D/EU: Benutzer mit lokalen Administratoren Rechten als Gefahr für den Datenschutz im Unternehmen
Rubrik: NachrichtenF.Fiesel, 2B Advice – the privacy benchmark
In vielen Unternehmen genießen Benutzer das Privileg, dass sie sich auf ihrem Computer mit lokalen Administratoren Rechten anmelden können. Die Unterscheidung der normalen Benutzer zu den Domänen Administratoren liegt darin, dass die Domänen Administratoren Rechte auf Domänen-Ebene besitzen und die lokalen Administratoren nur auf ihrem eigenen System. Mit Hilfe einiger freiverfügbarer Tools ist es jedoch möglich, dass lokale Administratoren Zugriff auf Ressourcen erhalten, die eigentlich nur Domänen-Administratoren vorbehalten sind.
Möglich ist das durch einen sogenannten „Pass-the-Hash“ Angriff. Anhand des folgenden Beispiels soll die Funktionsweise des Angriffs verdeutlicht werden:
Benutzer A hat lokale Administrationsrechte auf seinem Rechner Client X.
Domänen-Administrator B hat sich irgendwann zu Wartungszwecken lokal auf Client X angemeldet und nachher auch wieder abgemeldet.
Nun sind die Zugangsdaten, also auch das Passwort des Domänen-Administrators in gehashter Form auf Client X gespeichert. Dieses Passwort ließe sich nur mit enormen, nicht vertretbarem Aufwand entschlüsseln. Durch die Möglichkeit des Single-Sign-On in Windows Domänen, lässt sich die Entschlüsselung umgehen, indem man statt des Domänen Administratoren Passworts einfach den zugehörigen Hash des Passwortes mit Hilfe von frei verfügbaren Tools absendet.
Um an den Hash des Passwortes des Domänen Administrators zu gelangen, benötigt man in diesem Beispiel lediglich lokale Administrationsrechte.
Durch diese Problematik wäre es möglich, dass Benutzer mit lokalen Administratoren Rechten Zugriff auf sensible Daten im Unternehmen erlangen könnten, womit die Sicherheit dieser Daten dann nicht mehr gegeben wäre.
Um dem Problem vorzubeugen, dass Daten durch diese Methodik abhanden kommen oder verändert werden, ist es ratsam, dass alle Benutzer nach Möglichkeit nur eingeschränkte Zugriffsberechtigungen besitzen und keine lokalen Administratoren Rechte. Zusätzlich ist es sinnvoll, wenn die Speicherung des „Domänen Administrator Passwort Hashes“ nur temporär erfolgt und automatisiert gelöscht wird.
Weitere Informationen, auch zur Vorbeugung gegen „Pass-the-Hash“ Angriffe, bietet das folgende Dokument von Bashar Ewaida zum Thema „Passthehash attacks – tools ans mitigation“ auf „sans.org“.
