Title (deu): Active Directory Toolkit (ADT)

Author: Falta, C. (Christoph)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Studiengang Information Security, 2017

Description (deu): Microsoft Active Directory ist eine der bekanntesten Directory Lösungen für Unternehmen und findet weltweit Anwendung in unterschiedlichsten Industriesparten. Active Directory zählt dabei zu den Kernbestandteilen der IT-Infrastruktur, da es sowohl die Verwaltung, die Authentifizierung, als auch (implizit) die Autorisierung der Benutzer/Benutzerinnen sicherstellt. Sind Computer an das Active Directory angebunden, so verwenden diese in der Folge die Benutzerdatenbank des Verzeichnisdienstes. Lokale Berechtigungen auf einzelne oder mehrere sogenannte „Member“-Systeme können mittels zentral verwalteter Gruppen delegiert werden und auch die Authentifizierung selbst basiert auf bestimmten, vom Directory zur Verfügung gestellten, Protokollen.
Aufgrund dieser zentralen Rolle innerhalb der IT-Landschaft besitzt auch die Sicherheit des Active Directory einen gewichtigen Einfluss auf die Gesamtsicherheit von Systemen und Daten. Gelingt es einem Angreifer/einer Angreiferin, Mitglied einer hoch privilegierten Active-Directory-Gruppe (beispielsweise „Domain Admins“) zu werden, so führt dies in der Regel zu umfassendem Zugriff auf alle Member-Systeme. Die Auswirkungen einer erfolgreichen Attacke zeigen sich am prominenten Beispiel des deutschen Bundestages, dessen IT-Systeme im Jahr 2015 Opfer eines gezielten Angriffes wurden. Aus den, im Jahr 2016 veröffentlichten Sitzungsprotokollen der IuK-Kommission geht hervor, dass „[…] insbesondere der zentrale Verzeichnisdienst übernommen worden sei. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien.“ [1] Aufgrund der enormen Auswirkungen, die eine erfolgreiche Übernahme des Active Directory bedeuten kann, beschäftigt sich diese Arbeit mit der Identifizierung aktueller Angriffsvektoren sowie Möglichkeiten zur automatisierten Erkennung / Ausnützung dieser Angriffsvektoren im Rahmen von „Penetration Tests“.

Description (eng): Microsoft Active Directory is a well-known directory solution for enterprises used worldwide among different industry segments. Active Directory commonly is one of the core components of an IT infrastructure since it handles management, authentication and (implicitly) authorization of user accounts. Computers joined to the directories management domain will start to use the central user store. Local permissions on one or more so called “member systems” can be delegated using centrally controlled groups and authentication itself relies on defined protocols, supported by the Active Directory. Due to this central role within the IT environment, the security of Active Directory is essential for the security of related systems and data. An attacker who is able to become a member of a highly privileged Active Directory group (e.g. “Domain Admins”) will have unconditional access to all member systems in most cases. The parliament of the Federal Republic of Germany is a prominent example of the consequences of such an attack, which occurred in 2015. According to the meeting minutes of the “IuK-Kommission”, which were disclosed in 2016, a major problem was that “[…] insbesondere der zentrale Verzeichnisdienst übernommen worden sei. Somit habe der Angreifer prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen, Abgeordneten und Bundestagsmitarbeiter, die von diesem Verzeichnisdienst erfasst seien.“ [1] Due to the tremendous consequences that a successful attack on Active Directory can lead to, this thesis covers the identification of current attack vectors, as well as possible ways for automatic detection and exploitation of these attack vectors during penetration tests.

Object languages: German

Date: 2017

Rights: © All rights reserved

Permanent Identifier