Transcription
Account-Sperrungenverstehen und auflösen:www.manageengine.de/adauditplus
InhaltDie geschäftlichen Auswirkungen irkungen auf den Ertrag2Angriffe und potenzielle Bedrohungen2Gängige Ursachen von Account-Sperrungen3Versuchter Angriff3Veraltete Passwörter3Keine Passwortaktualisierung im ServiceControl Manager4An mehreren Computern angemeldete Benutzer4Falsche Schwellenwerte für Alarme4Wieder jemand, der sich nichts merken kann!5Account-Sperrungen auflösen5Durcheinander bei nativen Werkzeugen5Fehlender Speicherplatz6Account-Sperrungsanalyse leicht gemacht6www.manageengine.de/adauditplus
Account-Sperrungen bedürfen keiner weiteren Erläuterung Dieständigen Anrufe beim Helpdesk zu diesem weit verbreitetenProblem bereiten den meisten Technikern wahre Albträume. DieSuche nach der Ursache einer Account-Sperrung, die es ermöglicht,das eigentliche Problem an der Wurzel zu packen, ist für die meistenAdministratoren und Helpdesk-Techniker eine immer wiederkehrendeHerausforderung. Diese Aufgabe dauerhaft zu lösen und damit dieAccount-Freischaltungsanfragen dauerhaft zu minimieren, wäre einTraum für viele von ihnen. Account-Sperrungen können sich negativauf die Sicherheit, Produktivität und den finanziellen Ertrag einesUnternehmens auswirken. In diesem E-Book beleuchten wir dieunterschiedlichen Auswirkungen, die Account-Sperrungen aufUnternehmen haben können – und natürlich auch, wie sich dieSperrungen am besten beheben lassen.Die geschäftlichen Auswirkungen vonAccount-SperrungenBis zu30Account-Sperrungen und Passwortzurücksetzungenmachen bis zu 30 % aller Helpdesk-Anfragen aus.Prozent- GartnerAccount-Sperrungen zählen wohl zu den frustrierendsten Aufgaben fürHelpdesk-Techniker und Administratoren. In Anbetracht der Stunden, die sie von derSuche nach der Sperrungsursache bis zur endgültigen Lösung benötigen, wissenAdministratoren und Helpdesk-Techniker aus erster Hand, wieviel Zeit und Energiemit diesem Thema verschwendet werden. Manchmal sind die geschäftlichenAuswirkungen von Account-Sperrungen auch so gravierend, dass sie nicht nur Zeitund Geld verschwenden, sondern auch dem Ruf des Unternehmens schadenkönnen.1www.manageengine.de/adauditplus
ProduktivitätsverlusteAufgrund der zahlreichen Helpdesk-Anrufe wegen gesperrter Accounts leidensowohl Administratoren und Techniker als auch die betroffenen Anwender andeutlichen Produktivitätsverlusten. Angenommen, die Ursachensuche undEntsperrung wäre für einen Account in einer Stunde erledigt, dann würde dies dasUnternehmen bereits zwei Arbeitsstunden kosten – die damit verbundeneLeerlaufzeit des ausgesperrten Anwenders eingerechnet. Zum mühsamen Prozessdes Entsperrens gehören das Aufspüren der Sperrungsursache, das Freischaltendes Kontos, das Ändern des Anwenderpassworts und dessen Aktualisierung insämtlichen mit dem Account genutzten Diensten ebenso wie das Ausschließeneines möglichen Cyber-Angriffs. Das kostet nicht nur Zeit, sondern kann dasUnternehmen auch einen großen Batzen Geld kosten.Auswirkungen auf den ErtragLaut Gartner kostet ein Unternehmen eine einzige Account-Sperrung zwischencirca 50 und 100 US-Dollar. Handelt es sich um ein normales Benutzerkonto, ist esgewöhnlich mit dem Entsperren und Zurücksetzen des Kennwortes getan. Wennes sich allerdings um einen Service Account handelt, ist es mit einer einfachenÄnderung des Passworts längst noch nicht getan. Falls dadurch Systeme derAbteilungen ausfallen, die auf die Zugangsdaten des Service Accountsangewiesen sind, kann sich diese Ausfallzeit negativ auf das gesamteUnternehmen auswirken. Betrifft der Dienst beispielsweise Interaktionen mit denKunden, kann ein derartiger Ausfall das Unternehmen seinen guten Ruf, unddamit unweigerlich auch Geld kosten.Angriffe und potenzielle BedrohungenAccount-Sperrungen können auch ein Anzeichen für verdeckte Angriffsversucheauf das Netzwerk sein. Handelt es sich beispielsweise um eine Sperrung in Folgeeines Brute-Force-Angriffs, kann es durchaus sein, dass der Hacker bereits insNetzwerk eingebrochen ist – etwa wenn die Sperrdauer im Active Directory zukurz (z. B. 30 Minuten) eingestellt ist oder die Sperrung zu spät erkannt wird (nach90 Minuten oder später). Je kürzer die Sperrdauer, desto größer sind dieErfolgschancen eines Angreifers. Angreifer können auchDenial-of-Service(DoS)-Angriffe ausführen und dabei die Ausfallzeit des Dienstesin Folge einer Sperrung ausnutzen.2www.manageengine.de/adauditplus
Kontinuierliche Sperrungen, denen eine erfolgreiche Anmeldung folgt, könnten immer auch daraufhindeuten, dass der Benutzer-Account erfolgreich gehackt wurde. Das bloße Aufheben der Sperrungwürde in diesem Fall nicht ausreichen – vielmehr müssten die weiteren Aktivitäten des Nutzers aufAnomalien und weitere Muster analysiert werden, die eindeutige Anzeichen eines Sicherheitsvorfalls sind.Ein Beispiel: Ein Account ist erst gesperrt, dann folgt eine erfolgreiche Anmeldung und anschließendwerden Daten im großen Stil gelöscht.Account-Sperrungen sind mittlerweile weit mehr als ein administratives Problem. Sie müssen sorgfältiganalysiert werden, damit potenzielle Bedrohungen des Unternehmensnetzwerks entdeckt werden. Hiereine Checkliste mit möglichen Ursachen von Account-Sperrungen, die bei Analysen berücksichtigt werdensollten:Gängige Ursachen von Account-SperrungenVersuchter AngriffEin einfacher Brute-Force- oder DoS-Angriff kann die Ursache einer wiederholtenAccount-Sperrung sein. Der Angreifer wartet das Ende der Sperrdauer ab undversucht es anschließend erneut. Daher ist es unerlässlich, den Ursachen derSperrung unverzüglich auf den Grund zu gehen. Falls ein Account wiederholtgesperrt wird und anschließend eine erfolgreiche Anmeldung folgt, müssen Siedie Aktivitäten des betroffenen Benutzers analysieren und sicherstellen, dass derAccount nicht gehackt wurde. Denn oft reicht es aus, ein einziges Konto zuhacken, um in ein Netzwerk einzudringen und letztendlich die volle Kontrolle zuübernehmen. Daher muss jede Sperrung sorgfältig analysiert werden.Veraltete PasswörterWenn Passwortänderungen eines Benutzerkontos nicht über die gesamteDomäne repliziert werden, können veraltete Passwörter zu Account-Sperrungenführen. Dienste, die mit den Zugangsdaten des Accounts arbeiten, erwarteneventuell nach wie vor das alte Passwort. FehlgeschlageneAuthentifizierungsversuche und Sperrungen sind die Folge. Administratoren undTechniker müssen Applikationen und Windows-Komponenten wie Outlook WebApp (OWA), Active Sync, Windows-Hintergrunddienste, COM-Objekte(prozessübergreifende Kommunikation) und verknüpfte Netzwerklaufwerke aufveraltete Kennwörter überprüfen. Auch geplante Tasks können unter Umständenauf zwischengespeicherte Zugangsdaten (sog. Cached Credentials) zurückgreifen,die im Rahmen der Replikation nicht aktualisiert wurden.3www.manageengine.de/adauditplus
Keine Passwortaktualisierung im ServiceControl ManagerDer Service Control Manager (auch „Dienststeuerungs-Manager“) speichert diePasswörter von Service Accounts auf Computern zwischen, die mit dem Dienstarbeiten. Wenn die Passwörter für Service Accounts geändert werden, wird daszwischengespeicherte Kennwort eventuell nicht bei diesen Computernaktualisiert, was zu einer Sperrung führt. Administratoren und Helpdesk-Technikersollten daher nach Mustern bei den fehlgeschlagenen Anmeldungen in denLog-Dateien des AD-Netlogon-Dienstes sowie in den Ereignisprotokolldateien(Event Logs) der Member Server suchen. Auch der Security Control Manager mussneu konfiguriert werden, damit er das neue Passwort verwendet.An mehreren Computern angemeldete NutzerEs ist durchaus möglich, dass ein Benutzer an mehreren Computern gleichzeitigangemeldet ist und Programme dieser Computer mit dessen Zugangsdaten aufNetzwerkressourcen zugreifen. Ändert der Benutzer dann sein Passwort, kann espassieren, dass die aktiven Sitzungen anderer Computer eventuell weiterhin mitdem alten Kennwort arbeiten. Administratoren und Helpdesk-Techniker könnendiese Situation unter anderem dadurch vermeiden, indem alle aktiven Sitzungeneines Benutzers auf anderen Geräten/bei anderen Anwendungen beendet werden,wenn das Passwort geändert wird. Der Anwender wird anschließend zurerneuten Anmeldung aufgefordert.Benutzerpasswortwird geändertAlle aktiven Sitzungen desAnwenders werden beendetBenutzer meldetsich erneut anFalsche AlarmeFalls der Schwellenwert für Sperrungen (Lockout Threshold) zu niedrig eingestelltwird, kann das zu falschen Alarmen führen. Ein optimaler Schwellenwert liegt hierbei 10 bis 20 fehlgeschlagenen Versuchen. Falsche Alarme kosten Zeit, reduzierendie Produktivität und können im schlimmsten Fall dazu führen, dass tatsächlicheBedrohungen übersehen werden. Ein dynamischer Schwellenwert, der auf demindividuellen Verhalten des Anwenders basiert, ist sehr empfehlenswert.4www.manageengine.de/adauditplus
Wieder jemand, der sich nichts merken kann!Die häufigste Ursache für Account-Sperrungen ist allerdings einfach einvergessenes Passwort. Die meisten Sperrungen passieren nach Feiertagen,Wochenenden oder Urlauben, wenn der Benutzer sein Passwort schlichtvergessen hat und das Konto nach einigen Fehlversuchen gesperrt wird. Sofrustrierend das für Administratoren und Techniker auch sein mag, sie könnenaufatmen – denn das bedeutet, dass das Netzwerk sicher ist und das Problemlediglich in der Vergesslichkeit des jeweiligen Anwenders liegt.Account-Sperrungen auflösenUm die Ursache einer Account-Sperrung aufzuspüren, sollten Sie Ihre Ereignisprotokolle (Event Logs)überprüfen. Halten Sie Ausschau nach folgenden Ereignissen:4740 – Ein Benutzerkonto wurde gesperrt.4767 – Die Sperrung eines Benutzerkontos wurde aufgehoben.4625 – Anmeldungsfehler durch unbekannten Benutzernamen oder falsches Kennwort.4793 – Die API für die Kennwortrichtlinien Überprüfung wurde aufgerufen.4776 – Der Domain Controller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen.4471 – Kerberos-Vorauthentifizierung fehlgeschlagen.4739 – Die Domänenrichtlinie wurde geändert: Die Sperrungs- und Kennwortrichtlinien wurdengeändert.Diese und weitere Ereignisse zu analysieren, um die Ursachen von Account-Sperrungen aufzuspüren, isteine herausfordernde – und mit den von Microsoft angebotenen nativen AD-Werkzeugen eine nahezuunmögliche – Aufgabe. Dies sind die Gründe dafür:Durcheinander bei nativen WerkzeugenIm Falle eines Angriffs kann der Hacker nach Ablauf der Sperrdauer gleich einenneuen Angriff ansetzen – oft sogar bevor dem Benutzer klar wird, dass seinAccount gesperrt wurde. Wird der Angriffsversuch zu spät entdeckt, ist derAngreifer eventuell bereits ins Netzwerk eingedrungen. Die schierunüberschaubare Vielzahl von Event-Log-Einträgen macht es nahezu unmöglich,eine verdächtig hohe Anzahl an Account-Sperrungen auf die Schnelleaufzuspüren. Der Anwender ist möglicherweise an mehreren Computern, beiverschiedenen Diensten und Remote-Verbindungen angemeldet, so dass es eineWeile dauern kann, bis Administratoren oder Techniker die Ursache einerSperrung in der Masse der Ereignisse finden.5www.manageengine.de/adauditplus
Fehlender SpeicherplatzBeim Windows Event Viewer ist der zur Verfügung stehende Speicher auf 4 GBbegrenzt. Daher ist es möglich, dass die Log-Dateien, die zur Analyse oderUntersuchung einer Sperrung notwendig wären, zum Zeitpunkt derNachforschungen bereits wieder überschrieben wurden. Das macht es Technikernunmöglich, die Ursache einer Sperrung herauszufinden. In diesem Fall können dieTechniker nur das Passwort des Benutzers zurücksetzen und anschließend jedeeinzelne Komponente im Auge behalten, bis sie die richtige finden. Auch Daten zuden letzten Anmeldungen des Benutzers sind bei Analysen häufig hilfreich, da sieeine Korrelation der Aktivitäten ermöglichen, aus denen Rückschlüsse auf dasAnmeldungsverhalten gezogen werden können. Es kann allerdings sein, dass füreine effiziente Analyse nicht ausreichend viele Anmeldeereignisse vorliegen.Oder einfach ausgedrückt: Native AD-Werkzeuge bieten nicht die Funktionen, diefür ein schnelles und effektives Auflösen von Account-Sperrungen erforderlichsind.Account-Sperrungsanalyse leicht gemachtADAudit Plus von ManageEngine enthält u. a. den Account Lockout Analyzer, ein Analyse-Tool fürAccount-Sperrungen mit allem, was Sie wirklich brauchen. Neben kontinuierlichem Monitoring undLog-Sammlung in Echtzeit bietet die Lösung übersichtliche Berichte mit allen Informationen, die Sie füreine vollständige Analyse von Account-Sperrungen benötigen.Zu den enthaltenen Informationen zählen:Das Wer, Wann, Wo und Warum jeder einzelnen Account-Sperrung: Die Berichte werden in Echtzeitzusammengestellt und lassen sich in Formaten wie CSV, PDF, XML und HTML exportieren. Dievollständigen Details zu jeder Sperrung, die im festgelegten Zeitraum erfolgte, können mit einemeinzigen Klick aufgerufen werden. Mit Hilfe dieser Informationen ersparen Sie sich stundenlangesHerausfiltern von Ereignissen aus der Ereignisanzeige und langwieriges Eintippen dauditplus
Details zu sämtlichen Diensten und Windows-Komponenten, die auf die Benutzerzugangsdaten(oder „Anmeldeinformationen“) zurückgreifen: Auf diese Weise lässt sich der Ursprung verwaisterPasswörter in nur wenigen Sekunden herausfinden.Aktueller Anmeldungsverlauf des Benutzers: Dieser ist hilfreich beim Aufspüren derAccount-Sperrungsursache. Durch Korrelation des Anmeldungsverlaufs könnenAdministratoren und Helpdesk-Techniker bei verdächtigen Anmeldungen potenzielleBedrohungen einfacher erkennen.7www.manageengine.de/adauditplus
Sofortige Alarmierung, wenn der Account eines privilegierten Nutzers gesperrt wird oder wennunverhältnismäßig viele Accounts gesperrt werden. Die Alarmierungen können mit ADAudit Plusdirekt an die E-Mail-Adresse oder das Smartphone des Administrators oder Technikers gesendetwerden.Um Administratoren und Technikern einen besseren Überblick über aktuelle Account-Sperrungenin ihrer Domäne zu ermöglichen, bietet ADAudit Plus zahlreiche Berichte. Hier einige Beispiele:Kürzlich gesperrte BenutzerkontenHäufig gesperrte BenutzerkontenKürzlich entsperrte BenutzerkontenHäufig entsperrte BenutzerkontenDiese Berichte listen die gesperrten Benutzerkonten auf und enthalten zusätzlich wichtige Details wie dieUhrzeit der Sperrung oder von welchem Domain Controller die Sperrung ausging. Mit diesenInformationen können Administratoren häufig gesperrte Benutzerkonten einfach und bequem im Augebehalten. Wenn Administratoren oder Helpdesk-Techniker im Rahmen einer Nachforschung herausfindenmüssen, welche Benutzerkonten durch das Eindringen eines Angreifers kompromittiert wurden, erweistsich ein Blick auf die kürzlich gesperrten Benutzerkonten oftmals als goldrichtig.Das User-Behaviour-Analytics-Modul von ADAudit Plus setzt darüber hinaus Methoden des maschinellenLernens ein, um verdächtige Anmeldeaktivitäten (z. B. ungewöhnlich viele Anmeldungen oderAnmeldungen zu unüblichen Uhrzeiten) mit Hilfe von dynamischen Schwellenwerten aufzuspüren.8www.manageengine.de/adauditplus
Belassen Sie es nicht bei der Analyse von Account-Sperrungen! Mit diesen Features von ADAudit Pluskönnen Sie die gesamte AD-Sicherheit Ihres Unternehmens verbessern:Kontinuierliches Auditing aller Veränderungen in Ihrer Domäne – in EchtzeitKonsolidierte Compliance-BerichteEchtzeit-Alarme per E-Mail oder ans Smartphone gesendetLückenloses Auditing der BenutzeranmeldungenMonitoring aller Server inklusive NetApp-Cluster und EMC-Server und Sicherstellen derDatenintegritätManageEngine ADAudit Plus ist eine leistungsstarke IT-Security- und -Compliance-Lösung. Mehr als 200ereignisspezifische Berichte und Echtzeit-Alarmierungen helfen IT-Administratoren dabei, einen umfangreichenÜberblick über alle Änderungen an Inhalten und Konfigurationen von Active Directory, Azure AD undWindows-Servern zu erhalten. Darüber hinaus bietet die Lösung umfassende Informationen zu Zugriffen aufWorkstations und Dateiservern (einschließlich NetApp und EMC).Wenn Sie erfahren möchten, wie ADAudit Plus Sie bei all Ihren Anforderungen rund um dasActive-Directory-Auditing unterstützen kann, schauen Sie mal hier bot anfordern
4793 - Die API für die Kennwortrichtlinien Überprüfung wurde aufgerufen. 4776 - Der Domain Controller hat versucht, die Anmeldeinformationen für ein Konto zu bestätigen. . ADAudit Plus von ManageEngine enthält u. a. den Account Lockout Analyzer, ein Analyse-Tool für Account-Sperrungen mit allem, was Sie wirklich brauchen. Neben .
