Als rechtmäßiger Marktführer im Bereich der Client-Betriebssysteme ist Microsoft natürlich auf die sichere Standardkonfiguration seines Systeme bedacht. Aber man muss Angreifern auch eine Chance lassen. Hier kommt die Top 3 der besten Defaults in Windows.

NBT-NT / mDNS / LLMNR, gute Freunde der Startmenüsuche

Namensauflösungen werden primär über DNS durchgeführt. Sollte der DNS-Server keine Antwort für einen Hostnamen kennen, versucht Windows standardmäßig über NBT-NT, mDNS oder LLMNR alle möglichen Clients im lokalen Netzwerk zu fragen. Was kann da schon schief gehen? Genau, im Prinzip gar nichts, das war nur eine Fun-Frage. Weiterhin ist es auch nicht schlimm, dass Windows bei SMB-Verbindungsversuchen (dazu reicht schon eine Suche im Startmenü, beginnend mit “\\”) den NTLM-Hash des angemeldeten Benutzers mitsendet. Nur so zur Sicherheit, man weiß ja nie. Blöd nur, wenn ein Angreifer im gleichen Netzwerk NBT-NT/mDNS/LLMNR-Anfragen immer mit seiner eigenen IP-Adresse beantwortet und die dann empfangenen NTLM-Hashes mitschreibt. Aber das sind nur theoretische Ansätze, so etwas würde nie jemand ausnutzen.

Was zu Hause oder in kleinen Workgroups vielleicht noch verständlich ist, hat in Unternehmensnetzwerken nichts verloren. Warum werden diese Protokolle nicht standardmäßig abgeschaltet, wenn ein Rechner einer Domäne beitritt?

ms-DS-MachineAccountQuota

Was muss man sich spritzen, um auf die Idee zu kommen, normalen Domänen-Benutzern standardmäßig das Recht zu geben 10 Computer in die Domäne aufzunehmen [1]?

NTLMv1

NTLMv1 erfreut sich großer Beliebtheit bei Angreifern. Wie kann man das noch guten Gewissens standardmäßig aktiv lassen [2]? Sollte es nicht langsam an der Zeit sein, NTLMv1 aus dem Betriebssystem zu streichen, auch wenn es weh tut und sicher für einige Admins Umstellungsaufwand bedeutet?

---

[1] die Antwort auf die Frage erfahren Sie demnächst in unserer neuen Kategorie “für Sie getestet”
[2] rhetorische Fragen, bitte keine Leserbriefe dazu