Dies ist der neueste Beitrag in einer Reihe von Beiträgen, die wir „QOMPLX Knowledge“ nennen. Diese Beiträge sollen grundlegende Informationen und Einblicke in die Angriffsaktivitäten und -trends liefern, die bösartige Kampagnen vorantreiben und auf die QOMPLX-Forscher bei unserer forensischen Arbeit mit Kunden stoßen.
Um die forstübergreifenden Vertrauensbeziehungen in Active Directory zu verstehen, müssen Sie zunächst die logische Struktur von Active Directory verstehen, wie sie von Microsoft vorgegeben wird. Active Directory folgt einer klaren Hierarchie, von oben nach unten. In dieser Hierarchie gibt es: Forests, Trees und Domains.
- Forests stellen die gesamte Active Directory-Instanz dar und sind logische Container, die aus Domänenbäumen, Domänen und Organisationseinheiten bestehen.
- Trees sind Sammlungen von Domänen innerhalb desselben DNS-Namensraums; sie umfassen untergeordnete Domänen.
- Domänen sind logische Gruppierungen von Netzwerkobjekten wie Computern, Benutzern, Anwendungen und Geräten im Netzwerk wie Druckern.
Die Domänenobjekte, aus denen ein Forest besteht, haben viele wichtige Strukturelemente gemeinsam. Dazu gehören Schema und Konfigurationen sowie eine wechselseitige transitive Vertrauensbeziehung, die automatisch eingerichtet wird, sobald Objekte einer Domäne in Active Directory beitreten. In diesen transitiven Beziehungen wird das Vertrauen zwischen übergeordneten und untergeordneten Objekten in einer Domäne sowie zwischen untergeordneten Domänen und Objekten, denen von diesen Domänen vertraut wird, erweitert. Diese Vertrauensbeziehungen sind automatisch und reflexiv.
Ein forstübergreifendes Vertrauen ist ein Windows Server-Feature, das die Verwaltung von Vertrauen zwischen der höchsten Gruppierung – Active Directory-Forests – innerhalb und außerhalb Ihrer Organisation ermöglicht.
Schlüsselpunkte
- Waldübergreifende Vertrauensstellungen sind Vertrauensbeziehungen zwischen Active Directory-Wäldern, -Bäumen und -Domänen
- Vertrauensstellungen sind entweder transitiv oder nicht-transitiv und entweder ein- oder zweiseitig
- Standardvertrauensstellungen, die automatisch in Active Directory eingerichtet werden, sind Baum-Root- und Eltern-Kind-Vertrauensstellungen
- Andere Vertrauensstellungen, wie externe, Realm-, Shortcut- und Forest-Vertrauensstellungen müssen von einem privilegierten Administrator festgelegt werden
Vertrauensbeziehungen über AD-Forests hinweg
Vertrauensbeziehungen zwischen Domänen über Active Directory-Forests hinweg müssen vorhanden sein, bevor Benutzer auf Netzwerkressourcen innerhalb der Unternehmensgrenzen oder auf externe Ressourcen außerhalb der Netzwerkgrenzen zugreifen dürfen. Dieses Vertrauen ist ein Baustein der Identitäts- und Zugriffsverwaltung. Dies gilt insbesondere dann, wenn Unternehmen durch Fusionen und Übernahmen wachsen und die Belegschaft zunehmend von zu Hause oder anderen entfernten Standorten aus arbeitet. Domänenübergreifendes Vertrauen ist auch deshalb wichtig, weil sich Unternehmen zunehmend auf die Beziehungen zu Lieferanten und Partnern verlassen, um ihr Geschäft auszubauen.
Forests dienen im Wesentlichen als Sicherheitsgrenze für die Struktur, aus der Active Directory besteht, aber einige Experten warnen davor, dass dieser Ansatz seine Nachteile haben kann.
„Ein Active Directory-Forest kann mit mehreren Domänen entworfen werden, um bestimmte Sicherheitsprobleme zu entschärfen, aber er wird sie nicht wirklich entschärfen, weil die Domänen-Vertrauensstellungen im Forest so funktionieren“, warnt Sean Metcalf, der die Active Directory Security-Website betreibt. „Wenn eine Gruppe aus Sicherheitsgründen Sicherheitsanforderungen für ihre eigene Domäne hat, ist es wahrscheinlich, dass sie wirklich ihren eigenen Forest braucht“, schrieb er.
Während es viele verschiedene Möglichkeiten gibt, Active Directory anzugreifen, können Bedrohungsakteure auch Domänenvertrauensbeziehungen missbrauchen. Das Sammeln von Informationen über Vertrauensbeziehungen während der Erkundungsaktivitäten, sobald ein Angreifer im Netzwerk Fuß gefasst hat, ermöglicht es ihm, potenziell Wege zu identifizieren, auf denen eine seitliche Bewegung möglich wäre. Da Domänen-Vertrauensbeziehungen Benutzer an den jeweiligen Domänencontrollern authentifizieren und die jeweilige Vertrauensstellung den Benutzern den Zugriff auf Ressourcen ermöglicht, können Angreifer auch diese Wege beschreiten.
Angreifer könnten einer allgemeinen Strategie folgen, die zunächst die Aufzählung von Vertrauensstellungen zwischen Wäldern, Bäumen und Domänen beinhaltet, um eine Karte der potenziellen Reichweite eines Angreifers zu erstellen. Zum Aufzählen von Vertrauensstellungen können eine Reihe von Windows-eigenen Methoden und API-Aufrufen verwendet werden, darunter NLtest und dsquery oder Open-Source-Tools von Drittanbietern wie Empire, PowerSploit oder PoshC2.
Der gleiche Ansatz kann verwendet werden, um Benutzer, Gruppen oder Server aufzuzählen, die ähnliche Vertrauensbeziehungen haben, die als Brücke zwischen Domänen missbraucht werden könnten. Ein Bedrohungsakteur verfügt dann über genügend Informationen, um zu entscheiden, welche Konten er mit bekannten Tools und Angriffen wie Pass the Ticket oder Kerberoasting ins Visier nimmt, bei denen Diensttickets oder Hashes von Anmeldeinformationen aus dem Speicher gestohlen und für die Privilegienerweiterung und Lateralbewegungen verwendet werden oder bei Offline-Angriffen geknackt und zur Aktivierung anderer Angriffe verwendet werden.
Administratoren von Active Directory in Unternehmen können diese Angriffe abschwächen, indem sie die Vertrauensbeziehungen zwischen Forests und Domänen überprüfen und zuordnen und die Anzahl dieser Beziehungen nach Möglichkeit minimieren. Eine weitere bewährte Methode ist die Segmentierung sensibler Domänen im Netzwerk, um die Angriffsfläche für Bedrohungsakteure zu verringern.
Typen von Vertrauensbeziehungen in Active Directory
In der Zwischenzeit wird, wie oben erwähnt, das Vertrauen in einer Active Directory-Gesamtstruktur automatisch als zweiseitig und transitiv eingerichtet. Das bedeutet, dass übergeordnete und untergeordnete Domänen – Baum und Stamm – sich gegenseitig vertrauen. Das bedeutet, dass Active Directory-Objekten vertraut wird, um auf Ressourcen in diesen Domänen zuzugreifen. Außerdem: Wenn neue untergeordnete Domänen erstellt werden, erben sie das Vertrauen der übergeordneten Domäne und können ebenfalls Ressourcen gemeinsam nutzen.
Nichttransitives Vertrauen ist also ein Vertrauen, das bei den Domänen endet, mit denen es erstellt wurde. In einem solchen Szenario können die Domänen A und B einander vertrauen, und B und C können einander vertrauen, aber dieses Vertrauen erstreckt sich nicht auf A und C, ohne dass ein separates einseitiges Vertrauen zwischen A und C geschaffen wird.
Vertrauen kann dagegen nur einseitig sein. Zum Beispiel wird eine Domäne als vertrauenswürdige Domäne betrachtet und eine andere als vertrauenswürdig, daher wird Vertrauen entweder in einer ausgehenden oder eingehenden Richtung aufgebaut.
Ein High-Level-Glossar von Trusts innerhalb von Active Directory sieht wie folgt aus:
- Tree-Root Trust: Diese Art von Trust wird erstellt, wenn neue Stammdomänen zu einer Active Directory-Gesamtstruktur hinzugefügt werden. Dabei handelt es sich um zweiseitige transitive Trusts, und nur die Domänen an der Spitze eines jeden Baums sind Teil dieses Trust-Typs.
- Parent-Child Trust: Wenn neue untergeordnete Domänen hinzugefügt werden, wird von Active Directory automatisch eine zweiseitige transitive Vertrauensstellung zwischen der untergeordneten Domäne und ihrer übergeordneten Domäne eingerichtet. Parent-Child- und Tree-Root-Vertrauensstellungen sind Standard-Vertrauensstellungen, die automatisch von Active Directory eingerichtet werden.
- Forest Trust: Forest Trusts müssen von einem privilegierten Administrator erstellt werden. Er stellt eine Vertrauensbeziehung zwischen zwei AD-Forests her, die es Domänen in beiden Forests ermöglicht, einander transitiv zu vertrauen. Der Administrator kann festlegen, ob das Vertrauen in beide Richtungen oder nur in eine Richtung geht.
- Realm Trust: Dieser Typ wird verwendet, um entweder zweiseitige oder einseitige Vertrauensbeziehungen zwischen einer Active Directory-Gesamtstruktur und einer Nicht-Windows-Kerberos-Umgebung wie UNIX, Linux oder UNIX-ähnlichen Betriebssystemen herzustellen.
- Externes Vertrauen: Externe Trusts sind nicht-transitive Trusts, die zwischen Active Directory-Domänen und solchen in einer anderen Gesamtstruktur oder zwischen einer AD-Gesamtstruktur und einer Vor-Windows Server 2000-Domäne wie Windows NT erstellt werden.
- Shortcut Trust: Eine Verknüpfungs-Vertrauensbeziehung stellt manuell eine Vertrauensbeziehung zwischen Domänen in großen Active Directory-Forests her, die es ermöglicht, die Authentifizierungszeiten zu verbessern, indem der Vertrauenspfad zwischen Domänen verkürzt wird.
Die Möglichkeit, eine forestübergreifende Vertrauensbeziehung zu erstellen, ist auf die privilegierten Benutzer beschränkt, die Teil der Sicherheitsgruppe Domänenadministratoren oder Unternehmensadministratoren sind und über die Berechtigung zur Erstellung von Vertrauensbeziehungen verfügen. Administratoren können bei Bedarf auch den Zugriff auf Ressourcen auf bestimmte Identitäten innerhalb eines Forests beschränken. Microsoft bietet auch ein Snap-In für AD-Domänen und Trusts, das das Vertrauen zwischen Forests, Trees oder Domänen überprüft.
Trust-Beziehungen zwischen Forests, Trees und Domänen legen einen Pfad fest, auf dem Benutzer auf die von ihnen benötigten Ressourcen zugreifen können. Wie beschrieben, werden einige dieser Beziehungen automatisch von Active Directory eingerichtet und ermöglichen ein zweiseitiges transitives Vertrauen. Waldübergreifende Vertrauensbeziehungen erfordern jedoch eine sorgfältige Betrachtung der Beziehungen zwischen Benutzern und Objekten innerhalb von Domänen und des Vertrauens, das aufgebaut werden muss, um problemlos auf Ressourcen auf beiden Seiten der Beziehung zugreifen zu können.
Zusätzliche Lektüre
Hier sind die vorherigen Einträge in unserer QOMPLX Knowledge-Reihe; halten Sie in den kommenden Tagen und Wochen Ausschau nach weiteren Einträgen in unserer QOMPLX Knowledge-Reihe:
QOMPLX Knowledge: Golden Ticket Attacks Explained
QOMPLX Knowledge: Silberne Ticket-Angriffe erklärt
QOMPLX Wissen: Reagieren auf Golden-Ticket-Angriffe
QOMPLX Wissen: DCSync-Angriffe erklärt
QOMPLX Wissen: DCShadow-Attacken erklärt
QOMPLX Wissen: Pass-the-Ticket-Angriffe erklärt
QOMPLX Wissen: Kerberoasting-Angriffe erklärt
QOMPLX Wissen: Kerberos Delegation Attacks Explained
Weitere Links:
MSMVPs: Active Directory Trusts
TechGenix: Verwalten von Active Directory-Trusts in Windows Server 2016
Microsoft: Sicherheitsbetrachtungen für Trusts
Microsoft: Was sind Domänen und Forests
TechTarget: How to Create a Cross-Forest Trust in AD
Mitre ATT&CK: Domain Trust Discovery
Harmj0y: Ein Leitfaden zum Angriff auf Domänen-Trusts