Indicators of Exposure
Scannen Sie Ihr Active Directory, um gefährlich Konfigurationen aufzudecken, die Angreifer ausnutzen können.
KRITIKALITÄTSSTUFEN
| Kritikalität | Risikoscore | Farbe | Beschreibung |
|---|---|---|---|
| Kritisch | 9.0 - 10.0 | Lila | Schwachstellen, durch die eine Kompromittierung des Active Directory (oder Teilen davon) für unprivilegierte Benutzer ermöglicht wird |
| Hoch | 7.0 - 8.9 | Rot | Schwachstellen, die zur Kompromittierung oder zum Lateral Movement beitragen und gefährliche Fehlkonfiguration, die nicht zur direkten Übernahme des Active Directory führen. |
| Mittel | 4.0 - 6.9 | Gelb | Fehlkonfigurationen die Sicherheitsmechanismen umgehen und Schwachstellen, die sich nicht maßgeblich auf das Active Directory auswirken |
| Niedrig | 0.1 - 3.9 | Grün | Empfohlene Security Best Practises in Bezug auf das Active Directory und Schwachstellen mit geringen Auswirkungen |
| Info | 0.0 | Blau | Informationen und Hinweise zu Konfigurationen |
Wie wird der Risikoscore erstellt?
Das Risiko der Fehlkonfiguration / Schwachstelle wird anhand der unten stehenden Punkte eingeordnet.
- Auswirkung: Auswirkungen auf das Active Directory und/oder die mit dem zentralen Verzeichnisdienst verbundenen Systeme und Applikationen
- Lateral Movement: Mögliche Ausbreitung des Angreifers durch Ausnutzen der Schwachstelle
- Komplexität: Die Komplexität des Angriffs, der für eine Ausnutzung erforderlich ist
Geprüfte Indikatoren
Allgemein
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| LM (LanManager) ist aktiv | Kritisch | Zur Anmeldung mit NTLMv1 kann ein LM-Hash oder LAN Manager-Hash verwendet werden. Dieser Hash-Algorithmus ist sehr schwach und erlaubt es damit Angreifern, den Passworthash zu knacken. |
| Objekt mit Replikationsfehler | Hoch | Objekte beginnend mit "$Duplicate" weisen auf Replikationsfehler hin |
| Passwortähnliche Zeichenkette gefunden | Hoch | Passwörter sollten niemals unverschlüsselt in AD-Attributen gespeichert werden, da diese so einfach von Angreifern/unberechtigten Personen ausgelesen werden können. |
| Passwordrichtlinie nicht stark genug | Hoch | Es wurden Gruppenrichtlinien gefunden, die verschiedene Aspekte der Passwortsicherheit nicht nach aktuellen Best Practice vorgeben. Dies kann verschiedene Angriffsmethoden, die zur Übernahme eines Accounts durch Angreifer führen, erleichtern. |
| Veraltete Forestfunktionsebene | Mittel | Sicherheitsfunktionen stehen aufgrund veralteter Forestfunktionsebene nicht zur Verfügung. |
| Kerberos Kennwort veraltet | Mittel | Das Kerberos-Kennwort wurde schon länger nicht mehr verändert. Falls eines der letzten zwei Kerberos-Kennwörter kompromittiert wurde, kann das potenziell eine Schwachstelle in der IT-Sicherheit des Unternehmens darstellen. |
| Veraltete Domänenfunktionsebene | Mittel | Sicherheitsfunktionen stehen aufgrund veralteter Domänenfunktionsebene nicht zur Verfügung. |
| AD Papierkorb nicht aktiviert | Niedrig | Das Wiederherstellen von gelöschten AD Objekten ist nicht möglich. |
| Privileged Access Management ist nicht aktiviert | Niedrig | Das Aktivieren und Konfigurieren des "Permission Access Managements" (Verwaltung privilegierter Zugriffe) ist ein einfacher und effektiver Weg, die Systemsicherheit zu erhöhen. |
| Letztes AD-Backup zu alt | - | Bald verfügbar |
| Veraltete Verschlüsselung des Kerberos Tickets | - | Bald verfügbar |
| Spooler-Dienst auf Domaincontroller aktiviert | - | Bald verfügbar |
Benutzer
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| Uneingeschränkte Delegierung für Nutzer erlaubt | Kritisch | Alle Objekte (z. B. Nutzer, Service Accounts, Computer etc.) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z. B. Authentisierung ggü. Services, durchführen. Im schlimmsten Fall, kann ein nicht autorisierter Nutzer über Rechte verfügen, die nicht vom Administrator vorgesehen waren und so auf kritische Systeme zugreifen. |
| Privilegierte Konten haben einen Service-Principal-Namen (SPN) | Kritisch | Einem privilegierten Nutzer wurde ein SPN (Service Principle Name) zugewiesen. Dieser ist für jeden Domänennutzer sichtbar und kann potenziell missbraucht werden. |
| Eingeschränkte Delegierung für privilegierte Nutzer erlaubt | Kritisch | Definierte Objekte (z. B. Nutzer, Service Accounts, Computer etc.) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie Autorisierung gegenüber Services, durchführen. |
| Veraltete Verschlüsselungsmethode für privilegierte Benutzer | Kritisch | Die DES-Verschlüsselung gilt mittlerweile als sehr unsicher, da sie Inhalte mit einem 56-Bit-Schlüssel verschlüsselt. Infolgedessen sind Konten, die DES zur Authentifizierung bei Diensten verwenden, einem viel höheren Risiko ausgesetzt, dass ihre Anmeldesequenz entschlüsselt und ihre Konten kompromittiert werden. |
| Passwort eines privilegierten Benutzers wird reversible gespeichert | Kritisch | Passwörter, die unverschlüsselt gespeichert werden, sind für Angreifer leicht auslesbar. Dies birgt die Gefahr, dass Angreifer ohne großen Aufwand Zugang zu den Passwörtern erhalten können. Dies ist besonders kritisch bei privilegierten Accounts. |
| Eingeschränkte Delegierung für Nutzer erlaubt | Hoch | Definierte Objekte (z. B. Nutzer, Service Accounts, Computer etc.) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z. B. Authorisierung ggü. Services, durchführen. |
| Privilegierter Benutzer nicht in "Geschützte Benutzer"-Gruppe | Hoch | Mitglieder der Gruppe „Geschützte Benutzer“ erhalten zusätzlichen Schutz vor der Kompromittierung von Anmeldeinformationen während des Authentifizierungsprozesses. |
| Veraltete Verschlüsselungsmethode | Hoch | Die DES-Verschlüsselung gilt mittlerweile als sehr unsicher, da sie Inhalte mit einem 56-Bit-Schlüssel verschlüsselt. Infolgedessen sind Konten, die DES zur Authentifizierung bei Diensten verwenden, einem viel höheren Risiko ausgesetzt, dass ihre Anmeldesequenz entschlüsselt und ihre Konten kompromittiert werden. |
| Passwort eines Benutzers wird reversible gespeichert | Hoch | Passwörter, die unverschlüsselt gespeichert werden, sind für Angreifer leicht auslesbar. Dies birgt die Gefahr, dass Angreifer ohne großen Aufwand Zugang zu den Passwörtern erhalten können. |
| Benutzer können Computer zur Domäne hinzufügen | Mittel | Normale Benutzer haben das Recht eine unbestimmte Anzahl an Objekten der Domäne hinzuzufügen. Dieses Recht sollte Administratoren vorenthalten werden. |
| Ein Nutzerkonto hat oder hatte administrative Rechte | Mittel | Ein Nutzerkonto verfügte über administrative Rechte. Das kann ein Hinweis auf eine Fehlkonfiguration oder einen Angriff sein. |
| Anzahl der Domänenadministratoren | Mittel | Die Anzahl der Domänenadministratoren übersteigt die empfohlene Anzahl von 2. |
| Ein Notfalladministratorkonto wurde genutzt | Mittel | Dieses Administrationskonto sollte nur im Notfall genutzt werden. Falls diese Nutzung nicht bekannt ist oder nicht autorisiert wurde liegt höchstwahrscheinlich ein Sicherheitsvorfall vor. |
| Nutzerkennwörter sind veraltet | Mittel | Die Kennwörter sind veraltet und sollten daher schnellstmöglich geändert werden. |
| Das Nutzerkennwort läuft nie ab | Mittel | Die Kennwörter der Benutzer laufen nie ab. Dies kann potenziell als Schwachstelle ausgenutzt werden. |
| Mindestkennwortlänge für Nutzer nicht festgelegt | Mittel | Nutzer können aufgrund dieser Einstellung auf die Vergabe eines Kennworts verzichten und erlauben somit einen nicht autorisierten Zugriff auf das Unternehmensnetzwerk. |
| Benutzer bei denen die Prä-Authentifizierung nicht erforderlich ist | Mittel | Die Präauthentifizierung wurde bei gewissen Konten deaktiviert. Das stellt eine potenzielle Sicherheitslücke dar und sollte nur genutzt werden, falls genutzte Systeme das tatsächlich voraussetzen. |
| Benutzer kann Password nicht ändern | Mittel | Benutzer ist auf die Hilfe von Dritten angewiesen um sein Kennwort zu ändern. |
| Inaktive Benutzerobjekte | Niedrig | Es wurden inaktive Benutzerobjekte gefunden, welche potenziell als Sicherheitslücke ausgenutzt werden könnten. |
| Deaktivierte, privilegierter Benutzer | Niedrig | Wenn ein privilegiertes Konto deaktiviert ist, sollten alle privilegierten Berechtigungen entfernt werden. |
| Unsichere Passwortrichtlinie konfiguriert | - | Bald verfügbar |
| Kennwörter in SysVol erkannt | - | Bald verfügbar |
| Administratoren nicht als sensitiv markiert | - | Bald verfügbar |
Computer
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| Uneingeschränkte Delegierung für Computer erlaubt | Kritisch | Alle Computer-Objekte dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z.B. Authentisierung ggü. Services, durchführen. Im schlimmsten Fall, kann ein kompromittierter Computer, über Rechte verfügen, die nicht vom Administrator vorgesehen waren und so auf kritische Systeme zugreifen. |
| SMB v1 auf Domaincontroller aktiviert | Kritisch | SMBv1 weist erhebliche Sicherheitsrisiken auf, und es wird dringend von einer Verwendung abgreraten. Mit einem SMB-Downgrade-Angriff können Angreifer Anmeldeinformationen erhalten und Befehle im Kontext eines anderen Benutzers ausführen,. |
| Veraltetes Betriebssystem erkannt | Hoch | Es wurden Betriebssysteme erkannt, die nicht mehr mit Sicherheitsupdates versehen werden |
| SMB v1 aktiviert | Hoch | SMBv1 weist erhebliche Sicherheitsrisiken auf, und es wird dringend von einer Verwendung abgreraten. Mit einem SMB-Downgrade-Angriff können Angreifer Anmeldeinformationen erhalten und Befehle im Kontext eines anderen Benutzers ausführen,. |
| Mindestkennwortlänge für Computer nicht festgelegt | Mittel | Bei Computern ohne Mindestlänge für ein Passwort greifen Unternehmensvorgaben für Passwortrichtlinien nicht. Damit erlauben diese Geräte poteziell einen nicht autorisierten Zugriff auf das Unternehmensnetzwerk. |
| Computerobjekt kann sein Passwort nicht selbst ändern | Mittel | Das Computerobjekt kann sein Passwort nicht automatisch rotieren. Wenn ein Computer sein Passwort nicht aktualisieren kann, bleibt es unverändert und könnte bei einem Sicherheitsverstoß von Angreifern ausgenutzt werden. |
| Passwort des Domaincontrollers wird nicht regelmäßig geändert | Mittel | Die Änderung des Kennworts für das Maschinenkonto wird standardmäßig alle 30 Tage vom Computer veranlasst. Seit Windows 2000 haben alle Windows-Versionen denselben Wert. Dieses Verhalten kann mit der folgenden Gruppenrichtlinieneinstellung in Active Directory auf einen benutzerdefinierten Wert geändert werden. |
| Computer wurde lange nicht am DC angemeldet | Niedrig | Die letzte Geräteanmeldung am DC war vor längerer Zeit. Das Gerät ist weiterhin als "aktiv" gekennzeichnet. |
Gruppen
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| Gruppe "Prä-Windows 2000 kompatibler Zugriff" erlaubt Zugang ohne Account | Mittel | Wenn eine der Gruppen „Jeder“ oder „Anonym“ Mitglied der Gruppe „Prä-Windows 2000 kompatibler Zugriff“ist, kann auf die Domäne ohne einen AD-Account zugegriffen werden. |
| Vorkonfigurierte Administratorengruppen in Verwendung | Niedrig | Vorkonfigurierte Administratorengruppen können leicht, auch von unerfahrenen Angreifern ausgenutzt werden. |
| Gruppe "Prä-Windows 2000 kompatibler Zugriff" erlaubt Zugang für authentifizierte Benutzer | Info | Die Gruppe „Prä-Windows 2000 kompatibler Zugriff“ wurde erstellt, um mit Windows NT kompatibel zu sein. Die Gruppe ermöglicht es, Berechtigungen auf Objektebene für Active Directory-Objekte zu erteilen, die mit dem weniger sicheren Windows NT kompatibel sind, anstatt granularer Berechtigungen auf Attributebene zu verwenden. |
| Leere Gruppen | Info | Um die Entstehung von technischen Schulden und Komplexität zu vermeiden, sollten leere Gruppen gelöscht werden. |
| Endlosschleife in verschachtelten Gruppen | - | Bald verfügbar |
Nicht die richtige Antwort gefunden?
Wir helfen gerne weiter! Schreiben Sie uns an support@sec-auditor.com