Nicht erst seit meinen sieben Sicherheits-Tipps1 erhalte ich Fragen, warum ich Windows und ein Active Directory2 am liebsten offline halte. Das klingt maximal unflexibel und in Zeiten von AI-generierten Cybersecurity-Slop3 erscheine ich als Außenseiter. Im heutigen Blogbeitrag kontextualisiere ich meinen Standpunkt, erkläre die technischen Hintergründe und lege dar, wie Ransomware funktioniert. Zuletzt zeige ich, wie in einem offline betriebenen AD trotzdem mit Internet und E-Mails wie gewohnt gearbeitet werden kann. Read more

Wer in seinem AD eine PKI ausgerollt hat, kann getrost mit dem Lesen abbrechen und weitergehen. Es gibt nichts zu sehen. Mein Bauchgefühl und die Erfahrung sagen mir jedoch, viele im Mittelstand haben keine und sind dem Python Skript von Alex Neff1 ausgeliefert. Wsuks2 setzt sich als Man-in-the-Middle zwischen einem Windows Update Server (WSUS) und den verschiedenen Server/Clients eines AD. Es spoofed in der ARP Tabelle die IP des WSUS. Bei Kontaktaufnahme (Default: Alle 24 Stunden) wird eine psexec64.exe zusammen mit einem Powershell auf die Rechner verteilt und ausgeführt, inklusive Elevation zum Administrator. Die Payload kann beliebig angepasst werden. Read more

Es ist wieder Microsoft-Patchday. In den verschiedenen Foren und Kommentaren1 häufen sich die regelmäßigen, echt peinlichen Nachfragen von verängstigten Administratoren: Wer hat’s schon installiert? Gibt’s Probleme? Irgendwelche Totalausfälle? Leute! Wenn die Updates eines Software-Lieferanten derart kritisch für Eure Infrastruktur sind, dann mitigiert das weg! Was ist Euer Job-Title nochmals? Wald-Wiesen-Windows Fensterschubser? Hier ein Impuls zum selbständig Denken und Handeln. Wie immer ohne Anspruch auf Vollständigkeit und Allgemeingültigkeit. Your mileage may vary. Read more

Schnell umsetzbare und technisch wenig aufwändige Tipps zum Absichern von Windows-Netzwerken: 1. Software Restrictions aktivieren Die seit XP in jedem Windows enthaltenen Software Restrictions1 aktivieren und per Gruppenrichtlinien im AD ausrollen. Wo alleinstehende Rechner außerhalb des AD im gleichen Segment stehen, müssen SRPs manuell in den lokalen Sicherheitsrichtlinien aktiviert werden.2 Auch wenn von Microsoft offiziell abgekündigt und bei Windows 11 aus Vorsatz oder Dummheit einen (leicht behebbaren) Bug eingebaut,3 stellen SRP weiterhin die sicherste und am weitesten funktionierende Implementierung eines App-Whitelisting dar. Read more

Beim gemütlichen Lesen des Abschlussberichtes1 des Ransomware Vorfalles bei der Südwestfalen IT (SIT) komme ich aus dem Kopfschütteln nicht raus. Neben den haarsträubenden Managementfehlern offenbart dieser weder Incident-Management noch eine gelebte Sicherheits-Kultur. Das i-Tüpfelchen bildet die Hinterlegung des Domänen-Administrator Passwortes in einer Gruppenrichtlinie. Es wurde festgestellt, dass das Kennwort des Domänen-Administrators intra.lan\Administrator seit 2014 in einem Gruppenrichtlinienobjekt in entschlüsselbarer Textform hinterlegt war. Da mein Blog auch von einigen Windows-Administratoren gelesen wird: Prüft bitte Eure ADs mit den frei verfügbaren Tools wie zum Beispiel PowerSploit2 oder veeam-creds3. Automatisiert können EventID Logs mit Graylog4 oder Chainsaw5 überprüft werden. Read more

Selten sind Realitätsabgleiche von infrastrukturellen und personellen Entscheidungen so schnell und brutal. Aktuelle “operative Herausforderungen” eines mir persönlich bekannten mittelständischen Unternehmens erinnern an nachfolgendes Internet-Meme und machen es zum Zitat des Tages: The dildo of consequences rarely comes lubed. Das Bemerkenswerte: Vor 3-5 Jahren hielt man noch alle Instrumente zum Verhindern in den Händen - von Ransomware- bis hin zu Supply-Chain-Angriffen1. Doch wenn bewusst von einem Microsoft AD isolierte Systeme als “Insellösungen” belächelt, klare Konzepte als “zu kompliziert” nicht verstanden, Datenschutz bzw. Informationssicherheit als “Hindernis” betrachtet werden, ist das Resultat wenig überraschend: Read more

Vor einem Jahr hat Microsoft rückwirkend bis Windows 2008 Server KB50202821 veröffentlicht, das einen Lockout auch für lokale administrative Konten ermöglicht. Bis dahin war es ein bekanntes Phänomen, dass AD Gruppenrichtlinien dieses nicht verhindert haben. Umso erstaunlicher ist es, dass diese Policy ein Jahr nach Erscheinen in zumindest den mir bekannten Windows-Adminkreisen kaum bekannt, geschweige denn aktiviert ist. Selbstredend gehe ich davon aus, dass die zugehörigen Sperrzeiten gesetzt sind. Read more

Mich hat unlängst ein Mitarbeiter eines Kunden gefragt, warum er den empfundenen Aufwand mit Passwortmanager, TOTP, dieses und jenes habe. Früher hätte es das nicht gegeben und war alles besser. Ein Totschlag-Argument. Bis kurz vor dem Untergang hat die Titanic auch noch nie einen Eisberg geschrammt. Meine politisch korrekte Antwort: Die genutzten Microsoft-Produkte des Unternehmens machen diese Maßnahmen erforderlich. Das Risiko ist sehr hoch1. In Deutschland “platzen” täglich Netzwerke von Unternehmen mit vergleichbarer Software- und Infrastruktur-Landschaft. Die wochen- oder manchmal monatelangen Ausfälle und Datenverluste können für die Betroffenen existenzbedrohend sein. Read more