Bachelor Thesis: Design und Implementierung einer Windows Testumgebung zur Analyse von Sicherheitskonzepten unter Active Directory

Von Unternehmen zu Unternehmen findet man unterschiedliche Berechtigungen und Richtlinien. Ein Verzeichnisdienst kann Unternehmen dabei helfen, diese effektiv und zentral durchzusetzen. Mit der Möglichkeit Berechtigungen, Sicherheitsrichtlinien, Sicherheitsgruppierungen, Zugriffe und Anmeldungen zentral zu definieren beziehungsweise zu überwachen, bietet ein Verzeichnisdienst Sicherheit und Komfort, auf den viele Unternehmen heutzutage nicht mehr verzichten möchten.

Microsoft (MS) bietet mit Active Directory (AD) einen umfangreichen Verzeichnisdienst an. Innerhalb von AD können Gesamtstrukturen aufgebaut, konfiguriert und angepasst werden, um so die spezifischen Sicherheitsrichtlinien von Unternehmen zu erfüllen.

Das Ziel dieser Arbeit ist es, eine Testumgebung aufzusetzen, in der Sicherheitskonzepte unter AD analysiert und auf potentielle Schwachstellen untersucht werden können. Hierfür soll:

  • ein fiktives Unternehmen simuliert und in die Testumgebung integriert werden.
  • eine sichere Verbindung mit der Testumgebung ermöglicht werden.
  • eine Betrachtung von unterschiedlichen Angriffsszenarien in der Testumgebung ermöglicht werden.

Die Verwendung, Konfiguration und Analyse der Sicherheitskonzepte innerhalb der Testumgebung ist für Administratoren und Penetrationstester nützlich.

 

Realisierung der Testumgebung

Als Plattform für die Testumgebung wird die Cloud von MS Azure genutzt. In der AD-Struktur ist eine realitätsnahe Unternehmensstruktur dargestellt, welche über mehrere simulierte Arbeitsstationen, fiktive Mitarbeiterdatensätze und Abteilungen verfügt.

Testumgebungsnutzer können die Umgebung via Virtual Private Network (VPN), Secure Shell (SSH) und Remote Desktop Protocol (RDP) erreichen. Verbindungen mit Hilfe von VPN und SSH ermöglichen den Zugriff auf ein simuliertes Angreifersystem (im Subnetz “Tester”),um Angriffe und Aufklärungen gegen die AD-Struktur des fiktiven
Unternehmens zu simulieren.

Mit RDP-Dateien können Verbindungen zu den Systemen der fiktiven Mitarbeitern, sowie zu einem Server aufgebaut werden (in den Subnetzen “Marketing/Vertrieb”, “Entwicklung”
und “Servicedesk”). Die RDP-Verbindungen ermöglichen das Betrachten der Auswirkungen
von Angriffen und die Konfiguration von AD aus der Sicht eines Administrators.

 

Netzwerktopologie in MS Azure

 

Für die Stabilität und das Zurücksetzen der Testumgebung ist ein Wiederherstellungskonzept erarbeitet worden. Die Wiederherstellung ist auf zwei Dateitypen aufgeteilt: JavaScript Object Notation-(JSON-) Dateien und Desired State Configuration– (DSC-) Dateien. Die Netzwerktopologie wird durch JSON-Dateien gespeichert, welche über die Azure-Weboberfläche heruntergeladen werden können.

Über DSC-Dateien wird die interne AD-Konfiguration, bestehend aus Domains, Nutzer, Gruppen, Organisationseinheiten (OUs) und Gruppenrichtlinienobjekten (GPOs), festgehalten. Dies erlaubt den Testumgebungsadministrator, die Testumgebung auf einen gewünschten Zustand zurückzusetzen und erleichtert des Weiteren ein neues Aufsetzen der Testumgebung.

 

Exemplarische Analyse

Im Rahmen der Arbeit ist der Authentifizierungsdienst Kerberos analysiert worden. Wobei die Simulierung eines Kerberoasting– und eines Golden Tickets-Angriffs erfolgreich durchgeführt werden konnte. Initial wurde hierfür ein Passwort eines Unternehmensmitarbeiter durch Brute-Forcing aufgedeckt, von diesem Account aus sind die Schritte für Kerberoasting ausgeführt worden.

Für die Ausführung von Kerberoasting musste die Verschlüsselung der Kerberos-Tickets verändert werden, von AES zu RC4. Dies gelang aus der Position eines Angreifers nicht und wurde über die Berechtigungen eines AD-Administrator umgesetzt. Durch Kerberoasting ist der Zugriff auf einen weiteren Account erlangt worden, welcher über ausreichend Berechtigungen verfügt, um ein Golden Tickets zu erstellen und die Verschlüsselungen der Tickets zu beeinflussen.

 

Fazit

Die Sicherheit einer AD Struktur und die erfolgreiche Nutzung der Sicherheitskonzepte ist davon abhängig, wie Nutzer damit interagieren und von den durchgesetzten Einschränkungen, die innerhalb der AD-Struktur mittels Domains, OUs, GPOs und Berechtigungen der Accounts durchgesetzt werden.

Sicherheitskonzepte unter AD können einen sehr guten Schutz gegen Angriffe bieten, der jedoch von schwachen Nutzerpasswörtern und daraus resultierenden Schwachstellen beeinträchtigt werden kann. Zum Abschluss kann gesagt werden, dass die Arbeit erfolgreich abgeschlossen werden konnte.

Die Testumgebung eignet sich für die Erkennung und Ausführung von Angriffen gegen eine AD-Struktur sowie für die Analyse der Sicherheitskonzepte unter AD. Durch Azure kann die Testumgebung um gewünschte Dienste erweitert werden. Somit vergrößern sich auch die Möglichkeiten für Analysen von Sicherheitskonzepten. Die Testumgebung eignet sich als Trainingsumgebung für Penetrationstester und als Forschungsumgebung für IT-Experten.


Bei der TO können Studenten neben einem Praktikum oder einer Werkstudententätigkeit auch Abschlussarbeiten schreiben. In Zusammenarbeit mit unseren Spezialisten und der Hochschule werden dabei zukunftsweisende Themen an der Schnittstelle von Theorie und Praxis behandelt. Die spannenden Forschungsergebnisse dieser Arbeiten teilen wir in unserem Blog. Weitere Informationen: DEINE ZUKUNFT – Studenten – Abschlussarbeit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *