Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Was ist Privilege Elevation und warum ist es bedeutend?

Was ist Privilege Elevation und warum ist es bedeutend?

Sep 5, 2018

Privilegienerweiterung ist eine gängige Taktik, die heute in fast jedem Cyberangriff vorkommt. Bösartige Insider, Ransomware-Banden und andere Bedrohungsakteure nutzen sie oft in Kombination mit lateraler Bewegung, um durch ein Opfernetzwerk zu navigieren und unbefugten Zugriff auf sensible IT-Ressourcen zu erlangen. Erhöhte Zugriffsrechte sind entscheidend für bösartige Aktivitäten, einschließlich des Diebstahls sensibler Daten, der Störung von Geschäftsabläufen und der Schaffung von Hintertüren für zukünftige Angriffsphasen. Aufgrund der weit verbreiteten Nutzung von Active Directory, sind Windows-Privilegienerweiterungsangriffe häufiger als Linux-Privilegienangriffe, dennoch werden beide in der Praxis beobachtet.

Laden Sie den kostenlosen Leitfaden herunter:

Warum erhöhte Privilegien für Angreifer wichtig sind

Erhöhte Privilegien sind der Schlüssel zum Königreich, den Bedrohungsakteure benötigen, um Systemkonfigurationen, Datenberechtigungen und Sicherheitskontrollen zu ändern. Angreifer erlangen in der Regel über ein kompromittiertes Standardbenutzerkonto Zugang zu einem Netzwerk. Die Privilegienerhöhung wird erreicht, indem die Anmeldeinformationen eines Systemadministrators oder eines Kontos mit hohem Dienstlevel gestohlen werden; dies ermöglicht Zugang zu kritischen Servern, Netzwerkgeräten, Datenrepositories und Backup-Systemen.

Leider ist es selbst für unerfahrene Hacker oft einfach, Privilegien zu eskalieren, da vielen Organisationen angemessene Sicherheitsmaßnahmen fehlen. Tatsächlich wird der Zugriffskontrolle zu oft mit Blick auf Bequemlichkeit konfiguriert, anstatt die Durchsetzung des Principle of Least Privilege zu gewährleisten.

Horizontaler vs Vertikaler Privileged Access Management

Cyberangriffe beinhalten oft die Ausnutzung einer Art von Schwachstelle, wie ein ungepatchtes System, unsachgemäße Konfiguration oder Programmierfehler. Sobald ein System kompromittiert wurde, führt der Angreifer eine Aufklärung durch, um privilegierte Benutzer zu identifizieren, die kompromittiert werden können, und Wege zu finden, die Zugriffsrechte von Konten, die sie bereits kontrollieren, zu erhöhen.

Es gibt zwei Arten von Privilegienerweiterung, die Bedrohungsakteure nutzen:

  • Horizontale Privilegienerweiterung — Ein Angreifer kompromittiert ein Konto und erlangt dann Zugang zu denselben Privilegien oder Berechtigungen wie ein anderer Benutzer oder eine andere Anwendung auf einem anderen System. Zum Beispiel könnte ein Gegner nach dem Kompromittieren des Kontos eines Internetbanking-Nutzers Zugang zum Konto eines anderen Nutzers erlangen, indem er dessen ID und Passwort herausfindet.
  • Vertikale Privilegienerweiterung (auch bekannt als Erhöhung der Privilegien oder EoP) — Ein bösartiger Benutzer erhält Zugang zu einem Konto mit niedrigeren Rechten und nutzt eine Schwachstelle im System aus, um administrative oder Root-Zugriffsrechte für eine Ressource oder ein System zu erlangen. Vertikale Privilegienerweiterung erfordert ausgefeiltere Angriffstechniken als horizontale Privilegienerweiterung, wie zum Beispiel Hacking-Tools, die dem Angreifer helfen, erweiterten Zugang zu Systemen und Daten zu erlangen.

Wie kommt es zur Privilegienerweiterung?

Angreifer, die versuchen, unbefugte Aktionen durchzuführen, nutzen oft Privilegienerweiterungsexploits. Diese Exploits beinhalten bekannte oder entdeckte Schwachstellen, die ein Betriebssystem, eine Softwarekomponente oder eine Sicherheitsfehlkonfiguration betreffen. Der Angriff umfasst normalerweise diesen fünfstufigen Prozess:

  1. Finden Sie eine Schwachstelle.
  2. Erstellen Sie den zugehörigen Privilege Escalation Exploit.
  3. Verwenden Sie den Exploit auf einem System.
  4. Überprüfen Sie, ob es das System erfolgreich ausnutzt.
  5. Erhalten Sie zusätzliche Berechtigungen, falls notwendig.

Was sind die wichtigsten Techniken zur Privilegienerweiterung?

Es gibt mehrere Techniken zur Rechteerweiterung, die Angreifer verwenden. Drei der häufigsten sind:

  • Zugriffstoken manipulieren
  • Umgehung der Benutzerkontensteuerung
  • Verwendung gültiger Konten

Technik 1: Manipulation von Zugriffstoken

Die Manipulation von Zugriffstoken nutzt die Art und Weise aus, wie Windows Admin-Rechte verwaltet. Ein Zugriffstoken wird von einem Windows-System zum Zeitpunkt der Benutzeranmeldung erstellt. Durch die Modifikation eines Zugriffstokens kann ein Angreifer das System täuschen und sich so erlauben, eine Systemaufgabe auszuführen oder Zugang zu einem laufenden Prozess oder Dienst zu erhalten, der erhöhte Privilegien erfordert.

Angreifer können Zugriffstoken auf eine von drei Methoden nutzen:

  • Ein Token fälschen oder stehlen — Ein Angreifer kann ein neues Zugriffstoken erstellen, das ein bestehendes Token mit der Funktion DuplicateToken(Ex) dupliziert. Das Token kann dann mit der Funktion ImpersonateLoggedOnUser verwendet werden, um dem aufrufenden Thread zu ermöglichen, den Sicherheitskontext eines angemeldeten Benutzers zu imitieren, oder mit der Funktion SetThreadToken, um das imitierte Token einem Thread zuzuweisen.
  • Erstellen Sie einen Prozess mit einem Token — Dies geschieht, wenn ein Angreifer ein neues Zugriffstoken mit der Funktion DuplicateToken(Ex) erstellt und es mit der Funktion CreateProcessWithTokenW verwendet, um einen neuen Prozess zu erstellen, der unter dem Sicherheitskontext des imitierten Benutzers läuft. Dies kann nützlich sein, um einen neuen Prozess unter dem Sicherheitskontext eines anderen Benutzers zu erstellen.
  • Token-Imitation — Hier verfügt ein Angreifer über Benutzername und Passwort, aber der Benutzer ist nicht im System angemeldet. Der Angreifer kann mit Hilfe von LogonUser eine Anmeldesitzung für den Benutzer erstellen. Die Funktion gibt eine Kopie des Zugriffstokens der neuen Sitzung zurück, und der Angreifer kann SetThreadToken verwenden, um dieses Token einem Thread zuzuweisen.

Wie man diese Bedrohung mildert

Zugriffstoken sind ein integraler Bestandteil des Windows-Sicherheitssystems und können nicht deaktiviert werden. Ein Angreifer muss jedoch bereits Administratorzugriff besitzen, um diese Technik vollständig nutzen zu können. Daher müssen Sie Zugriffsrechte gemäß dem Prinzip der geringsten Rechte zuweisen und sicherstellen, dass alle Zugriffsrechte regelmäßig überprüft werden. Sie müssen auch privilegierte Konten sorgfältig überwachen und umgehend auf Anzeichen verdächtiger Aktivitäten dieser Konten reagieren. Idealerweise können Sie fast alle dauerhaften administrativen Konten durch just-in-time access ersetzen.

Technik 2: Umgehung der Benutzerkontensteuerung

Die Benutzerkontensteuerung (UAC) von Windows dient als Tor zwischen normalen Benutzern und Konten mit Administratorrechten. Sie beschränkt die Anwendungssoftware auf Standardbenutzerberechtigungen, bis ein Administrator eine Erhöhung der Privilegien autorisiert. Es erfordert, dass ein Administrator seine Anmeldeinformationen eingibt, um die Aufforderung zu umgehen. Auf diese Weise erhalten nur von dem Benutzer vertrauenswürdige Anwendungen administrative Privilegien, was verhindert, dass Malware das Betriebssystem kompromittiert.

Dieser Mechanismus ist jedoch nicht perfekt. Wenn die UAC-Schutzstufe eines Computers auf etwas anderes als die höchste Stufe eingestellt ist, dürfen einige Windows-Programme Berechtigungen erhöhen oder Component Object Model (COM)-Objekte ausführen, die erhöht sind, ohne den Benutzer zuerst aufzufordern.

Wie man diese Bedrohung minimiert

Sie müssen Ihre IT-Umgebung regelmäßig auf gängige Schwachstellen bei der Umgehung der Benutzerkontensteuerung (UAC) überprüfen und die Risiken entsprechend angehen. Eine weitere gute Praxis ist, regelmäßig zu überprüfen, welche Konten sich in Ihren lokalen Administratorengruppen auf allen Windows-Systemen befinden und normale Benutzer aus diesen Gruppen zu entfernen. Dies können Sie mit Group Policy oder Intune tun.

Technik 3: Verwendung gültiger Konten

Angreifer können Techniken wie Credential Stuffing, Konto-Manipulation oder Social Engineering nutzen, um die Anmeldeinformationen legitimer Benutzer zu kompromittieren. Sie können sogar Zugang zu entfernten Systemen und Diensten über eine VPN- oder Remote-Desktop-Verbindung erlangen. Eine der Hauptbedenken hierbei ist die Überschneidung von Anmeldeinformationen und Berechtigungen im Netzwerk, da Angreifer möglicherweise zwischen Konten und Systemen wechseln können, um eine höhere Zugriffsebene zu erreichen, wie zum Beispiel Domain Admin oder Enterprise Admin.

Wie man diese Bedrohung mildert

Eine der effektivsten Methoden, um dieser Bedrohung entgegenzuwirken, ist die Durchsetzung einer starken password policy für alle Konten, die Anforderungen an Passwortlänge und -komplexität umfasst. Ändern Sie außerdem regelmäßig die Passwörter aller administrativen Konten und verwenden Sie einzigartige Passwörter für das lokale Admin-Konto auf jedem System, um zu verhindern, dass Angreifer sich durch Kompromittierung eines einzigen lokalen Admin-Kontos nach Belieben lateral durch das Netzwerk bewegen.

Es ist auch wichtig, Ihre IT-Umgebung auf verdächtiges Benutzerverhalten zu überwachen, das auf eine laufende Bedrohung hinweisen könnte. Eine frühzeitige Erkennung ist unerlässlich.

Wie man sich gegen Privilege Escalation schützt

Obwohl es keine Möglichkeit gibt, Ihre Umgebung vollständig gegen Hacker und böswillige Insider abzusichern, die darauf abzielen, Privilegien zu eskalieren, können Sie das Risiko der Privilegieneskalation verringern, indem Sie die Angriffsflächen Ihrer Endpunkt-Betriebssysteme und Software härten und das Principle of Least Privilege für alle Ressourcen durchsetzen. Sie sollten auch Multifaktor-Authentifizierung verlangen, um eine bessere Sicherheit zu gewährleisten, wann immer dies aufgrund des mit der versuchten Aktivität verbundenen Risikos gerechtfertigt ist. Führen Sie regelmäßige Risikobewertungen durch, um Risiken für Ihre sensiblen Dateien zu erkennen und zu bewerten, und ergreifen Sie Schritte, um Daten gemäß ihrem Wert zu sichern.

Viele Unternehmen nutzen irgendeine Art von Privileged Access Management (PAM) Lösung. Die Netwrix Privileged Access Management Solution bietet Ihnen Einblick in die Privilegien über alle Ihre Systeme und Anwendungen hinweg. Sie warnt Sie, wenn neue privilegierte Konten erstellt oder geändert werden, und entdeckt privilegierte Konten, von denen Sie möglicherweise gar nichts wissen. Kurz gesagt, sie gibt Ihnen die Kontrolle über Privilegien in Ihrer gesamten IT-Landschaft.

Die Kombination einer Privileged Access Management-Lösung mit der Einhaltung von Sicherheitsbest-Practices kann Ihnen helfen, Privilegienerweiterung und laterale Bewegungen zu blockieren, um Datenverlust, Geschäftsunterbrechungen und Compliance-Strafen zu vermeiden.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Active Directory-Attribute: Letzte Anmeldung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen