Partner werden
Login

Aktuelle Störung: Das SEC AUDITOR Dashboard ist momentan nicht erreichbar. Unser Team arbeitet mit Hochdruck an der Wiederherstellung. Bei dringenden Fragen: support@sec-auditor.com

April-Update: Mehr Kontrolle über Benachrichtigungen

April-Update: Mehr Kontrolle über Benachrichtigungen

07. April 2026

In diesem Update dreht sich vieles um Finetuning: Benachrichtigungen lassen sich jetzt pro Kritikalität und Domäne konfigurieren. Dazu kommen neue Integrationen und Sicherheitsprüfungen – unter anderem für GPO-Berechtigungen und WSUS-Konfigurationen.

Neue Funktionen

Granularere Benachrichtigungen

In den Account-Einstellungen lassen sich Benachrichtigungen granularer steuern. Es lassen sich für jede Kritikalität Benachrichtigungen aktivieren oder deaktivieren. Auch lassen sich nun Benachrichtigungen für einzelne Domänen komplett deaktivieren.

Tethris API (beta)

SEC AUDITOR kann nun Sicherheitsereignisse an die TEHTRIS XDR-Plattform weiterleiten. TEHTRIS ist eine europäische XDR-Lösung (Extended Detection & Response), die Sicherheitsereignisse aus verschiedenen Quellen konsolidiert und automatisierte Reaktionen ermöglicht.

Die Integration lässt sich unter Domäne → Einstellungen → Integrationen konfigurieren.

Fehlt eine Integration zu eurem SIEM, Ticketsystem oder XDR? Wir bauen das Integrations-Portfolio kontinuierlich aus – daher gerne unter partner@sec-auditor.com melden!

Neue Sicherheitsprüfungen

Mit der aktuellen Version werden folgende zusätzliche Sicherheitsprobleme im Active Directory überprüft:

Schreibrechte auf GPO-Objekte für Nicht-Admins

Kritikalität: Kritisch
Gruppenrichtlinien (GPOs) steuern zentrale Sicherheitskonfigurationen in einer Active-Directory-Domäne. Wenn Standardbenutzer oder allgemeine Gruppen wie „Authenticated Users“ Schreibrechte auf ein GPO besitzen, können sie dessen Inhalt verändern. Das ermöglicht Angreifern, schädliche Konfigurationen einzuschleusen und alle Systeme zu kompromittieren, auf die das GPO angewendet wird. Im schlimmsten Fall führt das zur vollständigen Übernahme der Domäne.

Veraltete Anmeldeverfahren erlaubt (Entra)

Kritikalität: Kritisch
Veraltete Anmeldeverfahren in Entra unterstützen keine modernen Sicherheitsfeatures wie Multifaktor-Authentifizierung.

Fehlende AES-Kerberos-Verschlüsselung für Accounts

Kritikalität: Mittel
In der Active Directory-Umgebung wurden Accounts identifiziert, die keine AES-Verschlüsselung für die Kerberos-Authentifizierung unterstützen. Diese Accounts verwenden stattdessen die veraltete RC4-Verschlüsselung, die erheblich leichter zu knacken ist als moderne Verschlüsselungsstandards. Infolgedessen können Angreifer die Passwörter dieser Accounts deutlich schneller kompromittieren, was das Risiko eines unbefugten Zugriffs auf Systeme und Dienste erhöht.

WSUS-Kommunikation über unverschlüsseltes HTTP

Kritikalität: Mittel
Die Windows Server Update Services (WSUS) werden über das unverschlüsselte HTTP-Protokoll anstelle von HTTPS angesprochen. Das ermöglicht Angreifern im Netzwerk, die Kommunikation zwischen Clients und WSUS-Server abzufangen und zu manipulieren. Da WSUS als vertrauenswürdige Quelle für Softwareupdates dient, können kompromittierte Verbindungen weitreichende Folgen haben – bis hin zur vollständigen Übernahme von Domänen-Computern.

WSUS-Zertifikatspinning deaktiviert

Kritikalität: Niedrig
Eine Gruppenrichtlinie deaktiviert das Zertifikatspinning für die Windows Update-Kommunikation mit dem WSUS-Server. Bei deaktiviertem Zertifikatspinning kann ein Angreifer die Update-Kommunikation abfangen und manipulieren, selbst wenn WSUS über HTTPS konfiguriert ist. Infolgedessen können Angreifer im Netzwerk schädliche Updates einschleusen, NTLM-Anmeldedaten abfangen oder diese für Relay-Angriffe gegen andere Systeme missbrauchen.

E-Mail-Adresse bei Admin-Konto

Kritikalität: Niedrig
Administrative Konten in Active Directory sollten ausschließlich für privilegierte Aufgaben verwendet werden und keine E-Mail-Adresse hinterlegt haben. Das liegt daran, dass E-Mail-Kommunikation ein häufiges Angriffsziel ist – Phishing-Angriffe oder schädliche Anhänge können so direkt ein hochprivilegiertes Konto gefährden. Infolgedessen steigt das Risiko, dass ein Angreifer über einen einzigen kompromittierten E-Mail-Klick vollständigen Zugriff auf kritische Systeme erlangt.

Verbesserungen & Fehlerbehebungen

  • Behoben: Exchange-Konten werden nun bei IoEs für gefährliche Berechtigungen auf OUs herausgefiltert, da diese dort zwingend erforderlich sind
  • Behoben: Der Builtin-Administrator wird nicht mehr im IoE „Deaktivierte, privilegierte Benutzer“ angezeigt, da dies die empfohlene Konfiguration als Break-Glass-Account ist.
  • [Dashboard] Der PDF-Bericht wurde etwas übersichtlicher und kompakter gestaltet
  • [Dashboard] Änderungen des Attributes „whenchanged“ wird im Änderungsverlauf nicht mehr angezeigt, da der Mehrwert nicht gegeben ist