Indicators of Exposure
Scannen Sie Ihr Active Directory, um gefährlich Konfigurationen aufzudecken, die Angreifer ausnutzen können.
KRITIKALITÄTSSTUFEN
| Kritikalität | Risikoscore | Farbe | Beschreibung |
|---|---|---|---|
| Kritisch | 9.0 - 10.0 | Lila | Schwachstellen, durch die eine Kompromittierung des Active Directory (oder Teilen davon) für unprivilegierte Benutzer ermöglicht wird |
| Hoch | 7.0 - 8.9 | Rot | Schwachstellen, die zur Kompromittierung oder zum Lateral Movement beitragen und gefährliche Fehlkonfiguration, die nicht zur direkten Übernahme des Active Directory führen. |
| Mittel | 4.0 - 6.9 | Gelb | Fehlkonfigurationen die Sicherheitsmechanismen umgehen und Schwachstellen, die sich nicht maßgeblich auf das Active Directory auswirken |
| Niedrig | 0.1 - 3.9 | Grün | Empfohlene Security Best Practises in Bezug auf das Active Directory und Schwachstellen mit geringen Auswirkungen |
| Info | 0.0 | Blau | Informationen und Hinweise zu Konfigurationen |
Wie wird der Risikoscore erstellt?
Das Risiko der Fehlkonfiguration / Schwachstelle wird anhand der unten stehenden Punkte eingeordnet.
- Auswirkung: Auswirkungen auf das Active Directory und/oder die mit dem zentralen Verzeichnisdienst verbundenen Systeme und Applikationen
- Lateral Movement: Mögliche Ausbreitung des Angreifers durch Ausnutzen der Schwachstelle
- Komplexität: Die Komplexität des Angriffs, der für eine Ausnutzung erforderlich ist
Geprüfte Indikatoren
Allgemein
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| Objekt mit Replikationsfehler | Hoch | Objekte beginnend mit „$Duplicate“ weisen auf Replikationsfehler hin |
| Passwortähnliche Zeichenkette gefunden | Hoch | Passwörter sollten niemals unverschlüsselt in AD-Attributen gespeichert werden, da diese so einfach von Angreifern/unberechtigten Personen ausgelesen werden können. |
| Kerberos Kennwort veraltet | Mittel | Das Kerberos-Kennwort wurde schon länger nicht mehr verändert. Falls eines der letzten zwei Kerberos-Kennwörter kompromittiert wurde, kann das potenziell eine Schwachstelle in der IT-Sicherheit des Unternehmens darstellen. |
| Veraltete Forestfunktionsebene | Mittel | Sicherheitsfunktionen stehen aufgrund veralteter Forestfunktionsebene nicht zur Verfügung. |
| Veraltete Domänenfunktionsebene | Mittel | Sicherheitsfunktionen stehen aufgrund veralteter Domänenfunktionsebene nicht zur Verfügung. |
| AD Papierkorb nicht aktiviert | Niedrig | Das Wiederherstellen von gelöschten AD Objekten ist nicht möglich. |
| Privileged Access Management ist nicht aktiviert | Niedrig | Das Aktivieren und Konfigurieren des „Permission Access Managements“ (Verwaltung privilegierter Zugriffe) ist ein einfacher und effektiver Weg, die Systemsicherheit zu erhöhen. |
Gruppenrichtlinien
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| LM (LanManager) ist aktiv | Kritisch | Zur Anmeldung mit NTLMv1 kann ein LM-Hash oder LAN Manager-Hash verwendet werden. Dieser Hash-Algorithmus ist sehr schwach und erlaubt es damit Angreifern, den Passworthash zu knacken. |
| Passwortrichtlinie nicht stark genug | Hoch | Es wurden Gruppenrichtlinien gefunden, die verschiedene Aspekte der Passwortsicherheit nicht nach aktuellen Best Practice vorgeben. Dies kann verschiedene Angriffsmethoden, die zur Übernahme eines Accounts durch Angreifer führen, erleichtern. |
| Gruppenrichtlinie enthält Passwort | Hoch | Passwörter, die in einer Gruppenrichtlinie hinterlegt sind, sind durch alle Benutzer- und Computerobjekte abrufbar. Durch den Einsatz einer schwachen Verschlüsselung (Schlüssel ist bekannt), kann das Passwort einfach ausgelesen und durch Angreifer verwendet werden. |
| Kerberos Armoring unterstützt und nicht aktiviert | Niedrig | Kerberos Armoring ist eine Funktion, die das Sicherheitsniveau der Kerberos-Authentifizierung in Netzwerken anhebt. |
| PowerShell Logging nicht aktiviert | Info | Die in allen Windows-Systemen vorinstallierte mächtige PowerShell steht grundsätzlich als sinnvolles Hilfsmittel für Administratoren oder zur Automatisierung zur Verfügung. Durch die vielen Anwendungsmöglichkeiten haben auch Angreifer die PowerShell als mächtiges Angriffswerkzeug für Windows-Systeme entdeckt. |
Benutzer
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| Eingeschränkte Delegierung für privilegierte Benutzer erlaubt | Kritisch | Definierte Objekte (z. B. Nutzer, Service Accounts, Computer) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen und mit ihren Rechten Operationen, wie Autorisierung gegenüber Services, durchführen. |
| Privilegierte Konten haben einen Service-Principal-Namen (SPN) | Kritisch | Einem privilegierten Nutzer wurde ein SPN (Service Principle Name) zugewiesen. Dieser ist für jeden Domänennutzer sichtbar und kann potenziell missbraucht werden. |
| Uneingeschränkte Delegierung für Benutzer erlaubt | Kritisch | Alle Objekte (z. B. Nutzer, Service Accounts, Computer) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen und mit ihren Rechten Operationen, wie Authentisierung ggü. Services, durchführen. Im schlimmsten Fall, kann ein nicht autorisierter Nutzer über Rechte verfügen, die nicht vom Administrator vorgesehen waren und so auf kritische Systeme zugreifen. |
| Veraltete Verschlüsselungsmethode für privilegierte Benutzer | Kritisch | Die DES-Verschlüsselung gilt mittlerweile als sehr unsicher, da sie Inhalte mit einem 56-Bit-Schlüssel verschlüsselt. Infolgedessen sind Konten, die DES zur Authentifizierung bei Diensten verwenden, einem viel höheren Risiko ausgesetzt, dass ihre Anmeldesequenz entschlüsselt und ihre Konten kompromittiert werden. |
| Eingeschränkte Delegierung für Benutzer erlaubt | Hoch | Definierte Objekte (z. B. Nutzer, Service Accounts, Computer) dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z. B. Authorisierung ggü. Services, durchführen. |
| Gastbenutzer mit falscher primärer Gruppen-ID | Hoch | Das "primaryGroupId"-Attribut eines Benutzer- oder Computerkontos gewährt implizit Mitgliedschaft in einer Gruppe. Dadurch erbt das betroffene Objekt die Berechtigungen dieser Gruppe. Diese Konstellation führt zu schwerwiegenden Fehlkonfigurationen, einschließlich unbeabsichtigter privilegierter Berechtigungen. |
| Gastkonto ist aktiviert | Hoch | Das Gastkonto wird als anonymes/unpersönliches Konto verwendet, um jedem eine Verbindung mit dem Active Directory zu ermöglichen. |
| Privilegierter Benutzer nicht in "Geschützte Benutzer"-Gruppe | Hoch | Mitglieder der Gruppe „Geschützte Benutzer“ erhalten zusätzlichen Schutz vor der Kompromittierung von Anmeldeinformationen während des Authentifizierungsprozesses. |
| Veraltete Verschlüsselungsmethode | Hoch | Die DES-Verschlüsselung gilt mittlerweile als sehr unsicher, da sie Inhalte mit einem 56-Bit-Schlüssel verschlüsselt. Infolgedessen sind Konten, die DES zur Authentifizierung bei Diensten verwenden, einem viel höheren Risiko ausgesetzt, dass ihre Anmeldesequenz entschlüsselt und ihre Konten kompromittiert werden. |
| Passwort eines privilegierten Benutzers wird reversible gespeichert | Mittel | Passwörter, die unverschlüsselt gespeichert werden, sind für Angreifer leicht auslesbar. Dies birgt die Gefahr, dass Angreifer ohne großen Aufwand Zugang zu den Passwörtern erhalten können. Dies ist besonders kritisch bei privilegierten Accounts. |
| Passwort eines Benutzers wird reversible gespeichert | Mittel | Passwörter, die unverschlüsselt gespeichert werden, sind für Angreifer leicht auslesbar. Dies birgt die Gefahr, dass Angreifer ohne großen Aufwand Zugang zu den Passwörtern erhalten können. |
| Benutzer können Computer zur Domäne hinzufügen | Mittel | Normale Benutzer haben das Recht eine unbestimmte Anzahl an Objekten der Domäne hinzuzufügen. Dieses Recht sollte Administratoren vorenthalten werden. |
| Benutzer kann Passwort nicht ändern | Mittel | Benutzer ist auf die Hilfe von Dritten angewiesen um sein Kennwort zu ändern. |
| Benutzer bei denen die Prä-Authentifizierung nicht erforderlich ist | Mittel | Die Präauthentifizierung wurde bei gewissen Konten deaktiviert. Das stellt eine potenzielle Sicherheitslücke dar und sollte nur genutzt werden, falls genutzte Systeme das tatsächlich voraussetzen. |
| Benutzer, bei denen kein Passwort erforderlich ist | Mittel | Nutzer können aufgrund dieser Einstellung auf die Vergabe eines Kennworts verzichten und erlauben somit einen nicht autorisierten Zugriff auf das Unternehmensnetzwerk. |
| Das Nutzerkennwort läuft nie ab | Mittel | Die Kennwörter der Benutzer laufen nie ab. Dies kann potenziell als Schwachstelle ausgenutzt werden. |
| Ein Notfalladministratorkonto wurde genutzt | Mittel | Dieses Administrationskonto sollte nur im Notfall genutzt werden. Falls diese Nutzung nicht bekannt ist oder nicht autorisiert wurde liegt höchstwahrscheinlich ein Sicherheitsvorfall vor. |
| Hohe Anzahl an Domänenadministratoren | Mittel | Die Anzahl der Domänenadministratoren übersteigt die empfohlene Anzahl von 2. |
| Nutzerkennwörter sind veraltet | Mittel | Die Kennwörter sind veraltet und sollten daher schnellstmöglich geändert werden. |
| Deaktivierte, privilegierter Benutzer | Niedrig | Wenn ein privilegiertes Konto deaktiviert ist, sollten alle privilegierten Berechtigungen entfernt werden. |
| Inaktive Benutzerobjekte | Niedrig | Es wurden inaktive Benutzerobjekte gefunden, welche potenziell als Sicherheitslücke ausgenutzt werden könnten. |
| Ein Nutzerkonto hat oder hatte administrative Rechte | Info | Ein Nutzerkonto verfügte über administrative Rechte. Das kann ein Hinweis auf eine Fehlkonfiguration oder einen Angriff sein. |
Computer
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| SMB v1 auf Domaincontroller aktiviert | Kritisch | SMBv1 weist erhebliche Sicherheitsrisiken auf, und es wird dringend von einer Verwendung abgreraten. Mit einem SMB-Downgrade-Angriff können Angreifer Anmeldeinformationen erhalten und Befehle im Kontext eines anderen Benutzers ausführen,. |
| Uneingeschränkte Delegierung für Computer erlaubt | Kritisch | Alle Computer-Objekte dürfen sich als einer der unten aufgelisteten Nutzer ausgeben und in deren Namen bzw. mit ihren Rechten Operationen, wie z.B. Authentisierung ggü. Services, durchführen. Im schlimmsten Fall, kann ein kompromittierter Computer, über Rechte verfügen, die nicht vom Administrator vorgesehen waren und so auf kritische Systeme zugreifen. |
| Computer hat falsche primäre Gruppe | Hoch | Das "primaryGroupId"-Attribut eines Benutzer- oder Computerkontos gewährt implizit Mitgliedschaft in einer Gruppe. Dadurch erbt das betroffene Objekt die Berechtigungen dieser Gruppe. Diese Konstellation führt zu schwerwiegenden Fehlkonfigurationen, einschließlich unbeabsichtigter privilegierter Berechtigungen. |
| Domänencontroller hat einen falschen Besitzer | Hoch | Standardmäßig ist die Gruppe „Domänenadministratoren“ oder die Gruppe „Organisations-Administratoren“ als Eigentümer für „Domänencontroller“ festgelegt. |
| Domänencontroller mit falscher primärer Gruppen-ID | Hoch | Das "primaryGroupId"-Attribut eines Benutzer- oder Computerkontos gewährt implizit Mitgliedschaft in einer Gruppe. Dadurch erbt das betroffene Objekt die Berechtigungen dieser Gruppe. Diese Konstellation führt zu schwerwiegenden Fehlkonfigurationen, einschließlich unbeabsichtigter privilegierter Berechtigungen. |
| Fehlende Updates auf Domaincontroller | Hoch | Damit soll sichergestellt werden, dass alle Domänencontroller regelmäßig aktualisiert werden. Dazu wird überprüft, ob ein DC in den vergangenen 6 Monaten neu gestartet worden ist. Wenn nicht, bedeutet dies, dass er in diesen 6 Monaten auch nicht gepatcht wurde. |
| SMB v1 aktiviert | Hoch | SMBv1 weist erhebliche Sicherheitsrisiken auf, und es wird dringend von einer Verwendung abgreraten. Mit einem SMB-Downgrade-Angriff können Angreifer Anmeldeinformationen erhalten und Befehle im Kontext eines anderen Benutzers ausführen,. |
| Veraltetes Betriebssystem erkannt | Hoch | Es wurden Betriebssysteme erkannt, die nicht mehr mit Sicherheitsupdates versehen werden |
| Computer, bei denen kein Passwort erforderlich ist | Mittel | Bei Computern ist es erlaubt, kein Passwort zu nutzen. Damit erlauben diese Geräte potenziell einen nicht autorisierten Zugriff auf das Unternehmensnetzwerk. |
| Computerobjekt kann sein Passwort nicht selbst ändern | Mittel | Das Computerobjekt kann sein Passwort nicht automatisch rotieren. Wenn ein Computer sein Passwort nicht aktualisieren kann, bleibt es unverändert und könnte bei einem Sicherheitsverstoß von Angreifern ausgenutzt werden. |
| Computer wurde lange nicht am DC angemeldet | Niedrig | Die letzte Geräteanmeldung am DC war vor längerer Zeit. Das Gerät ist weiterhin als "aktiv" gekennzeichnet. |
| Passwort des Computerobjektes läuft nie ab | Mittel | Das Kennwort des Computers läuft nie ab. Dies kann potenziell von Angreifern ausgenutzt werden, die dadurch einen persistenten Zugriff aufrechterhalten können. |
| Passwort des Domaincontrollers wird nicht regelmäßig geändert | Mittel | Die Änderung des Kennworts für das Maschinenkonto wird standardmäßig alle 30 Tage vom Computer veranlasst. Seit Windows 2000 haben alle Windows-Versionen denselben Wert. Dieses Verhalten kann mit der folgenden Gruppenrichtlinieneinstellung in Active Directory auf einen benutzerdefinierten Wert geändert werden. |
| Passwort eines Computers ist zu alt | Niedrig | Wenn ein Computer lange offline ist, ändert sich sein Kennwort nicht. Ein festgelegtes, veraltetes Passwort könnte potenziell ausgenutzt werden, wenn es kompromittiert wurde. |
Gruppen
| Titel | Kritikalität | Auswirkung / Beschreibung |
|---|---|---|
| Gruppe "Prä-Windows 2000 kompatibler Zugriff" erlaubt Zugang ohne Account | Mittel | Wenn eine der Gruppen „Jeder“ oder „Anonym“ Mitglied der Gruppe „Prä-Windows 2000 kompatibler Zugriff“ist, kann auf die Domäne ohne einen AD-Account zugegriffen werden. |
| Vorkonfigurierte Administratorengruppen in Verwendung | Niedrig | Vorkonfigurierte Administratorengruppen können leicht, auch von unerfahrenen Angreifern ausgenutzt werden. |
| Gruppe "Prä-Windows 2000 kompatibler Zugriff" erlaubt Zugang für authentifizierte Benutzer | Info | Die Gruppe „Prä-Windows 2000 kompatibler Zugriff“ wurde erstellt, um mit Windows NT kompatibel zu sein. Die Gruppe ermöglicht es, Berechtigungen auf Objektebene für Active Directory-Objekte zu erteilen, die mit dem weniger sicheren Windows NT kompatibel sind, anstatt granularer Berechtigungen auf Attributebene zu verwenden. |
| Leere Gruppen | Info | Um die Entstehung von technischen Schulden und Komplexität zu vermeiden, sollten leere Gruppen gelöscht werden. |
Nicht die richtige Antwort gefunden?
Wir helfen gerne weiter! Schreiben Sie uns an support@sec-auditor.com