Indicators of Exposure

Scannen Sie Ihr Active Directory, um gefährlich Konfigurationen aufzudecken, die Angreifer ausnutzen können.

KRITIKALITÄTSSTUFEN

KritikalitätRisikoscoreFarbeBeschreibung
Kritisch9.0 - 10.0LilaSchwachstellen, durch die eine Kompromittierung des Active Directory (oder Teilen davon) für unprivilegierte Benutzer ermöglicht wird
Hoch7.0 - 8.9RotSchwachstellen, die zur Kompromittierung oder zum Lateral Movement beitragen und gefährliche Fehlkonfiguration, die nicht zur direkten Übernahme des Active Directory führen.
Mittel4.0 - 6.9GelbFehlkonfigurationen die Sicherheitsmechanismen umgehen und Schwachstellen, die sich nicht maßgeblich auf das Active Directory auswirken
Niedrig0.1 - 3.9GrünEmpfohlene Security Best Practises in Bezug auf das Active Directory und Schwachstellen mit geringen Auswirkungen
Info0.0BlauInformationen und Hinweise zu Konfigurationen
Wie wird der Risikoscore erstellt?

Das Risiko der Fehlkonfiguration / Schwachstelle wird anhand der unten stehenden Punkte eingeordnet.

  • Auswirkung: Auswirkungen auf das Active Directory und/oder die mit dem zentralen Verzeichnisdienst verbundenen Systeme und Applikationen
  • Lateral Movement: Mögliche Ausbreitung des Angreifers durch Ausnutzen der Schwachstelle
  • Komplexität: Die Komplexität des Angriffs, der für eine Ausnutzung erforderlich ist

Geprüfte Indikatoren

Allgemein
TitelKritikalitätAuswirkung / Beschreibung
Objekt mit ReplikationsfehlerHochObjekte beginnend mit „$Duplicate“ weisen auf Replikationsfehler hin
Passwortähnliche Zeichenkette gefundenHochPasswörter sollten niemals unverschlüsselt in AD-Attributen gespeichert werden, da diese so einfach von Angreifern/unberechtigten Personen ausgelesen werden können.
Kerberos Kennwort veraltetMittelDas Kerberos-Kennwort wurde schon länger nicht mehr verändert. Falls eines der letzten zwei Kerberos-Kennwörter kompromittiert wurde, kann das potenziell eine Schwachstelle in der IT-Sicherheit des Unternehmens darstellen.
Veraltete ForestfunktionsebeneMittelSicherheitsfunktionen stehen aufgrund veralteter Forestfunktionsebene nicht zur Verfügung.
Veraltete DomänenfunktionsebeneMittelSicherheitsfunktionen stehen aufgrund veralteter Domänenfunktionsebene nicht zur Verfügung.
AD Papierkorb nicht aktiviertNiedrigDas Wiederherstellen von gelöschten AD Objekten ist nicht möglich.
Privileged Access Management ist nicht aktiviertNiedrigDas Aktivieren und Konfigurieren des „Permission Access Managements“ (Verwaltung privilegierter Zugriffe) ist ein einfacher und effektiver Weg, die Systemsicherheit zu erhöhen.
Gruppenrichtlinien
TitelKritikalitätAuswirkung / Beschreibung
LM (LanManager) ist aktivKritischZur Anmeldung mit NTLMv1 kann ein LM-Hash oder LAN Manager-Hash verwendet werden. Dieser Hash-Algorithmus ist sehr schwach und erlaubt es damit Angreifern, den Passworthash zu knacken.
Passwortrichtlinie nicht stark genugHochEs wurden Gruppenrichtlinien gefunden, die verschiedene Aspekte der Passwortsicherheit nicht nach aktuellen Best Practice vorgeben. Dies kann verschiedene Angriffsmethoden, die zur Übernahme eines Accounts durch Angreifer führen, erleichtern.
Gruppenrichtlinie enthält PasswortHochPasswörter, die in einer Gruppenrichtlinie hinterlegt sind, sind durch alle Benutzer- und Computerobjekte abrufbar. Durch den Einsatz einer schwachen Verschlüsselung (Schlüssel ist bekannt), kann das Passwort einfach ausgelesen und durch Angreifer verwendet werden.
Kerberos Armoring unterstützt und nicht aktiviertNiedrigKerberos Armoring ist eine Funktion, die das Sicherheitsniveau der Kerberos-Authentifizierung in Netzwerken anhebt.
PowerShell Logging nicht aktiviertInfoDie in allen Windows-Systemen vorinstallierte mächtige PowerShell steht grundsätzlich als sinnvolles Hilfsmittel für Administratoren oder zur Automatisierung zur Verfügung. Durch die vielen Anwendungsmöglichkeiten haben auch Angreifer die PowerShell als mächtiges Angriffswerkzeug für Windows-Systeme entdeckt.
Benutzer
TitelKritikalitätAuswirkung / Beschreibung
Eingeschränkte Delegierung für privilegierte Benutzer erlaubtKritischDefinierte Objekte (z. B. Nutzer, Service Accounts, Computer) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen und mit ihren Rechten Operationen, wie Autorisierung gegenüber Services, durchführen.
Passwort eines privilegierten Benutzers wird reversible gespeichertKritischPasswörter, die unverschlüsselt gespeichert werden, sind für Angreifer leicht auslesbar. Dies birgt die Gefahr, dass Angreifer ohne großen Aufwand Zugang zu den Passwörtern erhalten können. Dies ist besonders kritisch bei privilegierten Accounts.
Privilegierte Konten haben einen Service-Principal-Namen (SPN)KritischEinem privilegierten Nutzer wurde ein SPN (Service Principle Name) zugewiesen. Dieser ist für jeden Domänennutzer sichtbar und kann potenziell missbraucht werden.
Uneingeschränkte Delegierung für Benutzer erlaubtKritischAlle Objekte (z. B. Nutzer, Service Accounts, Computer) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen und mit ihren Rechten Operationen, wie Authentisierung ggü. Services, durchführen. Im schlimmsten Fall, kann ein nicht autorisierter Nutzer über Rechte verfügen, die nicht vom Administrator vorgesehen waren und so auf kritische Systeme zugreifen.
Veraltete Verschlüsselungsmethode für privilegierte BenutzerKritischDie DES-Verschlüsselung gilt mittlerweile als sehr unsicher, da sie Inhalte mit einem 56-Bit-Schlüssel verschlüsselt. Infolgedessen sind Konten, die DES zur Authentifizierung bei Diensten verwenden, einem viel höheren Risiko ausgesetzt, dass ihre Anmeldesequenz entschlüsselt und ihre Konten kompromittiert werden.
Eingeschränkte Delegierung für Benutzer erlaubtHochDefinierte Objekte (z. B. Nutzer, Service Accounts, Computer) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z. B. Authorisierung ggü. Services, durchführen.
Gastbenutzer mit falscher primärer Gruppen-IDHochDas "primaryGroupId"-Attribut eines Benutzer- oder Computerkontos gewährt implizit Mitgliedschaft in einer Gruppe. Dadurch erbt das betroffene Objekt die Berechtigungen dieser Gruppe. Diese Konstellation führt zu schwerwiegenden Fehlkonfigurationen, einschließlich unbeabsichtigter privilegierter Berechtigungen.
Gastkonto ist aktiviertHochDas Gastkonto wird als anonymes/unpersönliches Konto verwendet, um jedem eine Verbindung mit dem Active Directory zu ermöglichen.
Passwort eines Benutzers wird reversible gespeichertHochPasswörter, die unverschlüsselt gespeichert werden, sind für Angreifer leicht auslesbar. Dies birgt die Gefahr, dass Angreifer ohne großen Aufwand Zugang zu den Passwörtern erhalten können.
Privilegierter Benutzer nicht in "Geschützte Benutzer"-GruppeHochMitglieder der Gruppe „Geschützte Benutzer“ erhalten zusätzlichen Schutz vor der Kompromittierung von Anmeldeinformationen während des Authentifizierungsprozesses.
Veraltete VerschlüsselungsmethodeHochDie DES-Verschlüsselung gilt mittlerweile als sehr unsicher, da sie Inhalte mit einem 56-Bit-Schlüssel verschlüsselt. Infolgedessen sind Konten, die DES zur Authentifizierung bei Diensten verwenden, einem viel höheren Risiko ausgesetzt, dass ihre Anmeldesequenz entschlüsselt und ihre Konten kompromittiert werden.
Benutzer können Computer zur Domäne hinzufügenMittelNormale Benutzer haben das Recht eine unbestimmte Anzahl an Objekten der Domäne hinzuzufügen. Dieses Recht sollte Administratoren vorenthalten werden.
Benutzer kann Passwort nicht ändernMittelBenutzer ist auf die Hilfe von Dritten angewiesen um sein Kennwort zu ändern.
Benutzer bei denen die Prä-Authentifizierung nicht erforderlich istMittelDie Präauthentifizierung wurde bei gewissen Konten deaktiviert. Das stellt eine potenzielle Sicherheitslücke dar und sollte nur genutzt werden, falls genutzte Systeme das tatsächlich voraussetzen.
Benutzer, bei denen kein Passwort erforderlich istMittelNutzer können aufgrund dieser Einstellung auf die Vergabe eines Kennworts verzichten und erlauben somit einen nicht autorisierten Zugriff auf das Unternehmensnetzwerk.
Das Nutzerkennwort läuft nie abMittelDie Kennwörter der Benutzer laufen nie ab. Dies kann potenziell als Schwachstelle ausgenutzt werden.
Ein Notfalladministratorkonto wurde genutztMittelDieses Administrationskonto sollte nur im Notfall genutzt werden. Falls diese Nutzung nicht bekannt ist oder nicht autorisiert wurde liegt höchstwahrscheinlich ein Sicherheitsvorfall vor.
Hohe Anzahl an DomänenadministratorenMittelDie Anzahl der Domänenadministratoren übersteigt die empfohlene Anzahl von 2.
Nutzerkennwörter sind veraltetMittelDie Kennwörter sind veraltet und sollten daher schnellstmöglich geändert werden.
Deaktivierte, privilegierter Benutzer NiedrigWenn ein privilegiertes Konto deaktiviert ist, sollten alle privilegierten Berechtigungen entfernt werden.
Inaktive BenutzerobjekteNiedrigEs wurden inaktive Benutzerobjekte gefunden, welche potenziell als Sicherheitslücke ausgenutzt werden könnten.
Ein Nutzerkonto hat oder hatte administrative RechteInfoEin Nutzerkonto verfügte über administrative Rechte. Das kann ein Hinweis auf eine Fehlkonfiguration oder einen Angriff sein.
Computer
TitelKritikalitätAuswirkung / Beschreibung
SMB v1 auf Domaincontroller aktiviertKritischSMBv1 weist erhebliche Sicherheitsrisiken auf, und es wird dringend von einer Verwendung abgreraten. Mit einem SMB-Downgrade-Angriff können Angreifer Anmeldeinformationen erhalten und Befehle im Kontext eines anderen Benutzers ausführen,.
Uneingeschränkte Delegierung für Computer erlaubtKritischAlle Computer-Objekte dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z.B. Authentisierung ggü. Services, durchführen. Im schlimmsten Fall, kann ein kompromittierter Computer, über Rechte verfügen, die nicht vom Administrator vorgesehen waren und so auf kritische Systeme zugreifen.
Computer hat falsche primäre GruppeHochDas "primaryGroupId"-Attribut eines Benutzer- oder Computerkontos gewährt implizit Mitgliedschaft in einer Gruppe. Dadurch erbt das betroffene Objekt die Berechtigungen dieser Gruppe. Diese Konstellation führt zu schwerwiegenden Fehlkonfigurationen, einschließlich unbeabsichtigter privilegierter Berechtigungen.
Domänencontroller hat einen falschen BesitzerHochStandardmäßig ist die Gruppe „Domänenadministratoren“ oder die Gruppe „Organisations-Administratoren“ als Eigentümer für „Domänencontroller“ festgelegt.
Domänencontroller mit falscher primärer Gruppen-IDHochDas "primaryGroupId"-Attribut eines Benutzer- oder Computerkontos gewährt implizit Mitgliedschaft in einer Gruppe. Dadurch erbt das betroffene Objekt die Berechtigungen dieser Gruppe. Diese Konstellation führt zu schwerwiegenden Fehlkonfigurationen, einschließlich unbeabsichtigter privilegierter Berechtigungen.
Fehlende Updates auf DomaincontrollerHochDamit soll sichergestellt werden, dass alle Domänencontroller regelmäßig aktualisiert werden. Dazu wird überprüft, ob ein DC in den vergangenen 6 Monaten neu gestartet worden ist. Wenn nicht, bedeutet dies, dass er in diesen 6 Monaten auch nicht gepatcht wurde.

SMB v1 aktiviertHochSMBv1 weist erhebliche Sicherheitsrisiken auf, und es wird dringend von einer Verwendung abgreraten. Mit einem SMB-Downgrade-Angriff können Angreifer Anmeldeinformationen erhalten und Befehle im Kontext eines anderen Benutzers ausführen,.
Veraltetes Betriebssystem erkanntHochEs wurden Betriebssysteme erkannt, die nicht mehr mit Sicherheitsupdates versehen werden
Computer, bei denen kein Passwort erforderlich istMittelBei Computern ist es erlaubt, kein Passwort zu nutzen. Damit erlauben diese Geräte potenziell einen nicht autorisierten Zugriff auf das Unternehmensnetzwerk.
Computerobjekt kann sein Passwort nicht selbst ändernMittelDas Computerobjekt kann sein Passwort nicht automatisch rotieren. Wenn ein Computer sein Passwort nicht aktualisieren kann, bleibt es unverändert und könnte bei einem Sicherheitsverstoß von Angreifern ausgenutzt werden.
Computer wurde lange nicht am DC angemeldetNiedrigDie letzte Geräteanmeldung am DC war vor längerer Zeit. Das Gerät ist weiterhin als "aktiv" gekennzeichnet.
Passwort des Computerobjektes läuft nie abMittelDas Kennwort des Computers läuft nie ab. Dies kann potenziell von Angreifern ausgenutzt werden, die dadurch einen persistenten Zugriff aufrechterhalten können.
Passwort des Domaincontrollers wird nicht regelmäßig geändertMittelDie Änderung des Kennworts für das Maschinenkonto wird standardmäßig alle 30 Tage vom Computer veranlasst. Seit Windows 2000 haben alle Windows-Versionen denselben Wert. Dieses Verhalten kann mit der folgenden Gruppenrichtlinieneinstellung in Active Directory auf einen benutzerdefinierten Wert geändert werden.
Passwort eines Computers ist zu altNiedrigWenn ein Computer lange offline ist, ändert sich sein Kennwort nicht. Ein festgelegtes, veraltetes Passwort könnte potenziell ausgenutzt werden, wenn es kompromittiert wurde.
Gruppen
TitelKritikalitätAuswirkung / Beschreibung
Gruppe "Prä-Windows 2000 kompatibler Zugriff" erlaubt Zugang ohne AccountMittelWenn eine der Gruppen „Jeder“ oder „Anonym“ Mitglied der Gruppe „Prä-Windows 2000 kompatibler Zugriff“ist, kann auf die Domäne ohne einen AD-Account zugegriffen werden.
Vorkonfigurierte Administratorengruppen in VerwendungNiedrigVorkonfigurierte Administratorengruppen können leicht, auch von unerfahrenen Angreifern ausgenutzt werden.
Gruppe "Prä-Windows 2000 kompatibler Zugriff" erlaubt Zugang für authentifizierte BenutzerInfoDie Gruppe „Prä-Windows 2000 kompatibler Zugriff“ wurde erstellt, um mit Windows NT kompatibel zu sein. Die Gruppe ermöglicht es, Berechtigungen auf Objektebene für Active Directory-Objekte zu erteilen, die mit dem weniger sicheren Windows NT kompatibel sind, anstatt granularer Berechtigungen auf Attributebene zu verwenden.
Leere GruppenInfoUm die Entstehung von technischen Schulden und Komplexität zu vermeiden, sollten leere Gruppen gelöscht werden.

Nicht die richtige Antwort gefunden?
Wir helfen gerne weiter! Schreiben Sie uns an support@sec-auditor.com