Die Sicherung Ihrer Windows-Server und des Betriebs von Windows 10 ist entscheidend, insbesondere angesichts der heutigen ausgeklügelten Bedrohungslandschaft. Diese sind in der Regel die ersten Maschinen, die bei einem Angriff kompromittiert werden, indem die schwächste Verbindung in der Kette ausgenutzt wird — der Benutzer. Durch Tricks und Social Engineering erlangen Bedrohungsakteure Zugang zu diesen Maschinen und versuchen dann, sich seitwärts zu bewegen und ihre Privilegien zu erhöhen. Daher kann die Verbesserung der Sicherheit von Endpunkten und Servern Ihr Risiko eines Sicherheitsvorfalls erheblich verringern.
Ausgewählte verwandte Inhalte:
Eine Maßnahme, um einen Server zu härten, ist der Schutz der Local Security Authority (LSA). Die LSA steuert und verwaltet Benutzerrechtsinformationen, Passworthashes und andere wichtige Informationen im Speicher. Angriffswerkzeuge, wie mimikatz, verlassen sich darauf, auf diese Inhalte zuzugreifen, um Passworthashes oder Klartext-Passwörter auszulesen. Die Aktivierung des LSA-Schutzes konfiguriert Windows so, dass die im Speicher gespeicherten Informationen sicherer verwaltet werden – insbesondere, um zu verhindern, dass nicht geschützte Prozesse auf diese Daten zugreifen können.
Was ist ein geschützter Prozess?
Ein Prozess gilt als geschützt, wenn er die in dieser Microsoft-Dokumentation beschriebenen Kriterien erfüllt. Zusammengefasst gilt ein Prozess als geschützt, wenn er eine verifizierte Signatur von Microsoft aufweist und den Microsoft Security Development Lifecycle (SDL) einhält. Werden diese beiden Kriterien nicht erfüllt, kann der Prozess nicht auf den Inhalt zugreifen, der vom LSA im Speicher verwendet wird.
So aktivieren Sie den LSA-Schutz
Da der LSA-Schutz über die Registrierung gesteuert wird, können Sie ihn mithilfe von Group Policy: Einfach den Wert von RunAsPPL auf 1 setzen. Diese Einstellung finden Sie in der Registrierung unter SYSTEMCurrentControlSetControlLsa.
Der folgende Code kann als .reg-Datei verwendet werden, um diesen Wert auf 1 zu setzen:
*Code Block*
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"RunAsPPL"=dword:00000001
*Code Block*
Überprüfung Ihrer Einstellungen
Um zu überprüfen, dass jeder Server geschützt ist, können Sie zum oben genannten Abschnitt der Registrierung navigieren und bestätigen, dass der Wert auf 1 gesetzt ist.
Um die Aufgabe jedoch etwas zu erleichtern, habe ich unten ein PowerShell-Skript bereitgestellt, das es Ihnen ermöglicht, den Wert für einen bestimmten Computer aus der Ferne abzufragen (vorausgesetzt, der entsprechende Zugriff besteht). Ersetzen Sie einfach [SAMPLEHOST] durch den Hostnamen des Computers. Dieser Code wird 0, 1 oder eine Ausnahme zurückgeben, die anzeigt, dass die RunAsPPL-Eigenschaft nicht existiert. Es sei denn, 1 wird zurückgegeben, ist die Einstellung auf dem anvisierten Computer nicht aktiviert.
*Code Block*
invoke-command -Computer [SAMPLEHOST] {Get-itempropertyvalue -Path "HKLM:SYSTEMCurrentControlSetControlLsa" -Name RunAsPPL}
*Code Block*
Teilen auf
Erfahren Sie mehr
Über den Autor
Kevin Joyce
Direktor für Product Management
Director of Product Management bei Netwrix. Kevin hat eine Leidenschaft für Cybersicherheit, insbesondere das Verständnis der Taktiken und Techniken, die Angreifer nutzen, um Umgebungen von Organisationen auszunutzen. Mit acht Jahren Erfahrung im Produktmanagement, mit Schwerpunkt auf Active Directory und Windows-Sicherheit, hat er diese Leidenschaft genutzt, um Lösungen für Organisationen zu entwickeln, die ihre Identitäten, Infrastruktur und Daten schützen helfen.
Erfahren Sie mehr zu diesem Thema
Windows Defender Credential Guard zum Schutz von Privileged Credentials verwenden
Wie man jedes Skript mit MS Intune bereitstellt
Was ist Microsoft LAPS: Wie können Sie dessen Sicherheit verbessern?
Ein praktischer Leitfaden zur Implementierung und Verwaltung von Remote Access-Lösungen
So verwalten Sie VMware Snapshots