Dienstkonten spielen eine entscheidende Rolle bei der Kommunikation zwischen Maschinen in Active Directory (AD) Umgebungen. So verlassen sich beispielsweise E-Mail-Plattformen, Datenbanken sowie interne und internetbasierte Anwendungen auf diese Konten, um sich bei anderen Anwendungen und Backend-Diensten zu authentifizieren. Sie werden auch häufig von Sicherheitstools für die Integration mit überwachten Plattformen wie AD verwendet.
Da Servicekonten in fast allen Geschäftsabläufen allgegenwärtig sind, bieten sie böswilligen Akteuren eine verlockend große Angriffsfläche mit unzähligen potenziellen Einfallspunkten. Zahlreiche aufsehenerregende Cyberangriffe haben mit der Kompromittierung eines Servicekontos begonnen.
Ein bemerkenswertes Beispiel - der NotPetya-Angriff auf den Pharmariesen Merck im Jahr 2017 - ist mit einem Schaden von insgesamt 1,4 Milliarden Dollar einer der teuersten in der Geschichte. Erschreckenderweise war der Ausgangspunkt der Kompromittierung ein Dienstkonto, das von System Center Configuration Manager (SCCM) für Software-Patches verwendet wurde. (Wir untersuchen diesen Angriff im Detail in einer speziellen Folge unseres Podcasts zum hybriden Identitätsschutz.)
Warum leben wir weiterhin mit einem so offensichtlichen Punkt der Entblößung in unserem Identitätssystem? Die Antwort lautet: Es ist kompliziert.
Warum sind Servicekonten so schwer zu sichern?
Die weit verbreitete Nutzung von Servicekonten macht es bekanntermaßen schwierig, sie zu finden, zu verwalten und zu sichern. Die Herausforderungen sind auf mehrere Faktoren zurückzuführen.
Servicekonten sind geschäftskritisch
Wenn ein Dienstkonto nicht mehr auf AD zugreifen kann, z. B. weil das Konto gesperrt oder das Passwort geändert wurde, funktioniert die zugehörige Anwendung oft nicht mehr, so dass der Geschäftsbetrieb zum Erliegen kommt.
Angesichts der kritischen Bedeutung der meisten Geschäftsanwendungen und -dienste zögern viele Sicherheitsexperten, sicherheitsrelevante Änderungen vorzunehmen, die ein Servicekonto stören und den Geschäftsbetrieb unterbrechen könnten, so dass die Konten unangetastet und angreifbar bleiben.
Servicekonten haben eine geringe Sichtbarkeit
Die meisten AD-Umgebungen bestehen bereits seit vielen Jahren, manchmal seit Jahrzehnten. In dieser Zeit wurden zahllose AD-integrierte Dienste eingeführt, aktualisiert und stillgelegt. Und jeder dieser Dienste führt eine eigene Gruppe von Dienstkonten mit spezifischen Berechtigungen ein.
Im Gegensatz zu menschlichen Benutzerkonten, die in der Regel durch strukturierte Onboarding- und Offboarding-Prozesse verwaltet werden, fehlt es bei Servicekonten oft an einem formalen Lebenszyklusmanagement. Wenn Anwendungen außer Betrieb genommen werden, bleiben die zugehörigen Servicekonten daher häufig zurück.
Im Laufe der Zeit sammeln sich diese veralteten Dienstkonten an. In Unternehmen können Hunderte oder sogar Tausende von veralteten, nicht verwalteten Konten in der Umgebung verweilen, von denen jedes einzelne ein potenzielles Sicherheitsrisiko darstellt.
Statische Dienstkonto-Passwörter sind überall
Dienstkonten verwenden oft statische Kennwörter, die sich selten ändern und manchmal fest in Skripten oder Anwendungen codiert sind. Diese Zugangsdaten lassen sich nur schwer ändern, und wenn sie erst einmal aufgedeckt sind - durch undichten Quellcode, Konfigurationsdateien oder Speicherauszüge - können sie von Angreifern ausgenutzt werden, die sich dann seitlich bewegen oder ihre Privilegien in der Umgebung ausweiten.
Schwache statische Kennwörter sind besonders anfällig für Passwort-Spraying-Angriffe. Da Dienstkonten keine Multifaktor-Authentifizierung verwenden können, fehlt ihnen eine wichtige Schutzebene. In AD-Umgebungen sind sie außerdem anfällig für Kerberoasting, bei dem Angreifer Diensttickets extrahieren und knacken, um an Klartextpasswörter zu gelangen.
Dienstkonten haben oft übermäßige Privilegien
Anwendungs- und Entwicklerteams weisen Dienstkonten oft übermäßige Berechtigungen zu, weil sie die Active Directory-Berechtigungs- und Delegationsmodelle nicht genau kennen. Anstatt einen differenzierten Ansatz zu verfolgen, erstellen sie möglicherweise routinemäßig hochprivilegierte Konten mit Berechtigungen, die weit über das erforderliche Maß hinausgehen.
Diese Praxis bietet Angreifern eine große Chance, eine der zahlreichen Angriffstechniken zu nutzen, um ein Dienstkonto zu übernehmen und die Privilegien schnell zu erweitern. Außerdem werden die meisten Aktivitäten von Dienstkonten in der Regel nicht überwacht, so dass die Kompromittierung von Konten oft unentdeckt bleibt, bis es zu spät ist.
Wie Sie die Sicherheitslücke bei den Servicekonten schließen
Zusammengenommen stellen diese Herausforderungen ein fast unüberwindbares Problem für Sicherheitsteams dar, so dass Servicekonten eine kritische Lücke in den meisten Programmen zur Identitätssicherung darstellen.
Lassen Sie uns einen mehrstufigen Ansatz zur Lösung dieses schwierigen Problems betrachten.
Inventarisieren und klassifizieren
Der erste Schritt besteht darin, alle Dienstkonten in Ihrer Active Directory-Umgebung zu ermitteln. Dazu verwenden Sie in der Regel Tools wie PowerShell-Skripte oder Identity Governance-Plattformen.
Identifizieren Sie dann den Eigentümer, den Zweck und die zugehörigen Systeme für jedes Konto. Kategorisieren Sie sie nach Berechtigungsstufe, Organisationseinheit und Authentifizierungsmethode. Entfernen Sie alle verwaisten oder ungenutzten Konten und führen Sie ein zentrales, regelmäßig aktualisiertes Inventar.
Least Privilege durchsetzen
Weisen Sie jedem Dienstkonto nur die Berechtigungen zu, die für seine Funktion erforderlich sind. Vermeiden Sie die Vergabe von Domain Admin- oder Enterprise Admin-Rechten, wenn dies nicht unbedingt erforderlich ist.
Verwenden Sie nach Möglichkeit Group Managed Service Accounts (gMSAs), um die Rechteverwaltung zu vereinfachen und das Risiko zu verringern.
Beseitigen Sie hart kodierte Anmeldedaten
Überprüfen Sie Skripte, geplante Aufgaben und Anwendungen auf eingebettete Anmeldeinformationen. Ersetzen Sie nach Möglichkeit hart kodierte Passwörter durch sichere Speicherlösungen wie den Windows Credential Manager oder gMSAs, um den Verlust von Zugangsdaten zu verhindern.
Bei einigen Konten lassen sich fest codierte Passwörter nicht vermeiden. Stellen Sie in solchen Fällen sicher, dass Sie ein sicheres Passwort mit hoher Entropie und der maximal zulässigen Zeichenlänge verwenden.
Überwachen und alarmieren
Die Aktivität des Servicekontos sollte vorhersehbaren Mustern und Anmeldeorten folgen. Aktivieren Sie die Überwachung von Anmeldeereignissen für Dienstkonten und achten Sie auf ungewöhnliches Verhalten, z. B. Anmeldungen von unerwarteten Hosts oder zu ungewöhnlichen Zeiten.
Integrieren Sie Protokolle in eine SIEM-Plattform (Security Information and Event Management), um die Überwachung zu zentralisieren und Warnmeldungen für verdächtige Aktivitäten zu generieren.
Anmeldung und Zugriff einschränken
Verwenden Sie die Gruppenrichtlinie, um interaktive Anmelderechte für Dienstkonten zu verweigern. Schränken Sie mit der Einstellung Logon Workstations ein, wo sich Konten authentifizieren können, so dass Anmeldungen nur auf den benötigten Servern erfolgen können.
Automatisierung der mehrstufigen Sicherheit von Dienstkonten
Wie Sie wahrscheinlich erkannt haben, ist der herkömmliche Ansatz für die Verwaltung von Servicekonten und die Behebung von Schwachstellen sehr zeit- und ressourcenaufwändig. Darauf setzen natürlich auch die Cyber-Angreifer.
Und genau deshalb hat Semperis eine Alternative entwickelt.
Unser Modul Service Accounts Protection erweitert die Funktionen von Directory Services Protector DSP)und trägt dazu bei, den Prozess der Sicherung von Dienstkonten zu vereinfachen und den Zeit- und Arbeitsaufwand für die von uns beschriebenen Schritte erheblich zu reduzieren.
Dieses Modul entdeckt kontinuierlich unbekannte und fehlplatzierte Dienstkonten, erkennt Fehlkonfigurationen von Dienstkonten und deckt riskante Konfigurationen und kritische Schwachstellen auf - und warnt Sie gleichzeitig vor bösartigem und anormalem Verhalten.
Dienstkonten sind seit langem die Achillesferse der Identitätssicherheit - eine kritische Lücke, die Angreifer immer wieder zu schließen versuchen. DSP hilft Ihnen, sie zu verteidigen.
Erfahren Sie mehr über den Schutz von Dienstkonten in Active Directory
