Wie können SMB1 Zugriffe im Unternehmen zentral gesammelt und ausgewertet werden? Da das Thema ziemlich umfassend ist, teilen wir das Ganze in drei Parts.
- Part 1 – Vorbereitungen
- Part 2 – Einrichtung LogAnalytics Workspace
- Part 3 – Datenauswertung
Problemstellung
Auch nach knapp 30 Jahren ist das SMB1 Protokoll in vielen Unternehmen noch weit verbreitet. Es wurde in und für eine Zeit entwickelt, die so nicht mehr existiert. Schaut man auf WannaCry, Petya, EMOTET, so lautet der Rat dringend das Protokoll auf allen Systemen zu deaktivieren.
Die bekannten und noch in der Entwicklung befindlichen Schädlinge nutzen gut dokumentierte Wege, um sich per SMB1 von einem infiziertem Gerät aus innerhalb eines Netzwerkes weiterzuverbreiten und weitere Schadroutinen zu ermöglichen. Ohne entsprechende Maßnahmen wird ein Netzwerk mit mehreren 1000 Geräten binnen Stunden flächig kompromittiert.
Spätestens wenn der CISO/ Informationssicherheitsbeauftragte beginnt technische Fragen zu stellen, wird zeitnah zu klären sein, ob „SMB1 flächendeckend deaktiviert ist“? Da gerade bei diesem Protokoll Schwachstellen ausgenutzt werden können, empfiehlt es sich das veraltete Protokoll zu deaktivieren.
Deaktivierung mit Struktur & Konzept
Die Deaktivierung kann entweder ungeplant oder über Nacht erledigt werden. Jedoch ist das nicht die beste Methode. Besser ist es hier mit Struktur und Konzept vorzugehen.
Ich möchte zeigen, wie man die Zugriffe zum einen protokollieren, zum anderen die gesammelten Daten auswerten und eine geplante Abschaltung vornehmen kann.
Die notwendigen Werkzeuge für dieses Vorhaben sind neben den vorhandenen Servern & Clients, auch:
- Das Windows Admin Center (ab Version 1910)
- Eine Azure Subscription für einen LogAnaytics-Workspace
- Eine PowerBI Lizenz für die Auswertung
Das Ziel ist es, die auftretenden Events auf den Systemen an einer Stelle zu sammeln und später mit einem geeigneten Tool auszuwerten, um die Abschaltung kontrolliert vorzunehmen.
Vorbereitung – Gruppenrichtlinien
Zunächst einmal müssen die Zugriffe im Eventlog protokolliert werden.
Dies ist per Default nicht aktiviert. Dazu muss auf den Systemen folgender Registry-Wert ergänzt werden.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "AuditSmb1Access"=dword:00000001
Das kann händisch auf den Systemen angepasst oder zentral über eine Gruppenrichtlinie verteilt werden.
Nach kurzer Zeit, sollten dann im Eventlog die ersten Events mit der ID 3000 erscheinen.
Hier könnte man jetzt schon mit dem Abschalten auf den gemeldeten Systemen beginnen. Aber wir wollen uns erst einmal einen gesamten Eindruck in der Umgebung machen, nicht, dass wir immer wieder von vorn beginnen.
Vorbereitungen – Windows Admin Center in Azure registrieren
Um die auftretenden Events an einem zentralen Ort zu sammeln, werden wir über das Windows Admin Center (WAC) einen neuen LogAnalytics Workspace einrichten. Die Einrichtung wird durch einen Wizard unterstützt und ist nahezu selbsterklärend.
Wenn bereits ein solcher Workspace vorhanden ist, dann kann auch dieser verwendet werden. Das Einsammeln der Events wird über einen Agent sichergestellt.
Im WAC suchen wir uns einen beliebigen Server und wechseln in das Menü „Azure Monitor“.
Anschließend registrieren wir das WAC bei Azure. Dazu wie im Ablauf beschrieben vorgehen. Den Code kopieren und auf „Enter the Code“ klicken.
Auf der neuen Seite den Code einfügen.
Danach mit einem Account anmelden, der in Azure Zugriff auf die Subscription hat.
Wir haben jetzt die Tenant ID unseres Azure Active Diretories und können mit der Registrierung des WAC in Azure fortfahren. Dazu setzen wir die Auswahl auf „Create New“, danach auf „Connect“.
Jetzt müssen wir, wie beschrieben, der Azure App Windows Admin Center Berechtigungen erteilen.
Sobald die aufgelisteten Berechtigungen erteilt sind, wechseln wir wieder in den Tab mit unserem WAC zurück und melden uns am WAC mit unserem Azure Account an.
Wenn das erfolgt ist, können wir mit der Einrichtung des Azure Log Analytics Workspaces fortfahren.
Im zweiten Teil werden wir uns dann mit der Einrichtung des Log Analytic Workspace beschäftigen.
