NetCease und NetSess

Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern

11.07.17 | Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern.
Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern. (Bild: gemeinfrei/Pixabay / CC0)

Angreifer versuchen oft über ältere oder unsichere Server Zugriff auf Netzwerke zu erhalten. Auf den Servern werden dann Informationen zum Netzwerk zusammengetragen, um weitere Angriffe starten zu können. Solche Angriffe lassen sich mit Tools wie NetCease verhindern.

Haben sich Angreifer Zutritt zu einem Server oder Computer im Netzwerk verschafft, sammeln sie in den meisten Fällen Informationen zu Benutzerkonten und zu weiteren Geräten im Netzwerk. Diese Vorgänge werden auch als Reconnaissance (recon) bezeichnet. Besonders kritisch wird es, wenn Administratorkonten ausgespäht werden. Das kann schnell passieren, wenn Angreifer Zugang zu einem unsicheren Server im Netzwerk erhalten.

Um solche Angriffe im Netzwerk zu verhindern, haben zwei Programmierer des Microsoft Advanced Threat Analytics (ATA) Researchteams, Itai Grady und Tal Be’ery mit NetCease ein PowerShell-Skript entwickelt, das notwendige Einstellungen auf Windows-Servern vornimmt, um die Berechtigungen für den Zugriff zu verbessern, und erfolgreiche Hacker-Angriffe zu verhindern.

SMB Session Enumeration verhindern

Mit SMB Session Enumeration lassen sich Informationen von Servern auslesen, auch von Domänencontrollern. Dieses Auslesen setzt kein großes Fachwissen voraus, sondern kostenlose Tools wie NetSess können die vorhandenen Informationen schnell und einfach in der Befehlszeile anzeigen. Das Tool liest problemlos auch Daten von Windows Server 2016 und Rechnern mit Windows 10 aus. Dabei kann der Zugriff nicht nur lokal durchgeführt werden, sondern Anwender können problemlos über das Netzwerk Informationen abrufen. Sobald ein Zugang zum Netzwerk besteht, lassen sich alle vorhandenen Geräte auslesen.

Solche Tools haben die Aufgabe Benutzerkonteninformationen aus dem Netzwerk zu sammeln, auch von anderen Servern und Arbeitsstationen. Mit zusätzlichen Skripten und Programmen erhalten Angreifer so relativ schnell zuverlässige Informationen für weitere Angriffe. Diese Informationen lassen sich von jedem Benutzer auslesen, der sich mit dem internen Netzwerk verbunden hat. Es sind dazu keinerlei besonderen Rechte notwendig. Es lassen sich folgende Informationen auslesen:

  • Die IP-Adressen und Namen der verbundenen Computer
  • Die Benutzerkonten, die sich am Server angemeldet haben
  • Wie lange die Sitzung bereits aktiv ist
  • Wie lange die Sitzung aktiv ist, aber derzeit nicht verwendet wird

Die Rechte für das Abrufen von Informationen per SMB werden über die Registry gesteuert. Die Einstellungen dazu sind über den Pfad „HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/DefaultSecurity“ und hier über den Wert „SrvsvcSessionInfo“ zu sehen. Für diesen Wert sind standardmäßig folgende Berechtigungen eingetragen:

  • Administrators (Administratoren), Security Identifier (Sid) S-1-5-32-544)
  • Server Operators (Sid S-1-5-32-549)
  • Hauptbenutzer (Power Users) (Sid S-1-5-32-547)
  • Authentifizierte Benutzer (Authenticated Users) (Sid S-1-5-11)

Die meisten Angreifer versuchen über die authentifizierten Benutzer Zugriff auf die Informationen des Servers oder der Arbeitsstation zu erhalten.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44779923 / Security)

Elektronikpraxis News täglich 14 Uhr

Der tägliche Newsletter von ELEKTRONIKPRAXIS.de. Aktuelle News, Tipps & Wissen aus allen Bereichen der Elektronikindustrie.

* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung und AGB einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.