Ein Angebot von

NetCease und NetSess

Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern.
Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern. (Bild: gemeinfrei/Pixabay / CC0)

Angreifer versuchen oft über ältere oder unsichere Server Zugriff auf Netzwerke zu erhalten. Auf den Servern werden dann Informationen zum Netzwerk zusammengetragen, um weitere Angriffe starten zu können. Solche Angriffe lassen sich mit Tools wie NetCease verhindern.

Haben sich Angreifer Zutritt zu einem Server oder Computer im Netzwerk verschafft, sammeln sie in den meisten Fällen Informationen zu Benutzerkonten und zu weiteren Geräten im Netzwerk. Diese Vorgänge werden auch als Reconnaissance (recon) bezeichnet. Besonders kritisch wird es, wenn Administratorkonten ausgespäht werden. Das kann schnell passieren, wenn Angreifer Zugang zu einem unsicheren Server im Netzwerk erhalten.

Um solche Angriffe im Netzwerk zu verhindern, haben zwei Programmierer des Microsoft Advanced Threat Analytics (ATA) Researchteams, Itai Grady und Tal Be’ery mit NetCease ein PowerShell-Skript entwickelt, das notwendige Einstellungen auf Windows-Servern vornimmt, um die Berechtigungen für den Zugriff zu verbessern, und erfolgreiche Hacker-Angriffe zu verhindern.

SMB Session Enumeration verhindern

Mit SMB Session Enumeration lassen sich Informationen von Servern auslesen, auch von Domänencontrollern. Dieses Auslesen setzt kein großes Fachwissen voraus, sondern kostenlose Tools wie NetSess können die vorhandenen Informationen schnell und einfach in der Befehlszeile anzeigen. Das Tool liest problemlos auch Daten von Windows Server 2016 und Rechnern mit Windows 10 aus. Dabei kann der Zugriff nicht nur lokal durchgeführt werden, sondern Anwender können problemlos über das Netzwerk Informationen abrufen. Sobald ein Zugang zum Netzwerk besteht, lassen sich alle vorhandenen Geräte auslesen.

Solche Tools haben die Aufgabe Benutzerkonteninformationen aus dem Netzwerk zu sammeln, auch von anderen Servern und Arbeitsstationen. Mit zusätzlichen Skripten und Programmen erhalten Angreifer so relativ schnell zuverlässige Informationen für weitere Angriffe. Diese Informationen lassen sich von jedem Benutzer auslesen, der sich mit dem internen Netzwerk verbunden hat. Es sind dazu keinerlei besonderen Rechte notwendig. Es lassen sich folgende Informationen auslesen:

  • Die IP-Adressen und Namen der verbundenen Computer
  • Die Benutzerkonten, die sich am Server angemeldet haben
  • Wie lange die Sitzung bereits aktiv ist
  • Wie lange die Sitzung aktiv ist, aber derzeit nicht verwendet wird

Die Rechte für das Abrufen von Informationen per SMB werden über die Registry gesteuert. Die Einstellungen dazu sind über den Pfad „HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/DefaultSecurity“ und hier über den Wert „SrvsvcSessionInfo“ zu sehen. Für diesen Wert sind standardmäßig folgende Berechtigungen eingetragen:

  • Administrators (Administratoren), Security Identifier (Sid) S-1-5-32-544)
  • Server Operators (Sid S-1-5-32-549)
  • Hauptbenutzer (Power Users) (Sid S-1-5-32-547)
  • Authentifizierte Benutzer (Authenticated Users) (Sid S-1-5-11)

Die meisten Angreifer versuchen über die authentifizierten Benutzer Zugriff auf die Informationen des Servers oder der Arbeitsstation zu erhalten.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Ausklappen
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Ausklappen
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44779923 / IoT)