Überwachung des Entra ID
Der Herbst bringt frischen Wind in Ihre Active Directory-Sicherheit! Während draußen die ersten Blätter fallen, haben wir fleißig neue Features entwickelt und wichtige Sicherheitsprüfungen ergänzt.
Entdecken Sie in diesem Update visuelle Berechtigungspfade, einen besser anpassbaren Quickcheck und acht neue Sicherheitsindikatoren.
Neue Funktionen
Visuelle Darstellung privilegierter Berechtigungspfade
Für Indikatoren wie „Hohe Anzahl an Domänenadministratoren“ kann der Pfad zur privilegierten Berechtigung nun auch grafisch im Dashboard angesehen werden und bietet so Einsicht in ungewollt vergebene Rechte.
Diese Ansicht wird, soweit passend, auch noch bei weiteren Indikatoren implementiert.
Anpassbare Inhalte und Email-Absender für den Quickcheck
Die Optionen zur Anpassung des Quickchecks wurden stark ausgeweitet. Der Quickcheck als Whitelabel-Lösung zur Implementierung auf der eigenen Webseite lässt nun auch den Versand über die eigene E-Mail-Adresse und eine Anpassung der E-Mail-Templates zu.
So können Sie Ihren Kunden einheitlich wirkende Ergebnisse der kostenlosen AD-Untersuchung zukommen lassen.
Neue Sicherheitsprüfungen
Mit der aktuellen Version werden folgende zusätzliche Sicherheitsprobleme überprüft:
UPN/SPN Duplikatsprüfung deaktiviert
Kritikalität: Kritisch
Die Eindeutigkeitsprüfung für User Principal Names (UPN) und Service Principal Names (SPN) wurde deaktiviert. Diese Einstellung wurde über das DsHeuristics-Attribut an Position 21 vorgenommen und hebt eine wichtige Sicherheitsmaßnahme auf, die mit dem November 2021 Security Update (KB5008382) zur Behebung der Schwachstelle CVE-2021-42282 eingeführt wurde.
Die Funktion garantiert, dass SPNs eindeutig in einem Forest sind, was verhindert, dass Computer und Domain Controller doppelte SPNs hinzufügen. Wenn diese Prüfung deaktiviert ist, können Angreifer mit Standard-Benutzerrechten potenziell doppelte UPNs oder SPNs erstellen, was zu Identitätsverfälschungen und Privilegienerweiterungen führen kann.
Modifikation der AdminSDHolder-Schutzmechanismen
Kritikalität: Hoch
Der AdminSDHolder-Mechanismus ist ein zentraler Sicherheitsschutz in Active Directory, der privilegierte Gruppen und deren Mitglieder vor unbeabsichtigten Änderungen schützt.
Eine Modifikation des dsHeuristics-Attributs kann jedoch bestimmte Operatorgruppen vom AdminSDHolder-Schutz ausschließen. Das dsHeuristics-Attribut ermöglicht eine begrenzte Anpassung zur Entfernung von Gruppen, die als geschützte Gruppen betrachtet werden.
Kein LAPS verwendet
Kritikalität: Hoch
Das Fehlen von Local Administrator Password Solution (LAPS) führt häufig dazu, dass Organisationen typischerweise identische Passwörter für lokale Administratorkonten auf allen domänenverbundenen Computern verwenden. Diese Praxis macht die Infrastruktur extrem anfällig für Pass-the-Hash-Angriffe und laterale Bewegungen im Netzwerk.
Das Risiko wird durch die Tatsache verstärkt, dass lokale Administratorkonten oft schwache, vorhersagbare Passwörter verwenden und diese selten geändert werden.
Legacy Microsoft LAPS
Kritikalität: Mittel
Legacy Microsoft LAPS ist die ursprüngliche Version der Local Administrator Password Solution von Microsoft, die seit Oktober 2023 als veraltet eingestuft ist. Während diese Lösung lokale Administratorpasswörter automatisch rotiert und in Active Directory speichert, fehlen ihr wichtige moderne Sicherheitsfeatures wie Passwort-Verschlüsselung und erweiterte Cloud-Integration.
Windows LAPS bietet viele neue Sicherheitsfeatures wie Passwort-Verschlüsselung in Active Directory und Passwort-Verlauf, die in der Legacy-Version nicht verfügbar sind.
Schema Admins-Mitgliedschaft
Kritikalität: Mittel
Mitglieder der Schema Admins-Gruppe können irreversible Änderungen am Active Directory-Schema vornehmen, die sich auf die gesamte Gesamtstruktur auswirken und nicht rückgängig gemacht werden können. Schema-Änderungen replizieren automatisch auf alle Domänencontroller und können bei missbräuchlicher Verwendung eine komplette Neuerstellung der Domäne erforderlich machen.
NSPI Anonymer Zugriff
Kritikalität: Niedrig
Diese Schwachstelle betrifft die Konfiguration des Active Directory-Attributs DsHeuristics, das den anonymen Zugriff auf das Name Service Provider Interface (NSPI) Protokoll ermöglicht. Wenn das achte Zeichen des DsHeuristics-Attributs auf einen Wert ungleich „0“ gesetzt ist, können Angreifer ohne jegliche Authentifizierung auf das NSPI-Protokoll zugreifen und dadurch alle Benutzer der Active Directory-Gesamtstruktur enumerieren.
DoListObject aktiviert
Kritikalität: Info
Active Directory operiert standardmäßig im „List Child Access Mode“, bei dem authentifizierte Benutzer den Inhalt von Organisationseinheiten (OUs) durchsuchen können. Wenn das DoListObject-Feature aktiviert ist (durch Setzen des dritten Zeichens in dsHeuristics auf „1“), wechselt das System in den „List Object Access Mode“. Diese Konfiguration erfordert explizite Berechtigungen für das Durchsuchen von Verzeichnisinhalten und kann die Sichtbarkeit von AD-Objekten einschränken.
Potenziell unsichere Passwort-Speicherung in Benutzerattributen
Kritikalität: Info
Die Schwachstelle betrifft die unsichere Speicherung von Passwörtern in Active Directory-Benutzerattributen, insbesondere in den Feldern „unixUserPassword“ und „userPassword“. Diese Attribute können Passwörter im Klartext oder mit schwachen Verschlüsselungsverfahren wie ROT13 enthalten, wodurch sie für Angreifer leicht auslesbar sind.
Das Risiko entsteht hauptsächlich durch Integrationsversuche mit Unix/Linux-Systemen oder durch Legacy-Anwendungen, die veraltete LDAP-Mechanismen verwenden.
Verbesserungen & Fehlerbehebungen
- [Collector] Der Collector kann nun auch auf Client-Betriebssystemen ausgeführt werden. Dies ist besonders zur schnellen Überprüfung (Audit oder Quickcheck) praktisch.