• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Sicherheitslücke: Remotecodeausführung in Gruppenrichtlinien beheben

Feb 24, 2015 (Letztes Update) | Posted by Steve König KnowHow, Konfiguration |

 

Sicherheitslücke: Remotecodeausführung in Gruppenrichtlinien beheben

Im Februar-Patch behandelt Microsoft eine wichtige Sicherheitslücke, die Angreifern ermöglicht, Schadcode auf den PCs von Anwendern auszuführen.

Betroffen ist dabei die Funktion zur Ausführung von Batch-Dateien und Skripten – beispielsweise bei der Anmeldung am Client – auf allen Windows Client- und Server-Systemen (ab Windows Vista/Windows Server 2003).

Durch die Installation des Patchs und die Einrichtung der neuen Einstellung in den Gruppenrichtlinien „UNC Hardened Access“ können Sie die Sicherheitslücke durch das Nachladen von Skripten und die Ausführung von Schadcode durch deren Manipulation schließen.

Inhaltsverzeichnis

  • 1 Sicherheitslücke durch Nachladen von Skripten
  • 2 Gruppenrichtlinie: UNC Hardened Access
  • 3 Anleitung: Gesicherten UNC-Zugriff einrichten
  • 4 Links

 

Sicherheitslücke durch Nachladen von Skripten

Ein Man-in-the-Middle-Angriff für die Remotecodeausführung könnte so verlaufen:

Ein Angreifer überwacht den Traffic in einem Firmennetzwerk.
Er sieht, dass Clients bei der Anmeldung eine Datei von dem UNC-Pfad \\10.0.0.100\Share\Login.bat anfordern.

Der Angreifer setzt nun einen Share auf seiner eigenen Maschine auf.
Dabei entspricht der UNC-Pfad genau dem Pfad, mit dem das Opfer die Datei anfordert (\\*\Share\Login.bat).
Die Batch-Datei auf der Maschine des Angreifers enthält dabei natürlich nicht (nur) die originale Funktion, sondern auch den Schadcode, der auf dem PC des Anwenders ausgeführt werden soll. Schließlich modifiziert der Angreifer am entsprechenden Switch den ARP-Table, der für die Auflösung der Adressen im Netzwerk verantwortlich ist.

Man-in-the-Middle Angriff | Quelle: Microsoft

Man-in-the-Middle Angriff | Quelle: Microsoft

Beim nächsten Login wird dann nicht die Batch vom eigentlich verantwortlichen Server, sondern von der Maschine des Angreifers angefordert. Diese wird dann über den lokalen Nutzeraccount oder sogar dem SYSTEM-Account ausgeführt und kann dem Angreifer Zugang zu dem System verschaffen.

Der Angreifer könnte unter Umständen:

  • Programme installieren
  • Dateien löschen oder manipulieren oder gar
  • neue Benutzerkonten mit Administratorrechten anlegen.

 

Gruppenrichtlinie: UNC Hardened Access

Um diesen sogenannten „Man-in-the-Middle-Angriff“ zu unterbinden, führt Microsoft mit dem Patch KB3000483 den gesicherten UNC-Zugriff („UNC Hardened Access“) als Gruppenrichtlinie ein. Durch verschiedene Einstellungen wird hier dafür gesorgt, dass der Client bei UNC-Anfragen die Identität des Servers immer überprüft und somit einen Man-in-the-Middle-Angriff identifizieren und enttarnen könnte.

Doch nur mit der Installation des Patchs allein ist es nicht getan.

 

Anleitung: Gesicherten UNC-Zugriff einrichten

Die Funktion ist standardmäßig deaktiviert und muss noch durch einen Admin konfiguriert werden. Dazu geht man folgendermaßen vor:

1. Installieren Sie das Sicherheitsupdate direkt über Windows Update oder laden Sie sich die entsprechende Version im Download Center von Mircosoft herunter.

2. Melden Sie sich am Server mit Administratorrechten an und öffnen Sie die Konsole zum Verwalten der Gruppenrichtlinien. Navigieren Sie anschließend im Baum links zu der gewünschten Domäne und wählen Sie dann das Gruppenrichtlinienobjekt aus, dass Sie bearbeiten möchten. Öffnen Sie das Kontextmenü und wählen Sie Bearbeiten (Edit) aus.

Group Policy Management

3. Navigieren Sie in der Editorkonsole für das Gruppenrichtlinienobjekt zu dem Pfad Computerkonfiguration/Administrative Vorlagen/Netzwerk/Netzwerkanbieter (Englisch: Computer Configuration/Administrative Templates/Network/Network Provider). Dort finden Sie die neue Einstellung Hardened UNC Paths (Abgesicherte UNC-Pfade). Öffnen Sie wieder das Kontextmenü und wählen Sie Bearbeiten (Edit) aus.

UNC Hardened Access - Hardened UNC Path

4. Aktivieren Sie in den Einstellungen das Optionsfeld Aktiviert (Enabled), damit die abgesicherten UNC-Pfade wirksam werden. Um festzulegen, für welche UNC-Pfade welche Überprüfungen durchgeführt werden sollen, scrollen Sie im Bereich Optionen, bis Sie die Schaltfläche Anzeigen (Show) sehen und klicken Sie diese.

UNC Hardened Access - Hardened UNC Paths Enabled

5. Es öffnet sich eine Tabelle, in der Sie in die linke Spalte einen UNC-Pfad und in die rechte Spalte eine entsprechende Option, die für diesen Pfad gelten soll, eintragen können. Der UNC-Pfad kann in einem der folgenden Formate angegeben werden:

  • \\<Server>\<Freigabe>: Der Konfigurationseintrag gilt für die Freigabe, die auf dem angegebenen Server den angegebenen Namen hat.
  • \\*\<Freigabe>: Der Konfigurationseintrag gilt für die Freigabe, die auf einem beliebigen Server den angegebenen Namen hat.
  • \\<Server>\*: Der Konfigurationseintrag gilt für alle Freigaben auf dem angegebenen Server.

Für die Spalte Wert (Value) auf der rechten Seite stehen Ihnen pro Eintrag drei Optionen zur Verfügung:

  • RequireMutualAuthentication=1: Vom UNC-Anbieter wird gefordert, dass dieser die Identität des Remoteservers authentifizieren kann. Durch die zusätzliche Identifikation des Servers gegenüber dem Client sollen Man-in-the-Middle-Angriffe verhindert werden können.
  • RequireIntegrity=1: Client und Server setzen Prüfsummen ein, um die Integrität der Daten zu gewährleisten und somit deren Manipulation unterbinden zu können.
  • RequirePrivacy=1: Client und Server müssen zum Datenaustausch eine Verschlüsselung verwenden, sodass die Inhalte der Kommunikation von einem Dritten mit Lesezugriff nicht gelesen werden können.

Diese Einstellungen für die Gruppenrichtlinien können auch für einzelne UNC-Pfade explizit ausgeschalten werden, indem hinter dem Gleicheitszeichen nach der Einstellungen als Wert eine 0 statt einer 1 angegeben wird. Mehrere Einstellungen werden mit Komma getrennt.

Hardened UNC Path - Show Contents

6. Klicken Sie abschließend zwei Mal auf OK, um Ihre Eingaben zu bestätigen. Sie können nun Ihre Einstellungen auf einem PC testen, für den das geänderte Gruppenrichtlinienobjekt gilt. Melden Sie sich dazu an dem PC an und führen sie in der Konsole den Befehl gpupdate /force aus. Eventuelle Fehler bei den Einstellungen finden Sie anschließend in der Ereignisanzeige unter: Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows \Netzwerkanbieter\Betrieb (Englisch: Event Viewer\Application and Services Logs\Microsoft\Windows\Networkprovider\Operational)

Die Ausführung diese Updates wird, um die Sicherheit des Firmennetzwerkes und der darin befindlichen Computer gewährleisten zu können, für alle Gruppenrichtlinien empfohlen, die über Remoteserver Batch-Dateien und andere Skripte nachladen.

 

Links

Microsoft Summary zum Februar Patch

Weitere Informationen zum Thema:

Technet-Beitrag zur Sicherheitslücke

Microsoft Support Seite zu Hardened UNC Path

Artikel von Heise-Online zum Patch

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 24.02.2015
Tags: Group PolicyPatchSchadcodeSicherheitslücke
0

You also might be interested in

Alle Gruppenrichtlinien mit Erklärungen und Registrypfaden

Mrz 30, 2012

Diese Woche habe ich einen sehr Interessanten Link in Bezug[...]

PowerShell group policy cmdlets

Windows Powershell: Group Policy Cmdlets

Mrz 19, 2012

Der Windows Server 2008 R2, bzw. die Windows 7 Remote[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next