Script: Benutzer mit lokalen Admin Rechten gegen Gruppen ersetzen

Häufig werden Benutzer zur lokalen Gruppe “Administratoren” auf Servern oder PCs hinzugefügt, damit Benutzer Admin Rechte auf entsprechenden Rechnern erhalten. Zwar ist dies die einfachste Möglichkeit um einem Benutzerkonto Admin Rechte zu konfigurieren, aber leider verliert man hier schnell die Übersicht. Hier mal ein Beispiel der Mitglieder der lokalen Administrator Gruppe eines Servers: Die Benutzer Admin01 und Admin02 haben hier also Admin Rechte. Die Nachteile dieser Methode liegen auf der Hand: Kommt ein weiterer Benutzer hinzu, muss dieser auf allen Mehr »

Einfache Maßnahmen für mehr Sicherheit im AD (Teil 3): LAPS

In diesem dritten Teil der Artikelreihe “Einfache Maßnahmen für mehr Sicherheit im AD” geht es um die Passwörter der lokalen Administrator Konten. In vielen Umgebungen sind die lokalen Administrator Passwörter immer gleich, dies öffnet Malware mitunter aber Tür und Tor und macht das Lateral Movement erst möglich oder vereinfacht es zumindest. Unterschiedliche Passwörter für den lokalen Administrator für jeden Client und Server manuell zu vergeben, ist aber meist auch nicht praktikabel. Auch eine zyklische Passwortänderung auf Servern und Clients lässt Mehr »

Einfache Maßnahmen für mehr Sicherheit im AD (Teil 3): Admin Tiers

Die grundlegende Funktionsweise der Admin Tiers hatte ich bereits in Teil 1 dieser Artikelserie beschrieben, in diesem Artikel geht es nun um die Einrichtung von Admin Tiers in einer bestehenden Umgebung. Grundsätzlich ist es sinnvoll, wenn bereits mindestens ein Admin Host installiert wurde. Im Großen und Ganzen geht es in diesem Artikel erst einmal darum die Admin Tiers zu konfigurieren und durchzusetzen. Später können noch weitere Maßnahmen durchgeführt werden, welche die Sicherheit weiter verbessern können. Wenn Admin Tiers und Admin Mehr »

Einfache Maßnahmen für mehr Sicherheit im AD (Teil 2): Admin Host

In Teil 1 dieser Artikelserie wurden bereits Maßnahmen vorgestellt um die Sicherheit des Active Directory zu verbessern. Die nächsten Artikel widmen sich nun der Umsetzung der genannten Maßnahmen innerhalb eines bestehenden Active Directory anhand einer Beispielumgebung. In diesem Artikel geht es zunächst um den Admin Host. Einleitung Als Beispiel kann hier das fiktive Unternehmen “FrankysWebLab” dienen. Nehmen wir mal an, diese fiktive Firma hat einen Administrator, welcher sich um um den Betrieb der eigenen IT-Infrastruktur kümmert. In der fiktiven Firma Mehr »

Active Directory: Einfache Maßnahmen für mehr Sicherheit (Teil 1)

Um die Sicherheit innerhalb des Active Directory zu erhöhen reichen meist schon kleine organisatorische Maßnahmen in Verbindung mit kostenlosen Tools. Viele weit verbreitete Angriffswege können mit ein paar kleinen Änderungen und recht einfachen Maßnahmen zumindest schon deutlich eingedämmt werden. Im folgenden Artikel taucht oft das Wort “Angreifer” auf, mit “Angreifer” ist allerdings nicht unbedingt eine Person gemeint, die es sich zur Aufgabe gemacht hat in ein Netzwerk einzudringen. “Angreifer” steht im folgenden Artikel auch für automatisierte Schadsoftware, welche mitunter darauf Mehr »

Tipp: ADACLScanner hilft beim Audit des Active Directory

Gerade in größeren und vor allem älteren Active Directory Umgebungen, häufen sich mit der Zeit eine Vielzahl von Berechtigungen und Delegierungen an. Oft finden sich darunter auch Berechtigungen mit verwaisten SIDs, beispielsweise wenn der Benutzer bereits gelöscht wurde, die ACL aber noch besteht. Diese verwaisten SIDs kennen viele von Fileservern und deren Berechtigungsstruktur. Um die Berechtigungen innerhalb des Active Directory zu analysieren und zu auditieren, kann das Script “ADACLScanner” von Robin Granberg eingesetzt werden. Beim ACACLScanner handelt es sich um Mehr »

Active Directory und Exchange Server über EWS API angreifbar

Derzeit gibt es eine Sicherheitslücke in allen Exchange Server Versionen, welche es ermöglicht via EWS an Domain Administrator Berechtigungen zu kommen oder beispielsweise E-Mails umzuleiten. Besonders kritisch macht diese Lücke, dass sie sich Remote ausnutzen lässt. Der Angreifer muss lediglich Zugriff auf ein Postfach des Exchange Servers haben. Da die EWS API und oft auch das EAC aus dem Internet erreichbar ist, sollte in diesem Fall also schnell reagiert werden. Es gibt sogar ein HowTo inkl. der nötigen Scripts die Mehr »

Migration Domain Controller zu Server 2016

Ich habe nun schon einige Mails bezüglich der Migration von Domain Controllern erhalten, die noch mit einem älteren Betriebssystem laufen. In den meisten Mails geht es darum, die IP-Adresse des ursprünglichen Domain Controllers beizubehalten. Die Umgebungen, die in den Mails geschildert wurden, waren alle samt ähnlich, nur das Betriebssystem auf dem der ursprüngliche Domain Controller läuft variiert. In den meisten Fällen gab es nur einen Domain Controller der auf Windows Server 2008 läuft und nun durch Windows Server 2016 ersetzt Mehr »

Active Directory: Mehrere Firmen teilen sich ein Active Directory

Ich habe nun schon häufiger Anfragen bekommen, in denen die Frage gestellt wurde, wie sich mehrere Firmen ein Active Directory teilen können. In der letzten Anfrage ging es um eine Firma die eine andere Firma aufgekauft hatte. Die Firmen sollten sich nun die Infrastruktur teilen. In der Standardeinstellung eines Active Directory haben allerdings alle Benutzer Leserechte, dies war nun nicht mehr gewünscht, die Firmen sollten nur die jeweils eigenen Benutzer sehen, trotzdem aber im gleichen AD verwaltet werden. Ich habe Mehr »

Erstellung / Wartung der AD Benutzer aus einer SQL Datenbank

In unserem Unternehmen haben wir vor kurzem ein neues ERP eingeführt, welches unter anderem auch die komplette Personalverwaltung beinhaltet. Die Software nutzt als Datenbank MS-SQL Server. Da unser Prozess in der EDV für einen neuen Benutzer sehr komplex ist, und oft Kleinigkeiten vergessen werden, habe ich versucht die Erstellung so gut wie möglich zu automatisieren. Das geht ja dank Powershell recht gut. Ich habe mir dazu einen View im SQL Studio gebaut, der alle Informationen aus der Personalverwaltung enthält: Da Mehr »