Springe zum Inhalt

SoftEd Blog

In unserem SoftEd-Blog informieren wir Sie regelmäßig zu neuen Themen der Branche und Aktuellem aus Gesellschaft und Leben.

Blog abonnieren
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 1
| | IT-Infrastruktur, IT-Security

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 1: Vorbereitungen

Wie können SMB1 Zugriffe im Unternehmen zentral gesammelt und ausgewertet werden? Da das Thema ziemlich umfassend ist, teilen wir das Ganze in drei Parts.

  • Part 1 – Vorbereitungen
  • Part 2 – Einrichtung LogAnalytics Workspace
  • Part 3 – Datenauswertung

Problemstellung

Auch nach knapp 30 Jahren ist das SMB1 Protokoll in vielen Unternehmen noch weit verbreitet. Es wurde in und für eine Zeit entwickelt, die so nicht mehr existiert. Schaut man auf WannaCry, Petya, EMOTET, so lautet der Rat dringend das Protokoll auf allen Systemen zu deaktivieren.

Die bekannten und noch in der Entwicklung befindlichen Schädlinge nutzen gut dokumentierte Wege, um sich per SMB1 von einem infiziertem Gerät aus innerhalb eines Netzwerkes weiterzuverbreiten und weitere Schadroutinen zu ermöglichen. Ohne entsprechende Maßnahmen wird ein Netzwerk mit mehreren 1000 Geräten binnen Stunden flächig kompromittiert.

Spätestens wenn der CISO/ Informationssicherheitsbeauftragte beginnt technische Fragen zu stellen, wird zeitnah zu klären sein, ob „SMB1 flächendeckend deaktiviert ist“? Da gerade bei diesem Protokoll Schwachstellen ausgenutzt werden können, empfiehlt es sich das veraltete Protokoll zu deaktivieren.

Deaktivierung mit Struktur & Konzept

Die Deaktivierung kann entweder ungeplant oder über Nacht erledigt werden. Jedoch ist das nicht die beste Methode. Besser ist es hier mit Struktur und Konzept vorzugehen.

Ich möchte zeigen, wie man die Zugriffe zum einen protokollieren, zum anderen die gesammelten Daten auswerten und eine geplante Abschaltung vornehmen kann.
Die notwendigen Werkzeuge für dieses Vorhaben sind neben den vorhandenen Servern & Clients, auch:

  • Das Windows Admin Center (ab Version 1910)
  • Eine Azure Subscription für einen LogAnaytics-Workspace
  • Eine PowerBI Lizenz für die Auswertung

Das Ziel ist es, die auftretenden Events auf den Systemen an einer Stelle zu sammeln und später mit einem geeigneten Tool auszuwerten, um die Abschaltung kontrolliert vorzunehmen.

Vorbereitung – Gruppenrichtlinien

Zunächst einmal müssen die Zugriffe im Eventlog protokolliert werden.
Dies ist per Default nicht aktiviert. Dazu muss auf den Systemen folgender Registry-Wert ergänzt werden.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"AuditSmb1Access"=dword:00000001

Das kann händisch auf den Systemen angepasst oder zentral über eine Gruppenrichtlinie verteilt werden.
Nach kurzer Zeit, sollten dann im Eventlog die ersten Events mit der ID 3000 erscheinen.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 2
EventLog Eintrag – EventID 3000

Hier könnte man jetzt schon mit dem Abschalten auf den gemeldeten Systemen beginnen. Aber wir wollen uns erst einmal einen gesamten Eindruck in der Umgebung machen, nicht, dass wir immer wieder von vorn beginnen.

Vorbereitungen – Windows Admin Center in Azure registrieren

Um die auftretenden Events an einem zentralen Ort zu sammeln, werden wir über das Windows Admin Center (WAC) einen neuen LogAnalytics Workspace einrichten. Die Einrichtung wird durch einen Wizard unterstützt und ist nahezu selbsterklärend.
Wenn bereits ein solcher Workspace vorhanden ist, dann kann auch dieser verwendet werden. Das Einsammeln der Events wird über einen Agent sichergestellt.
Im WAC suchen wir uns einen beliebigen Server und wechseln in das Menü „Azure Monitor“.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 3
Windows Admin Center – Azure Monitor

Anschließend registrieren wir das WAC bei Azure. Dazu wie im Ablauf beschrieben vorgehen. Den Code kopieren und auf „Enter the Code“ klicken.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 4
Register Windows Admin Center in Azure

Auf der neuen Seite den Code einfügen.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 5
Register Windows Admin Center in Azure

Danach mit einem Account anmelden, der in Azure Zugriff auf die Subscription hat.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 6
Register Windows Admin Center in Azure

Wir haben jetzt die Tenant ID unseres Azure Active Diretories und können mit der Registrierung des WAC in Azure fortfahren. Dazu setzen wir die Auswahl auf „Create New“, danach auf „Connect“.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 7
Register Windows Admin Center in Azure

Jetzt müssen wir, wie beschrieben, der Azure App Windows Admin Center Berechtigungen erteilen.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 8
Register Windows Admin Center in Azure
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 9
Register Windows Admin Center in Azure
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 10
Register Windows Admin Center in Azure

Sobald die aufgelisteten Berechtigungen erteilt sind, wechseln wir wieder in den Tab mit unserem WAC zurück und melden uns am WAC mit unserem Azure Account an.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 11
Register Windows Admin Center in Azure

Wenn das erfolgt ist, können wir mit der Einrichtung des Azure Log Analytics Workspaces fortfahren.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht's! Part 1: Vorbereitungen 12
Register Windows Admin Center in Azure

Im zweiten Teil werden wir uns dann mit der Einrichtung des Log Analytic Workspace beschäftigen.

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht.

neunzehn − neun =