieb Ihres Active Directory nicht erforderlich, dass "Authentifizierte Benutzer" Mitglied in der Gruppe "Vor Windows 2000 kompatibel" ist. Und natürlich auch nicht "Jeder" oder "Anonyme Benutzer". Wenn Sie die Gruppe leer lassen - oder zumindest nur mit einigen wenigen Benutzern und Computern besetzen, die sie benötigen -, wird dies sicherlich dazu beitragen, die Angriffsfläche Ihres AD zu verringern. Mit dieser Konfiguration ist es für Eindringlinge viel schwieriger, schwache Konten aufzuzählen und andere sicherheitsrelevante Daten aus Ihrem AD zu extrahieren.
Die wichtigsten Erkenntnisse für die Kompatibilitätseinstellungen vor Win2K in Windows Server 2022 und früheren Betriebssystemen
Active Directory ist voller Sicherheitsminenfelder, die Cyber-Angreifer ausnutzen können. (Um potenzielle Sicherheitslücken in Ihrer Umgebung zu identifizieren, laden Sie Purple Knightein kostenloses AD-Sicherheitsbewertungstool herunter, das mehr als 80 Indikatoren für eine Gefährdung oder Kompromittierung identifiziert und Anleitungen zu deren Behebung enthält). Aber die Einführung von Windows Server 2022 bedeutet nicht zwangsläufig, dass Sie all diese alten Einstellungen aufgeben müssen.
Nehmen Sie auf jeden Fall diese Änderungen in den Konfigurationseinstellungen vor, die sich auf die Kompatibilität mit Vor-Win2K beziehen:
- Denken Sie nicht zweimal darüber nach, Anonym und Jeder aus der vor Windows 2000 kompatiblen Zugriffsgruppe in jeder Domäne Ihres AD Forest zu entfernen.
- Tun Sie dasselbe für Authentifizierte Benutzer, aber seien Sie sich der möglichen Auswirkungen bewusst und seien Sie bereit, die Gruppe mit Systemen oder Benutzern neu zu besetzen, die auf die ihnen gewährten Berechtigungen angewiesen sein könnten.
- Entfernen Sie die Standard-Leseberechtigung für Authentifizierte Benutzer aus sensiblen Gruppen, um einzuschränken, wer deren Mitgliedschaften aufzählen kann. In meinem nächsten Blog erfahren Sie, wie Sie dies für die integrierten AD-Administratorgruppen tun können.
Sie müssen selbst entscheiden, ob Sie die Gruppe Authentifizierte Benutzer entfernen möchten, um Ihre AD-Sicherheit zu erhöhen. Sie könnten sich dafür entscheiden, das Risiko zu akzeptieren und mit diesen alten, Windows NT-ähnlichen Berechtigungen in Ihrem Active Directory weiterzuleben. Aber gehen Sie diesen Weg nur, wenn Sie die potenzielle Gefahr genau kennen.