In der Welt der IT-Sicherheit offenbaren sich potenzielle Angriffspunkte nicht ausschließlich im Netzwerk; selbst gängige PC-Arbeitsplätze können als Einfallstore für Cyberangriffe dienen. Einige Schwachstellen bei PC-Arbeitsplätzen haben sich als regelrechte Klassiker etabliert, da sie Angreifern einen zuverlässigen Zugang zu Endgeräten und Netzwerken ermöglichen.

Selbst in den vermeintlich sicheren Büroumgebungen unterschätzen Unternehmen oft die Gefahr von externen Bedrohungen. Neben den eigenen Mitarbeitern haben zahlreiche Personen Zugang zu Bürogebäuden, sei es das Reinigungspersonal oder der Sicherheitsdienst. Zudem gelingt es Unbefugten immer wieder, sich ohne Anmeldung Zugang zu Unternehmensräumen zu verschaffen. Dieser Beitrag gibt einen Überblick über die häufigsten Schwachstellen bei PC-Arbeitsplätzen und stellt Möglichkeiten vor, wie Unternehmen sich effektiv davor schützen können.

Festplattenverschlüsselung als bewährter Schutzmechanismus

Selbst in den vertrauten Büroräumen müssen Unternehmen Vorsichtsmaßnahmen ergreifen, um ihre IT-Systeme vor unbefugtem Zugriff zu schützen. Die Festplattenverschlüsselung, die bei mobilen Geräten Standard ist, wird bei PC-Arbeitsplätzen oft vernachlässigt. Dies birgt Gefahren, wie beispielsweise den Zugang zum System durch den Austausch der Datei OSK.EXE im Windows-Verzeichnis. Durch diesen Austausch können Angreifer über eine Kommandozeile lokale Administrator-Rechte erlangen, was als vertikale Rechteausweitung bekannt ist. Um dieser Bedrohung vorzubeugen, sollten alle Arbeitsplätze mit einer Festplattenverschlüsselung ausgestattet sein. Nutzer können das System dann nur verwenden, wenn sie es durch ein Kennwort oder einen Hardware-Token freigeschaltet haben.

Passwörter als potenzielle Achillesferse

Die durch unbefugte Administrator-Rechte erschlichenen Zugriffsmöglichkeiten können Angreifer nutzen, um an gehashte Passwörter zu gelangen. In vielen Windows-Umgebungen existieren lokale Benutzer wie Administratorenkonten oder Management-User für den lokalen Virenschutz oder die Softwareverteilung. Hier kommen oft „Pass-the-Hash“-Angriffe ins Spiel, bei denen Angreifer das gehashte Passwort verwenden, ohne das Klartextpasswort berechnen zu müssen. Die Local Administrator Password Solution (LAPS) ist eine hilfreiche Maßnahme, um Passwörter automatisch zu verwalten. Das Tool erstellt unterschiedliche Passwörter pro Arbeitsplatz und ändert sie regelmäßig, um die Sicherheit zu erhöhen.

Die Standardeinstellungen von Windows speichern die letzten zehn erfolgreichen lokalen Logins gehasht ab, was eine potenzielle Sicherheitslücke darstellt. Um horizontalen Rechteausweitungen vorzubeugen, kann die Anzahl der Logins über Gruppenrichtlinien angepasst werden. Es wird empfohlen, bei PC-Arbeitsplätzen lediglich ein Login und bei mobilen Geräten zwei Logins zu ermöglichen.

Kerberos-Authentifizierung: Ein weiterer Klassiker mit Risiken

Die Kerberos-Authentifizierung im Rahmen der Verwaltung von Windows-basierten Netzwerken über das Active Directory birgt ebenfalls Risiken. Das Kerberos-Verfahren, benannt nach dem dreiköpfigen Höllenhund Kerberos, basiert auf drei Komponenten: dem Client, dem Key-Distribution-Center und dem Hosting-Server. Hier können Angreifer Authentisierungsanfragen abfangen und für ihre Angriffe nutzen. Durch die Verwendung langer und komplexer Passwörter können Kerberos-stabile Konten sicherer gestaltet werden, auch wenn sie in einigen Fällen notwendig sind.