Netzwerkschutz mit Microsoft Net Cease

Nutzer gut versteckt

von Thomas Joos

Microsoft stellt in der TechNet-Gallery immer wieder Tools und Skripte für die PowerShell zur Verfügung, mit denen sich die Verwaltung von Windows-Netzwerken vereinfachen oder die Sicherheit verbessern lässt. Ein Beispiel für ein derartiges Skript ist Net Cease. Es hilft dabei, die Standardberechtigungen von Net Session Enumeration so anzupassen, dass Angreifer keinen Zugang zum Netzwerk erhalten – auch nicht über Pass-the-Hash-Attacken.

Aus IT-Administrator 03/2017

Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Das PowerShell-Skript "Net Cease" [1] steht unter dem Stichwort "Hardening Net Session Enumeration" und schützt nicht nur ältere Serversysteme wie Windows Server 2008/2008 R2 und 2012/2012 R2, sondern auch Windows Server 2016. Ebenso lassen sich damit Windows 7/8/8.1 und 10 absichern. Ältere Windows-Versionen wie Server 2000/2003 finden keine Unterstützung.

Die Entwickler empfehlen, das Tool auf allen Windows-Rechnern im Netzwerk auszuführen. Denn wenn Angreifer in ein Netzwerk eindringen, geschieht das normalerweise über einen einzelnen Endpunkt. Sobald dieser Endpunkt, etwa ein unsicherer Server oder Router, übernommen wurde, gilt es für den Angreifer, Informationen über das Netzwerk zu sammeln. Denn nur so kann er auch den Rest des Netzwerks effizient ausspähen oder weitere Angriffe durchführen.

Dieses Ausspähen, auch Reconnaissance, kurz "recon" genannt, soll durch das Net-Cease-Skript verhindert werden. Vor allem das Auffinden von Administrator-Konten im Netzwerk ist dabei ein wichtiger Schritt. Denn sobald ein Angreifer einmal Zugang zum Netzwerk hat und auf privilegierte Benutzerkonten zugreifen kann,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.