[ { "start": 0.017, "end": 10.109, "text": "Hallo und herzlich willkommen zu einer neuen Folge von Blue Screen Wissen." }, { "start": 10.784, "end": 15.737, "text": "Wir wollen uns heute mal angucken, wie man als Administrator von einer Windows und Microsoft" }, { "start": 15.737, "end": 21.737, "text": "lastigen Umgebung mal gucken kann, welche Risiken denn im eigenen Unternehmen und im" }, { "start": 21.737, "end": 24.457, "text": "eigenen Netzwerk möglicherweise da sind." }, { "start": 24.756, "end": 30.897, "text": "Und das Werkzeug, mit dem wir uns dafür beschäftigen, ist das Werkzeug des französischen Entwicklers" }, { "start": 30.897, "end": 34.537, "text": "Vincent Letout und nennt sich Pincastle." }, { "start": 34.537, "end": 39.889, "text": "Pincastle ist eine wundervolle Methode und Möglichkeit, um das eigene Active Directory" }, { "start": 39.952, "end": 44.737, "text": "zu scannen und hier innerhalb von kürzester Zeit, und hier reden wir nicht wie in den" }, { "start": 44.737, "end": 50.777, "text": "anderen Folgen von Stunden oder Tagen, sondern Minuten rausfinden kann, welche Schwachstellen" }, { "start": 50.777, "end": 55.823, "text": "denn in der eigenen Umgebung, im eigenen Active Directory möglicherweise vorhanden sind." }, { "start": 56.516, "end": 63.017, "text": "Pincastle gibt es sowohl als kostenfreie Version, den Link dazu lege ich euch unten entsprechend mit in die Show Notes rein," }, { "start": 63.017, "end": 67.777, "text": "da könnt ihr euch das Ganze direkt runterladen und könnt für euch selber mal einen Scan durchführen." }, { "start": 68.417, "end": 72.817, "text": "Und das gibt es auch als bezahlte Version, die sogenannte Auditoren Lizenz." }, { "start": 72.936, "end": 78.895, "text": "Und mit diesem Werkzeug, mit der Auditoren Lizenz, gehen wir zum Beispiel auch in den Security Quick Check bei unseren Kunden," }, { "start": 79.097, "end": 84.377, "text": "weil man dort einfach noch besser aufbereitet Informationen bekommen kann," }, { "start": 84.377, "end": 88.15, "text": "weil man hier noch genauer sehen kann, in welcher Reihenfolge denn die gefundenen" }, { "start": 88.337, "end": 92.097, "text": "Schwachstellen eigentlich angegangen werden sollten. Und ich spreche jetzt hier" }, { "start": 92.097, "end": 96.137, "text": "so von der Überzeugung oder aus der Überzeugung heraus, dass es" }, { "start": 96.137, "end": 100.057, "text": "Schwachstellen gibt, die wir finden. Und da muss ich sagen, das ist tatsächlich" }, { "start": 100.057, "end": 105.297, "text": "in 100 Prozent aller Fälle so, wenn wir heute bei einem Kunden reinkommen und im" }, { "start": 105.297, "end": 110.268, "text": "Rahmen des Quick Checks oder durch eine andere Maßnahme eine Bewertung des Active Directories" }, { "start": 110.537, "end": 116.137, "text": "durchführen, finden wir immer was. Das ist gar nicht mal die Schuld der Admins, die sich um das" }, { "start": 116.137, "end": 121.577, "text": "System kümmern, sondern das sind halt einfach viele Altlasten, viele Dinge, die man halt einfach" }, { "start": 121.577, "end": 127.337, "text": "in den letzten Jahren vielleicht auch vernachlässigt hat, weil es auch keine große Rolle gespielt hat." }, { "start": 127.679, "end": 136.177, "text": "Aber heute, 2024, ist es halt so, dass Angreifer, die es schaffen, im Unternehmen einen Fuß reinzukriegen," }, { "start": 136.177, "end": 140.697, "text": "zum Beispiel durch eine Phishing-Mail, halt tatsächlich diese Schwachstellen auch ausnutzen." }, { "start": 141.254, "end": 147.88, "text": "Vincent Le Tou als Entwickler ist maßgeblich auch an der Entwicklung des Angriffstoolkits Mimikatz beteiligt gewesen und" }, { "start": 148.231, "end": 153.064, "text": "zum Teil ist er auch in der Security- und White-Hat-Szene immer noch sehr aktiv." }, { "start": 153.209, "end": 159.704, "text": "Pink Castle bietet uns sozusagen die White-Hat-Variante von einem echten Angriffstoolkit," }, { "start": 159.871, "end": 163.464, "text": "damit wir einfach in die Situation versetzt werden, das gleiche zu sehen," }, { "start": 163.464, "end": 166.304, "text": "was ein Angreifer auch sehen würde." }, { "start": 166.505, "end": 167.442, "text": "Wie läuft das Ganze ab?" }, { "start": 167.811, "end": 174.959, "text": "Ihr ladet euch Pincastle herunter, z.B. über den Link in den Shownotes oder wir bringen das Ganze in der Auditorenlizenz mit zu euch." }, { "start": 175.121, "end": 177.224, "text": "Das ist komplett ohne Installation." }, { "start": 177.407, "end": 180.224, "text": "Wir müssen auch nicht auf einen Domaincontroller mit der Software." }, { "start": 180.224, "end": 186.224, "text": "Das einzige was wir brauchen sind halt entsprechende Berechtigungen, wenn wir diese Excel-Datei ausführen." }, { "start": 186.224, "end": 190.424, "text": "Und ja, dann läuft der Scanner im Grunde genommen schon los." }, { "start": 190.424, "end": 197.424, "text": "Das heißt, der Scanner durchforstet dann das Active Directory, führt verschiedene Prüfungen aus" }, { "start": 197.527, "end": 201.424, "text": "und gibt uns dann nach ein paar Minuten einen Bericht als HTML-Datei aus," }, { "start": 201.839, "end": 207.439, "text": "wo ich dann ganz klar sehen kann, wie ist es denn um mein Active Directory momentan bestellt." }, { "start": 207.691, "end": 211.104, "text": "Das Ganze funktioniert dann auf einem Bewertungsmechanismus," }, { "start": 211.175, "end": 218.544, "text": "dem Risikoscore, der für die gesamte Umgebung gilt. Das ist also ein globaler Risikoscore, der hier angewendet wird." }, { "start": 218.998, "end": 225.083, "text": "Und darunter gibt es dann noch mal auf vier verschiedene Bereiche im Active Directory entsprechend noch mal eine Einzelbewertung." }, { "start": 225.254, "end": 232.064, "text": "Der Trick dabei ist, dass keiner der vier Bereiche dieser Scores niedriger sein wird" }, { "start": 232.064, "end": 233.944, "text": "oder kann als der Gesamtscore." }, { "start": 233.944, "end": 238.304, "text": "Das heißt, ist in einem der vier Bereiche irgendwo eine große Problematik, wird auch" }, { "start": 238.304, "end": 240.981, "text": "der Gesamtrisikoscore entsprechend niedriger." }, { "start": 241.341, "end": 247.166, "text": "Hoch sein. Was hier bewertet wird, sind zum Beispiel eben Anomalien, Sachen die" }, { "start": 247.364, "end": 250.911, "text": "falsch konfiguriert sind, für die es halt eine Vorlage geben würde, wie man es" }, { "start": 250.983, "end": 254.845, "text": "besser machen kann, oder auch auf der anderen Seite zum Beispiel eben." }, { "start": 255.232, "end": 260.151, "text": "Risiken im Bereich von sogenannten Stale Objects, Sachen die halt rumliegen" }, { "start": 260.151, "end": 265.691, "text": "unnötigerweise, also ungenutzte Adminkonten oder Computerkonten, die schon lange nicht mehr benutzt worden sind." }, { "start": 265.899, "end": 276.491, "text": "Ja, und darunter geht es dann auch schon direkt im Prinzip in den vier Bereichen in die Bewertungsphase rein. Man bekommt in der kostenfreien Version dann für das jeweilige" }, { "start": 276.491, "end": 282.331, "text": "Segment eine Beschreibung, welches Risiko ist dort gefunden worden und wenn man sich das Risiko" }, { "start": 282.331, "end": 287.851, "text": "dann anschaut im Detail bekommt man auch direkt einen Hinweis auf die verschiedenen Dokumentationen," }, { "start": 287.851, "end": 294.171, "text": "auf CVEs, auf Schwachstellen Dokumentationen und eben auch wiederum Tipps, was man tun kann," }, { "start": 294.171, "end": 299.771, "text": "um die Umgebung an dieser Stelle sicherer zu gestalten. In der Auditorenversion geht das" }, { "start": 299.771, "end": 305.091, "text": "noch ein gutes Stück weiter. Hier bekomme ich eine Art Fahrplan, den sogenannten Maturity Level," }, { "start": 305.091, "end": 310.891, "text": "also den Reifegrad der Umgebung von Level 1 bis Level 5. Und hier kann ich dann einfach" }, { "start": 310.891, "end": 315.223, "text": "wesentlich strukturierter an die Probleme hin rangehen. Ich kann sagen, ich mache jetzt erstmal." }, { "start": 315.291, "end": 320.251, "text": "Alle Probleme in Level 1. Wenn die dann erledigt sind, geht es weiter in Level 2 und so weiter und" }, { "start": 320.251, "end": 327.131, "text": "so fort. Und was auch noch mit dabei ist, ist dann eben eine Bewertung aus Sicht, welche möglichen" }, { "start": 327.131, "end": 333.251, "text": "Angriffe wären denn in meiner Umgebung theoretisch denkbar. Das alles hat natürlich, wie vorhin gesagt," }, { "start": 333.251, "end": 339.611, "text": "erst dann Relevanz, wenn es ein Angreifer ins Unternehmen reingeschafft hat, denn dann wird" }, { "start": 339.611, "end": 344.571, "text": "der Angreifer hergehen und genau das gleiche tun. Der guckt sich um, was gibt es hier, welche Rechte" }, { "start": 344.571, "end": 349.451, "text": "habe ich aktuell, welche Informationen bekomme ich schon und sich daraus dann eben den Angriff" }, { "start": 349.451, "end": 355.771, "text": "zusammen planen und halt auch durchführen. Dieses sogenannte horizontale Bewegen innerhalb" }, { "start": 355.771, "end": 363.871, "text": "meiner Umgebung, ist genau das, was eben an der Stelle so gefährlich ist. Das heißt, der Angreifer wird sich Häppchenweise und Stück für Stück immer mehr." }, { "start": 364.645, "end": 373.431, "text": "Innerhalb meiner Umgebung bewegen und sich immer mehr Rechte aneignen und vielleicht dabei auch Systeme kaputt machen. Man nennt das im Englischen lateral movement." }, { "start": 374.098, "end": 377.924, "text": "Ja, und dafür ist eben Pincastle wie gesagt ein sehr sehr gutes Werkzeug." }, { "start": 378.311, "end": 384.413, "text": "Wir können mit Pincastle auch einen Export zum Beispiel der Umgebung machen, wenn man möchte." }, { "start": 384.413, "end": 387.529, "text": "Ich kann mir alle Computerkonten exportieren lassen, ich kann mir alle Benutzerkonten" }, { "start": 387.871, "end": 394.313, "text": "exportieren lassen, jeweils dann in CSV-Dateien und auf Basis dieser CSV-Dateien mich dann" }, { "start": 394.313, "end": 398.521, "text": "Stück für Stück einfach einem sicheren Betrieb nähern, indem ich dann eben obsolete Computerkonten" }, { "start": 398.673, "end": 403.076, "text": "wegräume, indem ich aber auch vielleicht Betriebssysteme, die nicht mehr auf dem neuesten Stand sind." }, { "start": 403.517, "end": 410.353, "text": "Nachziehe und updatete, ungenutzte Computerkonten und Benutzerkonten entferne. Ich sehe auch," }, { "start": 410.353, "end": 415.033, "text": "wie gut ist die Accountsicherheit. Ich sehe ganz viele Informationen und das Tolle ist," }, { "start": 415.391, "end": 420.324, "text": "man kann nicht nur das lokale Active Directory damit bewerten, sondern man kann auch das Active" }, { "start": 420.513, "end": 425.834, "text": "Directory in der Cloud, also Azure Active Directory bzw. EntraID von diesem Werkzeug" }, { "start": 426.113, "end": 431.713, "text": "bewerten lassen. Und auch hier sehe ich dann in einer sehr schönen Aufbereitung, welche Schritte" }, { "start": 431.713, "end": 438.392, "text": "müsste ich den Unternehmen, um meine Cloud-Welt von Microsoft ein Stückchen sicherer zu gestalten," }, { "start": 438.473, "end": 443.873, "text": "um hier einen Riegel vorzuschieben. Auch das ist, wie alles andere, was wir schon in den" }, { "start": 443.873, "end": 448.873, "text": "vorherigen Folgen gehört haben, nichts, was man nur einmal tun sollte, sondern es empfiehlt sich" }, { "start": 448.873, "end": 455.233, "text": "tatsächlich mindestens einmal im Monat so einen Scan durchzuführen, weil es natürlich auch so" }, { "start": 455.233, "end": 460.321, "text": "ist, dass hier neue Probleme mit reinwandern. Also Pincastle bekommt auch regelmäßig Updates" }, { "start": 460.745, "end": 467.633, "text": "Und letztes Jahr war es zum Beispiel ganz interessant zu sehen, in dem Moment wo Windows" }, { "start": 467.633, "end": 474.473, "text": "Server 2012 R2 out of support und end of life gegangen ist, hatten wir natürlich wieder" }, { "start": 474.793, "end": 481.473, "text": "eine größere Risikobewertung bei unseren Kunden, weil mit diesem Update von Pincastle," }, { "start": 481.473, "end": 486.959, "text": "was zu Windows Server 2012 R2 dazugehört, auf einmal natürlich ein höheres Risiko" }, { "start": 487.04, "end": 489.129, "text": "gesehen wird. Und das soll ja auch so sein." }, { "start": 489.606, "end": 495.034, "text": "Das heißt, hier wirklich sinnvollerweise einmal im Monat mindestens ein Update machen" }, { "start": 495.079, "end": 500.382, "text": "und Pincastle durchführen und dann mal vergleichen mit dem, was man denn im Vormonat so gefunden hat." }, { "start": 500.832, "end": 506.056, "text": "Eine weitere sehr gute Möglichkeit, wenn es dann um den Bereich Account-Sicherheit geht," }, { "start": 506.251, "end": 510.284, "text": "wäre dann noch ein Werkzeug von dem Hersteller NoBe4." }, { "start": 510.734, "end": 519.136, "text": "NoBe4 als Unternehmen wurde mitgegründet mit Kevin Mitnick. Kevin Mitnick, ein sehr bekannter Hacker." }, { "start": 519.691, "end": 523.376, "text": "Der ist leider letztes Jahr verstorben. Der hat auch sehr viele gute Bücher geschrieben," }, { "start": 523.376, "end": 525.776, "text": "die ich auch immer wieder sehr gerne empfehle." }, { "start": 525.93, "end": 529.136, "text": "Ja, hier gibt es zwei kostenlose Werkzeuge." }, { "start": 529.297, "end": 532.256, "text": "Die bekommt man, wenn man sich registriert auf der KnowBe4-Seite." }, { "start": 532.256, "end": 535.416, "text": "Werde ich auch unten in die Show Notes entsprechend mit verlinken." }, { "start": 535.571, "end": 540.416, "text": "Und da gibt es zum einen den Weak Passwort Test und den Breached Passwort Test." }, { "start": 540.416, "end": 544.376, "text": "Und mit diesen zwei Werkzeugen kann ich noch mal ein bisschen granularer" }, { "start": 544.376, "end": 549.183, "text": "und schöner, wie ich finde, meine Account-Sicherheit bewerten in der eigenen Umgebung." }, { "start": 549.516, "end": 555.466, "text": "Ich habe die Möglichkeit hier, mir meine ganzen Benutzer im Active Directory zu sichten" }, { "start": 555.616, "end": 559.896, "text": "und auch zu bewerten, haben die einmalige Kennwörter, haben die vielleicht schwache" }, { "start": 559.896, "end": 564.433, "text": "Kennwörter, sind das alte Accounts, die schon länger existieren, da fehlt dann vielleicht" }, { "start": 564.622, "end": 569.256, "text": "die AIS-Verschlüsselung oder es gibt noch einen LAN-Manager-Hash für dieses Konto." }, { "start": 569.51, "end": 573.476, "text": "Und auch hier bekomme ich einfach eine tolle Möglichkeit, einfach sukzessive an diese" }, { "start": 573.476, "end": 578.956, "text": "ganzen Sachen heranzugehen, um das mal aufzuräumen." }, { "start": 577.621, "end": 585.102, "text": "Ja, um einfach bessere Account-Sicherheit zu bekommen. Im Gegenzug dazu gibt es dann noch den Breached Password Test und da" }, { "start": 585.408, "end": 589.471, "text": "vergleicht dieses Werkzeug von NoB4, welche Kennwort-Hashes gibt es denn in" }, { "start": 589.471, "end": 594.167, "text": "dieser Active Directory Welt und sind diese Hashes vielleicht schon mal in einem Breach" }, { "start": 594.392, "end": 600.311, "text": "aufgetaucht. Das heißt, wurden diese Kennwörter mit diesem Hash in irgendeinem Datadump" }, { "start": 600.424, "end": 607.031, "text": "bei einem Diebstahl von einer anderen Firma irgendwo entdeckt und auch hier bekomme ich dann den Hinweis, welche dieser Kennwörter schon" }, { "start": 607.328, "end": 612.231, "text": "gebreached worden sind. Und damit kriege ich halt einfach das Thema Accountsicherheit ein gutes Stück." }, { "start": 612.757, "end": 617.879, "text": "Besser abgebildet. Und in Kombination mit Pink Castle sind das definitiv zwei Werkzeuge, die ich" }, { "start": 618.191, "end": 624.671, "text": "euch hier heute empfehlen möchte. Wir verwenden das auch bei unseren Security Quick Checks. Wie gesagt," }, { "start": 624.973, "end": 629.071, "text": "wenn ihr einen Security Quick Check bestellt, bekommt ihr von uns natürlich auch eine Aufbereitung" }, { "start": 629.483, "end": 635.111, "text": "neben den von außen sichtbaren Informationen und Sprachstellen, dann eben auch für die Welt," }, { "start": 635.596, "end": 640.511, "text": "vom Inneren her. Und das Ganze findet ihr dann bei uns am Ende in dem Auditbericht," }, { "start": 640.511, "end": 645.791, "text": "den wir dann entsprechend erstellen. Und ja, wie gesagt, nutzt die Möglichkeiten. Auch hier wurde" }, { "start": 645.791, "end": 650.711, "text": "bis jetzt noch kein Cent ausgegeben. Ihr könnt sowohl Pincastle kostenlos nutzen als auch die" }, { "start": 650.711, "end": 655.231, "text": "Werkzeuge von KnowBe4. Guckt euch das an, verschafft euch einen Überblick über eure" }, { "start": 655.231, "end": 659.38, "text": "eigene Infrastruktur, über das eigene Active Directory. Und wenn ihr Fragen habt, nutzt" }, { "start": 659.767, "end": 664.111, "text": "bitte auch die Gelegenheit, mich zu kontaktieren. Ihr findet unten in den Show Notes die Möglichkeit," }, { "start": 664.111, "end": 668.831, "text": "mir eine E-Mail zu schreiben. Ihr könnt dort auch einen Termin bei mir buchen, kostenfrei von 30" }, { "start": 668.831, "end": 674.231, "text": "Minuten. Nutzt die Chance, verwendet diese Werkzeuge, sprecht mich und die Kollegen auch" }, { "start": 674.231, "end": 677.735, "text": "gerne an. Ja, und dann würde ich sagen, sind wir für heute schon wieder fertig. Ich hoffe," }, { "start": 678.431, "end": 681.631, "text": "ihr konntet was mitnehmen und dann freue ich mich, wenn wir uns zur nächsten Folge hören." }, { "start": 681.631, "end": 683.308, "text": "Macht's gut, bis dahin, euer Alex. Ciao!" }, { "start": 688.4, "end": 701.298, "text": "Music." } ]