Microsoft

Microsoft NetCease: Angreifer im LAN per PowerShell-Skript stoppen

Mit NetCease haben Microsoft-Forscher ein PowerShell-Skript vorgestellt, dass Netzwerkerkundungen von Angreifern unterbinden soll. So funktioniert es.

NetCease ist ein Skript für die PowerShell in Windows. Die Technik an sich verhindert keine Angriffe, minimiert aber die Auswirkungen, wenn sich Kriminelle nach einer erfolgreichen Attacke im Netzwerk umsehen wollen. Um zu verstehen, wie NetCease funktioniert, muss man sich ansehen, wie Angreifer nach Daten suchen und wie sich diese Anfragen stoppen lassen. NetCease kann man aus der TechNet Gallery herunterladen.

Typischerweise nutzen Angreifer eine Methode namens Net Session Enumeration (NetSessionEnum). Damit lassen sich einige Dinge herausfinden, darunter:

  • Name des Computers;
  • IP-Adresse;
  • Name des Nutzers, der mit einem Server oder Domain Controller eine Verbindung etabliert hat;
  • Wie lange diese Verbindung aktiv war oder seit wann sie brachliegt.

Nach 90 Minuten werden solche Angreifer normalerweise ausgesperrt, allerdings können sie in dieser Zeit eine Menge Informationen sammeln und Schaden anrichten. NetSessionEnum funktioniert, nachdem ein Nutzer eine erste Session zwischen Server und Workstation etabliert hat. Ein Admin muss zuvor den Serverdienst gestartet haben, damit sich ein Nutzer damit erfolgreich verbinden kann. Eine gängige Taktik von Angreifern (und angeheuerten Penetration-Testern) ist der Einsatz von Tools wie Bloodhound oder NMAP, mit denen sich das Scannen der Netzwerke automatisieren lässt.

Um das Netzwerk zu schützen, können IT-Verantwortliche NetCease über die PowerShell ausführen. Dieses Skript wurde von zwei Microsoft-Forschern erstellt und ändert die Berechtigungen des lokalen Registry Keys der jeweiligen Windows-Installation für NetSessionEnum. Die Berechtigungen beziehen sich normalerweise auf die „Angemeldeten Nutzern“, mit dem Skript werden sie an die Berechtigungen von Interactive, Service und Batch Logon Sessions gekoppelt. Das bedeutet, dass der Zugriff auf private Netzwerkinformationen deutlich beschränkt wird, zumindest, solange der Nutzer nicht korrekt angemeldet ist. Solange der Angreifer also keine korrekten Zugangsdaten hat, sind seine Berechtigungen beim Einsatz von NetSessionEnum eingeschränkt und er kann das Netzwerk nicht ausspionieren.

Warnung bei unerlaubtem Zugriff

Zusätzlich kann NetCease die Administratoren warnen, wenn ein unerlaubter Zugriff auf NetSessionEnum festgestellt wird. Natürlich gibt es eine ganze Reihe von Werkzeugen, die Schnüffler aussperren oder blocken, nachdem sie bereits im Netzwerk unterwegs sind. Die Änderung eines Registry-Keys ist aber eine gute und effektive Methode, damit Angreifer erst gar nicht die integrierten Funktionen missbrauchen können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

PKI-Verschlüsselung mit PowerShell 5.0 und Windows Server 2016

System und Anwendungen gegen Attacken schützen

Rettungs-Stick für Admins: PCs mit einem Multi-Boot-Stick untersuchen

Benutzerkonten und die schleichende Rechteausweitung

Artikel wurde zuletzt im Februar 2017 aktualisiert

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close