065: Mit PingCastle zu mehr Sicherheit und Resilienz in Active Directory und EntraID

00:00:00: Hallo und herzlich willkommen zu einer neuen Folge von Blue Screen Wissen.

00:00:10: Wir wollen uns heute mal angucken, wie man als Administrator von einer Windows und Microsoft

00:00:15: lastigen Umgebung mal gucken kann, welche Risiken denn im eigenen Unternehmen und im

00:00:21: eigenen Netzwerk möglicherweise da sind.

00:00:24: Und das Werkzeug, mit dem wir uns dafür beschäftigen, ist das Werkzeug des französischen Entwicklers

00:00:30: Vincent Letout und nennt sich Pincastle.

00:00:34: Pincastle ist eine wundervolle Methode und Möglichkeit, um das eigene Active Directory

00:00:39: zu scannen und hier innerhalb von kürzester Zeit, und hier reden wir nicht wie in den

00:00:44: anderen Folgen von Stunden oder Tagen, sondern Minuten rausfinden kann, welche Schwachstellen

00:00:50: denn in der eigenen Umgebung, im eigenen Active Directory möglicherweise vorhanden sind.

00:00:56: Pincastle gibt es sowohl als kostenfreie Version, den Link dazu lege ich euch unten entsprechend mit in die Show Notes rein,

00:01:03: da könnt ihr euch das Ganze direkt runterladen und könnt für euch selber mal einen Scan durchführen.

00:01:08: Und das gibt es auch als bezahlte Version, die sogenannte Auditoren Lizenz.

00:01:12: Und mit diesem Werkzeug, mit der Auditoren Lizenz, gehen wir zum Beispiel auch in den Security Quick Check bei unseren Kunden,

00:01:19: weil man dort einfach noch besser aufbereitet Informationen bekommen kann,

00:01:24: weil man hier noch genauer sehen kann, in welcher Reihenfolge denn die gefundenen

00:01:28: Schwachstellen eigentlich angegangen werden sollten. Und ich spreche jetzt hier

00:01:32: so von der Überzeugung oder aus der Überzeugung heraus, dass es

00:01:36: Schwachstellen gibt, die wir finden. Und da muss ich sagen, das ist tatsächlich

00:01:40: in 100 Prozent aller Fälle so, wenn wir heute bei einem Kunden reinkommen und im

00:01:45: Rahmen des Quick Checks oder durch eine andere Maßnahme eine Bewertung des Active Directories

00:01:50: durchführen, finden wir immer was. Das ist gar nicht mal die Schuld der Admins, die sich um das

00:01:56: System kümmern, sondern das sind halt einfach viele Altlasten, viele Dinge, die man halt einfach

00:02:01: in den letzten Jahren vielleicht auch vernachlässigt hat, weil es auch keine große Rolle gespielt hat.

00:02:07: Aber heute, 2024, ist es halt so, dass Angreifer, die es schaffen, im Unternehmen einen Fuß reinzukriegen,

00:02:16: zum Beispiel durch eine Phishing-Mail, halt tatsächlich diese Schwachstellen auch ausnutzen.

00:02:21: Vincent Le Tou als Entwickler ist maßgeblich auch an der Entwicklung des Angriffstoolkits Mimikatz beteiligt gewesen und

00:02:28: zum Teil ist er auch in der Security- und White-Hat-Szene immer noch sehr aktiv.

00:02:33: Pink Castle bietet uns sozusagen die White-Hat-Variante von einem echten Angriffstoolkit,

00:02:39: damit wir einfach in die Situation versetzt werden, das gleiche zu sehen,

00:02:43: was ein Angreifer auch sehen würde.

00:02:46: Wie läuft das Ganze ab?

00:02:47: Ihr ladet euch Pincastle herunter, z.B. über den Link in den Shownotes oder wir bringen das Ganze in der Auditorenlizenz mit zu euch.

00:02:55: Das ist komplett ohne Installation.

00:02:57: Wir müssen auch nicht auf einen Domaincontroller mit der Software.

00:03:00: Das einzige was wir brauchen sind halt entsprechende Berechtigungen, wenn wir diese Excel-Datei ausführen.

00:03:06: Und ja, dann läuft der Scanner im Grunde genommen schon los.

00:03:10: Das heißt, der Scanner durchforstet dann das Active Directory, führt verschiedene Prüfungen aus

00:03:17: und gibt uns dann nach ein paar Minuten einen Bericht als HTML-Datei aus,

00:03:21: wo ich dann ganz klar sehen kann, wie ist es denn um mein Active Directory momentan bestellt.

00:03:27: Das Ganze funktioniert dann auf einem Bewertungsmechanismus,

00:03:31: dem Risikoscore, der für die gesamte Umgebung gilt. Das ist also ein globaler Risikoscore, der hier angewendet wird.

00:03:38: Und darunter gibt es dann noch mal auf vier verschiedene Bereiche im Active Directory entsprechend noch mal eine Einzelbewertung.

00:03:45: Der Trick dabei ist, dass keiner der vier Bereiche dieser Scores niedriger sein wird

00:03:52: oder kann als der Gesamtscore.

00:03:53: Das heißt, ist in einem der vier Bereiche irgendwo eine große Problematik, wird auch

00:03:58: der Gesamtrisikoscore entsprechend niedriger.

00:04:01: Hoch sein. Was hier bewertet wird, sind zum Beispiel eben Anomalien, Sachen die

00:04:07: falsch konfiguriert sind, für die es halt eine Vorlage geben würde, wie man es

00:04:10: besser machen kann, oder auch auf der anderen Seite zum Beispiel eben.

00:04:15: Risiken im Bereich von sogenannten Stale Objects, Sachen die halt rumliegen

00:04:20: unnötigerweise, also ungenutzte Adminkonten oder Computerkonten, die schon lange nicht mehr benutzt worden sind.

00:04:25: Ja, und darunter geht es dann auch schon direkt im Prinzip in den vier Bereichen in die Bewertungsphase rein. Man bekommt in der kostenfreien Version dann für das jeweilige

00:04:36: Segment eine Beschreibung, welches Risiko ist dort gefunden worden und wenn man sich das Risiko

00:04:42: dann anschaut im Detail bekommt man auch direkt einen Hinweis auf die verschiedenen Dokumentationen,

00:04:47: auf CVEs, auf Schwachstellen Dokumentationen und eben auch wiederum Tipps, was man tun kann,

00:04:54: um die Umgebung an dieser Stelle sicherer zu gestalten. In der Auditorenversion geht das

00:04:59: noch ein gutes Stück weiter. Hier bekomme ich eine Art Fahrplan, den sogenannten Maturity Level,

00:05:05: also den Reifegrad der Umgebung von Level 1 bis Level 5. Und hier kann ich dann einfach

00:05:10: wesentlich strukturierter an die Probleme hin rangehen. Ich kann sagen, ich mache jetzt erstmal.

00:05:15: Alle Probleme in Level 1. Wenn die dann erledigt sind, geht es weiter in Level 2 und so weiter und

00:05:20: so fort. Und was auch noch mit dabei ist, ist dann eben eine Bewertung aus Sicht, welche möglichen

00:05:27: Angriffe wären denn in meiner Umgebung theoretisch denkbar. Das alles hat natürlich, wie vorhin gesagt,

00:05:33: erst dann Relevanz, wenn es ein Angreifer ins Unternehmen reingeschafft hat, denn dann wird

00:05:39: der Angreifer hergehen und genau das gleiche tun. Der guckt sich um, was gibt es hier, welche Rechte

00:05:44: habe ich aktuell, welche Informationen bekomme ich schon und sich daraus dann eben den Angriff

00:05:49: zusammen planen und halt auch durchführen. Dieses sogenannte horizontale Bewegen innerhalb

00:05:55: meiner Umgebung, ist genau das, was eben an der Stelle so gefährlich ist. Das heißt, der Angreifer wird sich Häppchenweise und Stück für Stück immer mehr.

00:06:04: Innerhalb meiner Umgebung bewegen und sich immer mehr Rechte aneignen und vielleicht dabei auch Systeme kaputt machen. Man nennt das im Englischen lateral movement.

00:06:14: Ja, und dafür ist eben Pincastle wie gesagt ein sehr sehr gutes Werkzeug.

00:06:18: Wir können mit Pincastle auch einen Export zum Beispiel der Umgebung machen, wenn man möchte.

00:06:24: Ich kann mir alle Computerkonten exportieren lassen, ich kann mir alle Benutzerkonten

00:06:27: exportieren lassen, jeweils dann in CSV-Dateien und auf Basis dieser CSV-Dateien mich dann

00:06:34: Stück für Stück einfach einem sicheren Betrieb nähern, indem ich dann eben obsolete Computerkonten

00:06:38: wegräume, indem ich aber auch vielleicht Betriebssysteme, die nicht mehr auf dem neuesten Stand sind.

00:06:43: Nachziehe und updatete, ungenutzte Computerkonten und Benutzerkonten entferne. Ich sehe auch,

00:06:50: wie gut ist die Accountsicherheit. Ich sehe ganz viele Informationen und das Tolle ist,

00:06:55: man kann nicht nur das lokale Active Directory damit bewerten, sondern man kann auch das Active

00:07:00: Directory in der Cloud, also Azure Active Directory bzw. EntraID von diesem Werkzeug

00:07:06: bewerten lassen. Und auch hier sehe ich dann in einer sehr schönen Aufbereitung, welche Schritte

00:07:11: müsste ich den Unternehmen, um meine Cloud-Welt von Microsoft ein Stückchen sicherer zu gestalten,

00:07:18: um hier einen Riegel vorzuschieben. Auch das ist, wie alles andere, was wir schon in den

00:07:23: vorherigen Folgen gehört haben, nichts, was man nur einmal tun sollte, sondern es empfiehlt sich

00:07:28: tatsächlich mindestens einmal im Monat so einen Scan durchzuführen, weil es natürlich auch so

00:07:35: ist, dass hier neue Probleme mit reinwandern. Also Pincastle bekommt auch regelmäßig Updates

00:07:40: Und letztes Jahr war es zum Beispiel ganz interessant zu sehen, in dem Moment wo Windows

00:07:47: Server 2012 R2 out of support und end of life gegangen ist, hatten wir natürlich wieder

00:07:54: eine größere Risikobewertung bei unseren Kunden, weil mit diesem Update von Pincastle,

00:08:01: was zu Windows Server 2012 R2 dazugehört, auf einmal natürlich ein höheres Risiko

00:08:07: gesehen wird. Und das soll ja auch so sein.

00:08:09: Das heißt, hier wirklich sinnvollerweise einmal im Monat mindestens ein Update machen

00:08:15: und Pincastle durchführen und dann mal vergleichen mit dem, was man denn im Vormonat so gefunden hat.

00:08:20: Eine weitere sehr gute Möglichkeit, wenn es dann um den Bereich Account-Sicherheit geht,

00:08:26: wäre dann noch ein Werkzeug von dem Hersteller NoBe4.

00:08:30: NoBe4 als Unternehmen wurde mitgegründet mit Kevin Mitnick. Kevin Mitnick, ein sehr bekannter Hacker.

00:08:39: Der ist leider letztes Jahr verstorben. Der hat auch sehr viele gute Bücher geschrieben,

00:08:43: die ich auch immer wieder sehr gerne empfehle.

00:08:45: Ja, hier gibt es zwei kostenlose Werkzeuge.

00:08:49: Die bekommt man, wenn man sich registriert auf der KnowBe4-Seite.

00:08:52: Werde ich auch unten in die Show Notes entsprechend mit verlinken.

00:08:55: Und da gibt es zum einen den Weak Passwort Test und den Breached Passwort Test.

00:09:00: Und mit diesen zwei Werkzeugen kann ich noch mal ein bisschen granularer

00:09:04: und schöner, wie ich finde, meine Account-Sicherheit bewerten in der eigenen Umgebung.

00:09:09: Ich habe die Möglichkeit hier, mir meine ganzen Benutzer im Active Directory zu sichten

00:09:15: und auch zu bewerten, haben die einmalige Kennwörter, haben die vielleicht schwache

00:09:19: Kennwörter, sind das alte Accounts, die schon länger existieren, da fehlt dann vielleicht

00:09:24: die AIS-Verschlüsselung oder es gibt noch einen LAN-Manager-Hash für dieses Konto.

00:09:29: Und auch hier bekomme ich einfach eine tolle Möglichkeit, einfach sukzessive an diese

00:09:33: ganzen Sachen heranzugehen, um das mal aufzuräumen.

00:09:37: Ja, um einfach bessere Account-Sicherheit zu bekommen. Im Gegenzug dazu gibt es dann noch den Breached Password Test und da

00:09:45: vergleicht dieses Werkzeug von NoB4, welche Kennwort-Hashes gibt es denn in

00:09:49: dieser Active Directory Welt und sind diese Hashes vielleicht schon mal in einem Breach

00:09:54: aufgetaucht. Das heißt, wurden diese Kennwörter mit diesem Hash in irgendeinem Datadump

00:10:00: bei einem Diebstahl von einer anderen Firma irgendwo entdeckt und auch hier bekomme ich dann den Hinweis, welche dieser Kennwörter schon

00:10:07: gebreached worden sind. Und damit kriege ich halt einfach das Thema Accountsicherheit ein gutes Stück.

00:10:12: Besser abgebildet. Und in Kombination mit Pink Castle sind das definitiv zwei Werkzeuge, die ich

00:10:18: euch hier heute empfehlen möchte. Wir verwenden das auch bei unseren Security Quick Checks. Wie gesagt,

00:10:24: wenn ihr einen Security Quick Check bestellt, bekommt ihr von uns natürlich auch eine Aufbereitung

00:10:29: neben den von außen sichtbaren Informationen und Sprachstellen, dann eben auch für die Welt,

00:10:35: vom Inneren her. Und das Ganze findet ihr dann bei uns am Ende in dem Auditbericht,

00:10:40: den wir dann entsprechend erstellen. Und ja, wie gesagt, nutzt die Möglichkeiten. Auch hier wurde

00:10:45: bis jetzt noch kein Cent ausgegeben. Ihr könnt sowohl Pincastle kostenlos nutzen als auch die

00:10:50: Werkzeuge von KnowBe4. Guckt euch das an, verschafft euch einen Überblick über eure

00:10:55: eigene Infrastruktur, über das eigene Active Directory. Und wenn ihr Fragen habt, nutzt

00:10:59: bitte auch die Gelegenheit, mich zu kontaktieren. Ihr findet unten in den Show Notes die Möglichkeit,

00:11:04: mir eine E-Mail zu schreiben. Ihr könnt dort auch einen Termin bei mir buchen, kostenfrei von 30

00:11:08: Minuten. Nutzt die Chance, verwendet diese Werkzeuge, sprecht mich und die Kollegen auch

00:11:14: gerne an. Ja, und dann würde ich sagen, sind wir für heute schon wieder fertig. Ich hoffe,

00:11:18: ihr konntet was mitnehmen und dann freue ich mich, wenn wir uns zur nächsten Folge hören.

00:11:21: Macht's gut, bis dahin, euer Alex. Ciao!

00:11:28: Music.