Neue Gefährdungen & Gruppenrichtlinienobjekte

Mit der neuen Version haben wir die Überprüfung von Gruppenrichtlinienobjekte implementiert und insgesamt acht neue Gefährdungen (IoE) hinzugefügt. Außerdem schauen wir bereits in die Zukunft und haben uns auf das neue Funktionslevel mit Windows Server 2025 vorbereitet. 

Aktualisiertes Dashboard

Gruppenrichtlinien

Gefundene und analysierte Gruppenrichtlinien werden nun im AD-Explorer aufgeführt, und sämtliche vorgenommenen Änderungen sind im detaillierten Änderungsverlauf ersichtlich.

Verbesserter Änderungsverlauf

Der Änderungsverlauf wurde übersichtlicher gestaltet, sodass einzelne Vorgänge im Active Directory einfacher durchsucht, sortiert und gefiltert werden können.

Verbesserungen am Collector

Automatische Updatebenachrichtigungen

Der Collector wird nun regelmäßig auf seine Aktualität überprüft, und bei einer alten Version erhalten Sie eine automatische Benachrichtigung über verfügbare Updates. Neuere Versionen des Collectors aktualisieren sich automatisch, um eine effiziente Sicherheitsüberprüfung des Active Directories sicherzustellen. Für eine umfassende Überprüfung des Active Directories ist es notwendig, dass sich der Collector immer auf einem aktuellen Stand befindet.

Kompatibilität mit Windows Server 2025

Unser Produkt wurde erfolgreich gegen die Vorschauversion von Windows Server 2025 getestet und entsprechend angepasst, um das neue Funktions- und Domänenlevel zu unterstützen.

Neue Sicherheitsprüfungen

Mit der aktuellen Version werden folgende zusätzliche Sicherheitsprobleme im Active Directory überprüft:

LM (LanManager) ist aktiv

Kritikalität: Kritisch
Zur Anmeldung mit NTLMv1 kann ein LM-Hash oder LAN Manager-Hash verwendet werden. Dieser Hash-Algorithmus ist sehr schwach und erlaubt es damit Angreifern, den Passworthash zu knacken

Eingeschränkte Delegierung für privilegierte Nutzer erlaubt

Kritikalität: Kritisch
Definierte Objekte (z. B. Nutzer, Service Accounts, Computer etc.) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie Autorisierung gegenüber Services, durchführen.

Diese Gefährdung wurde bereits geprüft, es wurde nur eine Unterteilung zwischen privilegierten und nicht privilegierten Benutzer vorgenommen.

Passwordrichtlinie nicht stark genug

Kritikalität: Hoch
Es wurden Gruppenrichtlinien gefunden, die verschiedene Aspekte der Passwortsicherheit nicht nach aktuellen Best Practice vorgeben. Dies kann verschiedene Angriffsmethoden, die zur Übernahme eines Accounts durch Angreifer führen, erleichtern.

Passwortähnliche Zeichenkette gefunden

Kritikalität: Hoch

Es wurden Gruppenrichtlinien gefunden, die verschiedene Aspekte der Passwortsicherheit nicht nach aktuellen Best Practice vorgeben. Dies kann verschiedene Angriffsmethoden, die zur Übernahme eines Accounts durch Angreifer führen, erleichtern.

Passwörter sollten niemals unverschlüsselt in AD-Attributen gespeichert werden, da diese so einfach von Angreifern/unberechtigten Personen ausgelesen werden können.

Passwort des Domaincontrollers wird nicht regelmäßig geändert

Kritikalität: Mittel
Die Änderung des Kennworts für das Maschinenkonto wird standardmäßig alle 30 Tage vom Computer veranlasst. Seit Windows 2000 haben alle Windows-Versionen denselben Wert. Dieses Verhalten kann mit der folgenden Gruppenrichtlinieneinstellung in Active Directory auf einen benutzerdefinierten Wert geändert werden.

Gruppe „Prä-Windows 2000 kompatibler Zugriff“ erlaubt Zugang ohne Account

Kritikalität: Mittel
Wenn eine der Gruppen „Jeder“ oder „Anonym“ Mitglied der Gruppe „Prä-Windows 2000 kompatibler Zugriff“ist, kann auf die Domäne ohne einen AD-Account zugegriffen werden.

Gruppe „Prä-Windows 2000 kompatibler Zugriff“ erlaubt Zugang für authentifizierte Benutzer

Kritikalität: Info
Die Gruppe „Prä-Windows 2000 kompatibler Zugriff“ wurde erstellt, um mit Windows NT kompatibel zu sein. Die Gruppe ermöglicht es, Berechtigungen auf Objektebene für Active Directory-Objekte zu erteilen, die mit dem weniger sicheren Windows NT kompatibel sind, anstatt granularer Berechtigungen auf Attributebene zu verwenden.

Leere Gruppen

Kritikalität: Info
Um die Entstehung von technischen Schulden und Komplexität zu vermeiden, sollten leere Gruppen gelöscht werden.

Verbesserungen & Fehlerbehebungen

  • [Collector] Verbesserte Datenerfassung für lastLogon-Werte zur präziseren Überwachung von Anmeldezeitpunkten
  • [Dashboard] Deutliche Leistungsverbesserungen bei der Suche im Änderungsverlauf.
  • [Dashboard] Optimierung der Darstellung von Graphen im Kunden-Dashboard für verbesserte Übersichtlichkeit