CDC Germany: In roten und goldenen Wäldern

Bei der Cloud & Datacenter Conference Germany 2018 in Hanau haben unsere Consultants Robin Beismann und Nils Kaczenski eine Session zur Sicherheit von Active-Directory-Umgebungen gehalten. Der Vortrag unter dem Titel “In roten und goldenen Wäldern” sorgte für volles Haus: Mehr als 80 Teilnehmer entschieden sich für die Session, die zeitgleich mit vier anderen Vorträgen am Dienstag, 15. Mai 2018, stattfand.

Foto Vortrag 1

Nils Kaczenski (links) und Robin Beismann (rechts) bei ihrem Vortrag auf der CDC Germany

Im Mittelpunkt der Session standen erweiterte Angriffe auf Active-Directory-Domänen, in denen Angreifer mit Techniken wie “Pass the Hash” und “Golden Ticket” die Kontrolle über das Netzwerk übernehmen. Besonders problematisch bei solchen Angriffen ist, dass ein “Golden Ticket” dem Angreifer dauerhaft volle Rechte in der Infrastruktur verleiht – ohne dass die Administratoren eine Chance haben, dies auch nur zu bemerken. In einer Live-Hacking-Demo zeigte Robin Beismann den schockierten Teilnehmern, wie leicht solch ein Angriff in üblichen Umgebungen ist.

Daran anschließend zeigten unsere Consultants auf, welche Maßnahmen IT-Verantwortliche ergreifen können, um Angriffe dieser Art wirkungsvoll zu verhindern. Konzepte wie “Administrative Tiering” und ein “Red Forest Design” erfordern dabei hohen Aufwand, können durch konsequente Trennung administrativer Rechte aber für einen grundlegend sicheren Betrieb sorgen.

Nils Kaczenski zeigt das Konzept „Administrative Tiering“

Noch Stunden nach ihrem Vortrag wurden unsere Berater von aufgewühlten Teilnehmern mit Fragen gelöchert. Die Sicherheit in AD-Umgebungen treibt auch zwanzig Jahre nach der Einführung des Active Directory offenbar die Administratoren um.

Die Folien des Vortrags mit ergänzenden Notizen finden Sie hier zum Download. Ebenfalls enthalten ist eine Anleitung für das Live-Hacking mit Mimikatz, wie Robin Beismann es gezeigt hat – Nachmachen natürlich auf eigene Gefahr und nur in Demo-Umgebungen.

Download: https://blog.michael-wessel.de/wp-content/uploads/2018/05/CDC-2018-Red-Forest-Handout.pdf

Unser Ausblick zur EU-Datenschutzgrundverordnung

Am 25. Mai 2018 endet die Übergangsfrist zur EU-Datenschutz-Grundverordnung. Das Ziel der Verordnung ist es, eine Vereinheitlichung des europäischen Datenschutzrechtes und den damit verbundenen Ersatz der nationalen Rechtsbestimmungen durchzuführen. Als Resultat entstehen neue Anforderungen an Technik und Organisation von Unternehmen. Erhebliche Veränderungen stehen an und bei groben Verstößen drohen hohe Bußgelder. Aus diesem Grund ist es an der Zeit, dass Unternehmen Datenschutz als Managementaufgabe begreifen und, wenn noch nicht geschehen, zielführende Maßnahmen in die Wege leiten.

Für Firmen, die sich bisher noch keinen strukturierten Plan zur Umsetzung der Datenschutzverordnung erarbeitet haben, bieten wir maßgeschneiderte Pakete an, die allen Anforderungen gerecht werden. Allerdings wird die Zeit bis zum 25. Mai langsam knapp und der Aufwand zur Einführung einer Datenschutzlösung sollte nicht unterschätzt werden. Wichtig ist, dass zumindest die öffentlich sichtbaren Anpassungen an die DSGVO, wie z.B. eine Datenschutzerklärung auf der Webseite, bis zur Einführungsfrist vollzogen sind. Zudem richten sich die Aufgaben und Anforderungen der DSGVO nach der jeweiligen Ausgangssituation im Unternehmen. Diese kann abhängig von der Unternehmensgröße und -kultur stark variieren. Auch wenn bereits ein Maßnahmenplan erarbeitet wurde, unterstützen wir bei der Umsetzung der individuellen DSGVO Strategie. Michael Wessel bietet unterschiedliche IT-Lösungen und Instrumente, mit denen jede Herausforderung bewältigt werden kann.

Erfahren Sie mehr über unsere DSGVO Kompakt-Pakete:
www.michael-wessel.de/dsgvo

Der Countdown läuft für Windows 7 und Windows Server 2008

Der Countdown läuft: Der Support für Windows 7, Windows Server 2008 und einige weitere Produkte läuft am 14. Januar 2020 endgültig aus. Das ist zwar noch ein paar Monate hin – aber nicht mehr richtig lange. Wer diese Produkte also noch einsetzt, sollte nun konkret die Ablösung planen.

Folgende wichtige Produkte haben das Support-Enddatum für den „Extended Support“ am 14. Januar 2020:

  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2
  • Exchange Server 2010

Ein paar Monate später, am 13. Oktober 2020, folgen dann Office 2010 und SharePoint 2010.

Der Microsoft Support Lifecycle gibt an, welche Unterstützung der Hersteller leistet

„Der Countdown läuft für Windows 7 und Windows Server 2008“ weiterlesen

Tenfold erleichtert Berechtigungsmanagement

Letzte Woche waren einiger unserer Kollegen vor Ort auf der SecIT Hannover, einer regionalen Fachveranstaltung für Security-Anwender und Anbieter. Mit informativen Vorträgen und Ständen lieferte die Messe ein umfangreiches Rahmenprogramm.

Innovativ war der Stand von Tenfold, wo man sich über die Funktionsweise und Vorzüge dieser IT-Lösung informieren konnte.  Erleichtert wird die Organisation von Benutzerkonten und Berechtigungen.

Für weitere Informationen zu diesem Thema kontaktieren Sie gerne Ihren Ansprechpartner bei michael wessel:

+49 (511) 260 911 500
vertrieb@michael-wessel.de

Lohnt sich eine Cyber-Versicherung?

Seit einigen Jahren bieten auch in Deutschland diverse Versicherungsunternehmen Cyberversicherungen an. Vor dem Hintergrund spektakulärer, von den Mainstream-Medien aufgegriffener Fälle von Angriffen (Locky, Goldeneye, etc.) rücken diese Produkte derzeit stärker ins Rampenlicht. Die Produktkategorie ist zwar noch recht neu, weist aber hohe Wachstumsraten auf, zumindest in den USA, wo Zahlen vorliegen. In den USA beträgt das Marktvolumen – je nach Quelle – zwischen 1,3 und 2 Milliarden Dollar. „Lohnt sich eine Cyber-Versicherung?“ weiterlesen

Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen. „Security/Wireless: WPA2-KRACK-Leak“ weiterlesen

Nach Sicherheitsvorfall: Citrix stellt neue NetScaler Builds bereit

Es war ein beispielloses Szenario: Für mehrere Tage waren keinerlei Firmware-Versionen von Citrix NetScaler zum Download verfügbar, zurückgezogen aufgrund eines nicht näher spezifizierten „Issues“, der gefunden worden sei.

Die Verweise auf Best Practises und Secure Deployment Guides legten bereits nahe, dass ein Sicherheitsrisiko im Bereich des Management Access vorliegen dürfte. Dieser ist immer auf der NetScaler IP (NSIP) als der primärer Management-IP zugänglich und kann auf jeder Subnet IP (SNIP) ebenfalls aktiviert werden. Welcher Dienst genau betroffen sei (in Frage kamen SSH oder der Webserver für die GUI), war nicht erkennbar. In den allermeisten Deployments  jedoch dürfte der verwundbare Dienst ohnehin nur im Management-Netz erreichbar gewesen sein, gemäß Best Practises sogar nur für explizit berechtigte Admin-Arbeitsplätze. Insofern erschien die Maßnahme überraschend heftig, zu der Citrix mit dem Zurückziehen sämtlicher Builds griff.

Jetzt hat Citrix neue Builds der supporteten Versionen 10.1, 10.5, 10.5e, 11.0, 11.1 und 12.0 bereitgestellt. Im zugehörigen Security Bulletin ist nun auch ausgeführt, worum es sich handelt: Die Authentifizierung am Management Interface kann unter bestimmten Umständen umgangen werden, so dass Unbefugte administrativen Zugriff erlangen können.

Zeitnahe Updates sind dringend angeraten. Derweil die schon empfohlenen Best Practises zum sicheren Deployment. In allen Punkten unterstützen wir zahlreiche Unternehmen aktiv – kommen Sie gerne auf uns zu, wenn Sie Fragen haben.

ADFS und User-Zertifikate in Windows Server 2016

ADFS arbeitet typischerweise mit einer “klassischen” Benutzeranmeldung über Benutzername und Kennwort. Hierzu wird in der Regel das AD-Konto des betreffenden Anwenders herangezogen. Seit einigen Versionen bietet ADFS allerdings auch eine zertifikatsbasierte Anmeldung für den Anwender. Diese kann an die Stelle der Kennwortanmeldung treten, man kann sie aber auch als zweiten Faktor nutzen.

Bis einschließlich Windows Server 2012 R2 gab es dabei aber eine gravierende Einschränkung: Damit ADFS die Userzertifikate prüfen kann, musste der Client (also der Rechner des Anwenders) eine parallele Verbindung über Port 49443 herstellen. Das war oft nicht möglich, weil dieser Port in vielen WLANs gar nicht ansprechbar ist (z.B. in Hotels). Daher hat Microsoft das Verfahren geändert. In Windows Server 2016 lässt sich die User-Anmeldung per Zertifikat nun über den (ohnehin verwendeten) Standardport 443 durchführen.

Damit das aber gelingt, muss auf dem ADFS-Server der Endpoint “certauth.farmname.tld” erreichbar sein. Schlauerweise trägt dieser einen separaten Hostnamen, sodass dieser auch in dem TLS-Zertifikat für die ADFS-Farm als zusätzlicher Hostname auftauchen muss (Subject Alternate Name).

Details zu den neuen Anforderungen an die ADFS-Konfiguration liefert dieses Dokument:

[AD FS 2016 Requirements | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/ad-fs-2016-requirements