|
AAD Connect Sync-Kontopasswort zurücksetzen
|
Sucht nach Richtlinien für bedingten Zugriff, bei denen die Funktion "Kontinuierliche Zugriffsbewertung" deaktiviert ist. Die Funktion Continuous Access Evaluation ermöglicht es Ihnen, das Zugriffstoken für Microsoft-Anwendungen zu widerrufen und die Zeit zu begrenzen, in der ein Angreifer Zugriff auf Unternehmensdaten hat. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
AAD-berechtigte Benutzer, die auch in AD privilegiert sind
|
Überprüft auf privilegierte Azure AD-Benutzer, die auch privilegierte Benutzer im lokalen AD sind. Eine Kompromittierung eines Kontos, das sowohl in AD als auch in AAD privilegiert ist, kann dazu führen, dass beide Umgebungen gefährdet sind. | Kritisch |
|
|
|
Ungewöhnliche Passwortaktualisierung
|
Sucht nach Benutzerkonten mit einer kürzlichen pwdLastSet-Änderung ohne entsprechende Kennwortreplikation. Wenn die Option "Benutzer muss Passwort bei nächster Anmeldung ändern" aktiviert und später wieder deaktiviert wird, könnte dies auf einen Verwaltungsfehler oder einen Versuch hinweisen, die Passwortrichtlinie der Organisation zu umgehen. | Warnung |
|
|
|
Konten mit konfigurierten altSecurityIdentities
|
Prüft auf Konten, für die das Attribut altSecurityIdentities konfiguriert ist. Das Attribut altSecurityIdentities ist ein mehrwertiges Attribut, das zur Erstellung von Zuordnungen für X.509-Zertifikate und externe Kerberos-Konten verwendet wird. Wenn es konfiguriert ist, ist es möglich, Werte hinzuzufügen, die im Wesentlichen dieses Konto verkörpern. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
-
ANSSI:
vuln1_delegation_a2d2
|
|
|
Konten mit eingeschränkter Delegation, die auf Ghost-SPN konfiguriert sind
|
Sucht nach Konten, für die eingeschränkte Delegation auf Ghost-SPNs konfiguriert ist. Wenn Computer außer Betrieb genommen werden, wird ihre Delegationskonfiguration nicht immer bereinigt. Eine solche Delegation könnte es einem Angreifer, der über die Berechtigung verfügt, in das ServicePrincipalName-Attribut eines anderen Dienstkontos zu schreiben, ermöglichen, seine Berechtigungen für diese Dienste zu erweitern. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
-
ANSSI:
vuln1_delegation_a2d2
|
|
|
Konten mit eingeschränkter Delegation, die für krbtgt konfiguriert sind
|
Sucht nach Konten, die eine eingeschränkte Delegation für den krbtgt-Dienst konfiguriert haben. Das Erstellen einer Kerberos-Delegation für das krbtgt-Konto selbst ermöglicht es diesem Prinzipal (Benutzer oder Computer), eine Ticket Granting Service (TGS)-Anfrage an das krbtgt-Konto als beliebiger Benutzer zu stellen, was zur Folge hat, dass ein Ticket Granting Ticket (TGT) ähnlich einem Golden Ticket erzeugt wird. | Kritisch |
|
|
|
AD-Zertifizierungsstelle mit Webregistrierung (PetitPotam und ESC8)
|
Identifiziert AD CS-Server in der Domäne, die NTLM-Authentifizierung für Web Enrollment akzeptieren. Angreifer können eine Schwachstelle in AD CS Web Enrollment ausnutzen, die NTLM-Relay-Angriffe ermöglicht, um sich als privilegierter Benutzer zu authentifizieren. | Kritisch |
|
|
|
AD-Objekte, die innerhalb der letzten 10 Tage erstellt wurden
|
Sucht nach allen AD-Objekten, die kürzlich erstellt wurden. Ermöglicht es Ihnen, unbekannte oder unrechtmäßige Konten zu erkennen. Für die Suche nach Bedrohungen, die Untersuchung nach einem Einbruch oder die Validierung von Kompromissen. | Informativ |
|
|
|
AD-berechtigte Benutzer, die mit AAD synchronisiert werden
|
Prüft auf privilegierte AD-Benutzer, die mit AAD synchronisiert sind. Wenn ein privilegierter AD-Benutzer mit AAD synchronisiert wird, kann eine Kompromittierung des AAD-Benutzers dazu führen, dass auch die lokale Umgebung kompromittiert wird. | Warnung |
|
|
|
Die Verwaltungseinheiten werden nicht genutzt
|
Überprüft die Verwendung von Verwaltungseinheiten im Entra
Mieter. Administrative Einheiten sind ein Entra ID Feature, das es erlaubt
Einschränkung des administrativen Umfangs von privilegierten Benutzern. Organisationen, die Verwaltungseinheiten verwenden, können die Rollenzuweisung genauer festlegen.
| Informativ |
-
MITRE ATT&CK:
Seitliche Bewegung
|
|
|
Admins mit alten Passwörtern
|
Sucht nach Administratorkonten, deren Kennwort seit über 180 Tagen nicht geändert wurde. Wenn die Kennwörter von Administratorkonten nicht regelmäßig geändert werden, könnten diese Konten ein gefundenes Fressen für Angriffe zum Erraten von Kennwörtern sein. | Warnung |
|
|
|
Anonymer Zugriff auf Active Directory aktiviert
|
Sucht nach dem Vorhandensein des Flags, das den anonymen Zugriff ermöglicht. Anonymer Zugriff würde es nicht authentifizierten Benutzern ermöglichen, AD abzufragen. | Kritisch |
|
|
|
Anonymer NSPI-Zugriff auf AD aktiviert
|
Erkennt, ob der anonyme Zugang zum Name Service Provider Interface (NSPI) aktiviert ist. Erlaubt anonyme RPC-basierte Bindungen an AD. NSPI wird nur selten aktiviert, wenn es also aktiviert ist, sollte dies Anlass zur Sorge geben. | Warnung |
|
|
|
Abgelaufene Anwendungsgeheimnisse und Zertifikate
|
Überprüft, ob Zertifikate oder Geheimnisse ihr Verfallsdatum erreicht haben. Dieser Indikator weist nicht auf ein direktes Risiko oder die Wahrscheinlichkeit einer Kompromittierung hin. | Informativ |
|
|
|
Die zusätzlichen Kontexte Anwendungsname und geografischer Standort sind bei MFA deaktiviert.
|
Überprüft, ob die zusätzlichen Kontexte Anwendungsname und geografischer Standort bei der Multi-Faktor-Authentifizierung (MFA) deaktiviert sind. Die Aktivierung der zusätzlichen Kontexte für den Anwendungsnamen und den geografischen Standort bei MFA bietet eine zusätzliche Sicherheitsebene für die Anmeldung eines Benutzers. | Warnung |
|
|
|
Eingebautes Domänenadministratorkonto, das innerhalb der letzten zwei Wochen verwendet wurde
|
Überprüft, ob der lastLogonTimestamp für das integrierte Domänenadministratorkonto kürzlich aktualisiert wurde. Könnte darauf hinweisen, dass der Benutzer kompromittiert wurde. | Warnung |
|
|
|
Eingebautes Domänenadministratorkonto mit altem Passwort (180 Tage)
|
Überprüft, ob das Attribut pwdLastSet des integrierten Domänenadministratorkontos innerhalb der letzten 180 Tage geändert wurde. Wenn dieses Kennwort nicht regelmäßig geändert wird, kann dieses Konto für Brute-Force-Kennwortangriffe anfällig sein. | Informativ |
|
|
|
Integriertes Gästekonto ist aktiviert
|
Überprüft, ob das integrierte AD-"Gast"-Konto deaktiviert ist. Ein aktiviertes Gastkonto ermöglicht den passwortlosen Zugriff auf die Domäne, was ein Sicherheitsrisiko darstellen kann. | Informativ |
-
MITRE ATT&CK:
Entdeckung Aufklärungsarbeit
-
MITRE D3FEND:
Evict - Kontosperrung
|
|
|
Zertifikatsvorlagen, die es Antragstellern erlauben, einen subjectAltName anzugeben
|
Überprüft, ob Zertifikatsvorlagen es Antragstellern ermöglichen, einen subjectAltName in der CSR anzugeben. Wenn Zertifikatsvorlagen es Antragstellern erlauben, einen subjectAltName in der CSR anzugeben, hat dies zur Folge, dass sie ein Zertifikat als jedermann (z. B. als Domänenadministrator) anfordern können. Wenn dies mit einer in der Zertifikatsvorlage vorhandenen Authentifizierungs-EKU kombiniert wird, kann dies äußerst gefährlich werden. | Kritisch |
|
|
|
Zertifikatsvorlagen mit drei oder mehr unsicheren Konfigurationen
|
Überprüft, ob die Zertifikatsvorlagen in der Gesamtstruktur mindestens drei unsichere Konfigurationen aufweisen: Genehmigung des Managers ist deaktiviert. Keine autorisierten Signaturen sind erforderlich, SAN aktiviert, Authentifizierungs-EKU vorhanden. Jede dieser Konfigurationen kann von Angreifern ausgenutzt werden, um Zugang zu erhalten. | Warnung |
|
|
|
Persistenz der zertifikatsbasierten Authentifizierung
|
Bewertet das Vorhandensein bestimmter Entra ID Microsoft Graph App-Rollen und Berechtigungen, die in Kombination einem Benutzer ermöglichen, Persistenz durch zertifikatsbasierte Authentifizierung (CBA) herzustellen. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Änderungen an AD-Anzeigespezifikationen in den letzten 90 Tagen
|
Sucht nach kürzlich vorgenommenen Änderungen am adminContextMenu-Attribut auf AD-Anzeigespezifizierern. Die Änderung dieses Attributs kann es Angreifern ermöglichen, Kontextmenüs zu nutzen, um Benutzer zur Ausführung von beliebigem Code zu veranlassen. | Informativ |
-
MITRE ATT&CK:
Verteidigung Umgehung Ausführung
|
|
|
Änderungen an der Standarddomänenrichtlinie oder der Standarddomänencontrollerrichtlinie in den letzten 7 Tagen
|
Sucht nach aktuellen Änderungen an den Standard-Domänenrichtlinien und Standard-Domänencontroller-Richtlinien-GPOs. Diese GPOs steuern domänenweite und domänencontrollerweite Sicherheitseinstellungen und können missbraucht werden, um privilegierten Zugriff auf AD zu erhalten. | Informativ |
-
MITRE ATT&CK:
Seitliche Bewegung Persistenz
|
|
|
Änderungen am Standard-Sicherheitsbeschreibungsschema in den letzten 90 Tagen
|
Erkennt die jüngsten Änderungen von Schema-Attributen, die am Standard-Sicherheitsdeskriptor vorgenommen wurden. Wenn ein Angreifer Zugriff auf die Schema-Instanz in einem Forest erhält, können sich alle vorgenommenen Änderungen auf neu erstellte Objekte im AD ausbreiten und so möglicherweise die AD-Sicherheitslage schwächen. | Warnung |
|
|
|
Änderungen der MS LAPS-Leseberechtigungen
|
Sucht nach Berechtigungen für Computerkonten, die eine unbeabsichtigte Offenlegung lokaler Administratorkonten in Umgebungen, die Microsoft LAPS verwenden, ermöglichen könnten. Angreifer können diese Fähigkeit nutzen, um sich mit kompromittierten lokalen Administratorkonten seitlich durch eine Domäne zu bewegen. | Informativ |
|
|
|
Änderungen an der Mitgliedschaft in der PreWindows 2000 kompatiblen Zugriffsgruppe
|
Sucht nach Änderungen an der integrierten Gruppe "Pre-Windows 2000 Compatible Access". Achten Sie darauf, dass diese Gruppe nicht die Gruppen "Anonyme Anmeldung" oder "Jeder" enthält. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Änderungen der Mitgliedschaft in privilegierten Gruppen in den letzten 7 Tagen
|
Sucht nach aktuellen Änderungen an den eingebauten privilegierten Gruppen. Könnte auf Versuche der Privilegienerweiterung hinweisen. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Änderungen an unprivilegierten Gruppenmitgliedschaften in den letzten 7 Tagen
|
Sucht nach unprivilegierten Gruppen, deren Mitgliedschaften in den letzten 7 Tagen geändert wurden. Änderungen der Mitgliedschaft in unprivilegierten Gruppen können den Zugriff auf Ressourcen mit Gruppenprivilegien ermöglichen. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Prüfen, ob die Gäste die Erlaubnis haben, andere Gäste einzuladen
|
Überprüfen Sie die Berechtigungen für Gasteinladungen. Es wird nicht empfohlen, Gästen das Versenden von Einladungen zu gestatten.
Um zu verhindern, dass unbefugte Gäste andere in die Organisation einladen, sollten Sie die "Einstellungen für Gasteinladungen" aktualisieren, um diese Möglichkeit einzuschränken. | Warnung |
-
MITRE ATT&CK:
Seitliche Bewegung
|
|
|
Prüfung auf riskante API-Berechtigungen, die den Principals der Anwendungsdienste gewährt wurden
|
Überprüft auf API-Berechtigungen, die riskant sein könnten, wenn sie nicht ordnungsgemäß geplant und genehmigt werden. Böswillige Anwendungsadministratoren könnten diese Berechtigungen nutzen, um sich selbst oder anderen administrative Privilegien zu gewähren. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Prüfung auf Benutzer mit schwacher oder fehlender MFA
|
Überprüft alle Benutzer auf die Registrierung für die Multi-Faktor-Authentifizierung (MFA) und die konfigurierten Methoden. Aufgrund des Mangels an einheitlichen Sicherheitsmaßnahmen in Mobilfunknetzen gelten SMS und Voice als weniger sicher als mobile Anwendungen und FIDO. Ein böswilliger Benutzer kann Codes fälschen/verfälschen und Benutzer zur Authentifizierung verleiten. | Warnung |
-
MITRE ATT&CK:
Erster Zugang Seitliche Bewegung
|
|
|
Prüfen, ob Legacy-Authentifizierung erlaubt ist
|
Überprüft, ob die Legacy-Authentifizierung blockiert ist, entweder durch Richtlinien für bedingten Zugriff oder durch Sicherheitsvorgaben. Wenn die Legacy-Authentifizierung zugelassen wird, erhöht sich das Risiko, dass sich ein Angreifer mit zuvor kompromittierten Anmeldedaten anmeldet. | Informativ |
|
|
|
Übernahme von Computerkonten durch Kerberos Resource-Based Constrained Delegation (RBCD)
|
Sucht nach dem Attribut msDS-Allowed-ToActOnBehalfOfOtherIdentity auf Computerobjekten. Angreifer könnten die Kerberos-RBCD-Konfiguration verwenden, um die Privilegien über einen von ihnen kontrollierten Computer zu erweitern, wenn dieser Computer über eine Delegation für das Zielsystem verfügt. | Informativ |
|
|
|
Computerkonten in privilegierten Gruppen
|
Sucht nach Computerkonten, die Mitglied einer privilegierten Gruppe der Domäne sind. Wenn ein Computerkonto Mitglied der privilegierten Gruppe der Domäne ist, kann jeder, der dieses Computerkonto kompromittiert, als Mitglied dieser Gruppe agieren. | Warnung |
|
|
|
Computer- oder Benutzerkonten mit SPN, die eine uneingeschränkte Delegation haben
|
Sucht nach Computer- oder Benutzerkonten mit SPN, die
für uneingeschränkte Kerberos-Delegierung vertrauenswürdig sind. Diese
Konten speichern die Kerberos-TGT der Benutzer lokal, um sich
bei anderen Systemen in ihrem Namen zu authentifizieren.
Computer und Benutzer, denen mit uneingeschränkter Delegation vertraut wird
Delegation vertrauen, sind ein leichtes Ziel für Kerberos-basierte Angriffe.
| Warnung |
|
|
|
Computer mit älteren Betriebssystemversionen
|
Sucht nach Computerkonten, auf denen ältere Windows-Versionen als Windows Server 2012 R2 und Windows 8.1 ausgeführt werden. Computer, auf denen ältere und nicht unterstützte Betriebssystemversionen ausgeführt werden, könnten mit bekannten oder ungepatchten Exploits angegriffen werden. | Informativ |
|
|
|
Computer, deren Passwort zuletzt vor mehr als 90 Tagen festgelegt wurde
|
Sucht nach Computerkonten, die ihre Kennwörter nicht automatisch geändert haben. Computerkonten sollten ihre Passwörter automatisch alle 30 Tage ändern; Objekte, die dies nicht tun, könnten Anzeichen für Manipulationen sein. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen
-
ANSSI:
vuln2_Passwort_ändern_Server_nicht_ändern_90
-
MITRE D3FEND:
Harden - Richtlinie für sichere Passwörter
|
|
|
Richtlinien für bedingten Zugang enthalten private IP-Adressen
|
Überprüft, ob Richtlinien für bedingten Zugriff benannte Standorte mit privaten IP-Adressen enthalten. Private IP-Adressen in benannten Standorten, die mit Richtlinien für bedingten Zugriff verbunden sind, können zu einer unerwünschten Sicherheitslage führen. | Warnung |
-
MITRE ATT&CK:
Erster Zugang
|
|
|
Richtlinie für bedingten Zugriff, die die Aufrechterhaltung von Admin-Token deaktiviert
|
Sucht nach Richtlinien für den bedingten Zugriff, die die Token-Persistenz für Benutzer mit Administratorrollen deaktivieren und eine Anmeldefrequenz von höchstens neun Stunden haben. Wenn das Token eines angemeldeten Administrators auf dem Client zwischengespeichert ist, ist er anfällig für einen Angriff im Zusammenhang mit dem Primary Refresh Token. | Warnung |
|
|
|
Zugangsbeschränkungsrichtlinie, die von Benutzern mit hohem Risiko keine Passwortänderung verlangt
|
Überprüft, ob eine Richtlinie für bedingten Zugriff vorhanden ist, die eine Passwortänderung erfordert, wenn der Benutzer von der Azure AD Identity Protection-API für Benutzerrisiken als hoch eingestuft wird. Ein hohes Benutzerrisiko steht für eine hohe Wahrscheinlichkeit, dass ein Konto kompromittiert wurde. | Warnung |
|
|
|
Richtlinien für den bedingten Zugang, die keine MFA erfordern, wenn ein Anmeldungsrisiko festgestellt wurde
|
Überprüft, ob eine Richtlinie für bedingten Zugriff vorhanden ist, die MFA erfordert, wenn das Risiko einer Authentifizierungsanfrage von der Azure AD Identity Protection-API für das Anmeldungsrisiko als mittel oder hoch eingestuft wird. Ein mittleres oder hohes Anmeldungsrisiko steht für eine mittlere bis hohe Wahrscheinlichkeit, dass eine nicht autorisierte Authentifizierungsanfrage gestellt wurde. | Warnung |
|
|
|
Richtlinie für bedingten Zugang mit deaktivierter kontinuierlicher Zugangsbewertung
|
Sucht nach Richtlinien für bedingten Zugriff, bei denen die Funktion "Kontinuierliche Zugriffsbewertung" deaktiviert ist. Die Funktion Continuous Access Evaluation ermöglicht es Ihnen, das Zugriffstoken für Microsoft-Anwendungen zu widerrufen und die Zeit zu begrenzen, in der ein Angreifer Zugriff auf Unternehmensdaten hat. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Gefährliche Kontrollpfade legen Zertifikatscontainer frei
|
Sucht nach nicht standardmäßigen Principals mit Berechtigungen für den Container NTAuthCertificates, der die Zwischenzertifikate der Zertifizierungsstelle enthält, die für die Authentifizierung bei Active Directory verwendet werden.
Nicht privilegierte Benutzer mit Berechtigungen für den NTAuthCerticates-Container können ihren Zugriff erweitern und die Domäne dazu bringen, einer unseriösen Zertifizierungsstelle zu vertrauen.
| Warnung |
|
|
|
Gefährliche Kontrollpfade legen Zertifikatsvorlagen offen
|
Sucht nach nicht standardmäßigen Auftraggebern mit der Fähigkeit, Eigenschaften auf eine Zertifikatsvorlage zu schreiben. Unberechtigte Benutzer mit Schreibberechtigung für Zertifikatsvorlagen können ihre Zugriffsrechte erweitern und anfällige Zertifikate erstellen, um sich zu registrieren. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen
-
ANSSI:
vuln1_adcs_template_steuerung
-
MITRE D3FEND:
Erkennen - Zertifikatsanalyse
|
|
|
Gefährlicher GPO-Anmeldeskriptpfad
|
Sucht nach Pfaden von Anmeldeskripten zu Skripten, die nicht existieren und bei denen ein Benutzer mit geringen Rechten Zugriffsrechte auf den übergeordneten Ordner hat. Es wird auch nach Anmeldeskriptpfaden zu vorhandenen Skripten gesucht, die weniger privilegierten Benutzern die Berechtigung zum Ändern des Skripts geben. Durch das Einfügen eines neuen Skripts oder das Ändern eines vorhandenen Skripts, das einem normalen Benutzer die Berechtigung zum Ändern des Skripts oder den Zugriff auf den übergeordneten Ordner gibt, kann ein Angreifer aus der Ferne Code in einem größeren Teil des Netzwerks ohne besondere Berechtigungen ausführen. | Warnung |
|
|
|
Gefährliches Vertrauens-Attribut-Set
|
Identifiziert Trusts, bei denen eines der folgenden Attribute gesetzt ist: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION oder TRUST_ATTRIBUTE_ PIM_TRUST. Das Setzen dieser Attribute ermöglicht entweder die Delegierung eines Kerberos-Tickets oder verringert den Schutz, den die SID-Filterung bietet. | Warnung |
|
|
|
Gefährliche Benutzerrechte, die durch GPO gewährt werden
|
Sucht nach nicht privilegierten Benutzern, denen über ein GPO erhöhte Berechtigungen gewährt werden. Ein Angreifer kann möglicherweise die durch ein GPO gewährten Benutzerrechte ausnutzen, um sich Zugang zu Systemen zu verschaffen, vertrauliche Informationen zu stehlen oder andere Arten von Schaden zu verursachen. | Warnung |
|
|
|
Der Besitzer des Domänencontrollers ist kein Administrator
|
Sucht nach Domänencontroller-Computerkonten, deren Besitzer kein Domänenadministrator, Unternehmensadministrator oder integriertes Administratorkonto ist. Die Erlangung der Kontrolle über DC-Computerkonten ermöglicht einen einfachen Weg zur Kompromittierung der Domäne. | Warnung |
|
|
|
Domänencontroller in einem inkonsistenten Zustand
|
Sucht nach Domänencontrollern, die sich in einem inkonsistenten Zustand befinden, was auf einen möglicherweise abtrünnigen oder anderweitig nicht funktionsfähigen DC hinweist. Illegitime Maschinen, die als DCs agieren, könnten darauf hinweisen, dass jemand die Umgebung kompromittiert hat (z. B. mit DCShadow oder einem ähnlichen DC-Spoofing-Angriff). | Informativ |
|
|
|
Domänencontroller, die sich seit mehr als 45 Tagen nicht mehr bei der Domäne authentifiziert haben
|
Sucht nach Domänencontrollern, die sich seit über 45 Tagen nicht mehr bei der Domäne authentifiziert haben. Fehlende Domänenauthentifizierung verrät unsynchronisierte Rechner. Wenn ein Angreifer einen Offline-DC kompromittiert und die Anmeldeinformationen knackt oder sich erneut mit der Domäne verbindet, kann er möglicherweise unerwünschte Änderungen an Active Directory vornehmen. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen Privilegieneskalation
-
ANSSI:
vuln1_passwort_änderung_inaktiv_dc
-
MITRE D3FEND:
Isolieren - Isolierung der Ausführung
|
|
|
Domänencontroller mit alten Passwörtern
|
Sucht nach Domänencontroller-Maschinenkonten, deren Kennwort seit über 45 Tagen nicht zurückgesetzt wurde. Maschinenkonten mit älteren Passwörtern könnten auf einen DC hinweisen, der in der Domäne nicht mehr funktioniert. Außerdem könnten DCs mit älteren Maschinenkontenpasswörtern leichter übernommen werden. | Informativ |
-
MITRE ATT&CK:
Privilegieneskalation Entwicklung der Ressourcen
-
ANSSI:
vuln1_password_ change_dc_no_change
-
MITRE D3FEND:
Harden - Richtlinie für sichere Passwörter
|
|
|
Domänencontroller mit aktivierter ressourcenbasierter eingeschränkter Delegation (RBCD)
|
Erkennt eine Konfiguration, die bestimmte Konten mit vollständiger Delegation an Domänencontroller gewährt. | Warnung |
|
|
|
Domänenvertrauen zu einer fremden Domäne ohne Quarantäne
|
Sucht nach ausgehenden Forest Trusts, bei denen das Quarantäne-Flag auf false gesetzt ist. Ein Angreifer, der die entfernte Domäne kompromittiert hat, kann ein "fälschbares" Konto erstellen, um Zugriff auf alle Ressourcen der lokalen Domäne zu erhalten. Wenn ein gefährlicher Kontrollpfad offengelegt wird, kann jedes "fälschbare" Konto seine Privilegien bis zu Domänenadministratoren ausweiten und die gesamte Gesamtstruktur gefährden. | Warnung |
|
|
|
Domänen mit veralteten Funktionsebenen
|
Sucht nach AD-Domänen, deren Domänenfunktionsstufe auf Windows Server 2012 oder niedriger eingestellt ist. Niedrigere Funktionsstufen bedeuten, dass neuere in AD verfügbare Sicherheitsfunktionen nicht genutzt werden können. | Informativ |
|
|
|
Aktivierte Administratorkonten, die inaktiv sind
|
Sucht nach Administratorkonten, die zwar aktiviert sind, sich aber in den letzten 90 Tagen nicht angemeldet haben. Angreifer, die diese Konten kompromittieren können, können unbemerkt operieren. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen Privilegieneskalation
-
ANSSI:
vuln1_password_ change_priv vuln1_Benutzerkonten_ ruhend
-
MITRE D3FEND:
Evict - Kontosperrung
|
|
|
Enterprise Key Admins mit vollem Zugriff auf die Domäne
|
Sucht nach Hinweisen auf einen Fehler in bestimmten Versionen von Windows Server 2016 Adprep, der der Gruppe "Enterprise Key Admins" unzulässigen Zugriff gewährt. Dieses Problem wurde in einer späteren Version von Windows 2016 behoben; wenn dieser Fix jedoch nicht angewendet wurde, gewährt dieser Fehler dieser Gruppe die Fähigkeit, alle Änderungen aus AD zu replizieren (DCSync-Angriff). | Warnung |
|
|
|
Entra-Mieter ist anfällig für den Angriff "Hidden Consent Grant
|
Überprüft die Anwendungsberechtigungen und -einstellungen, um festzustellen, ob der Entra-Tenant anfällig für Hidden Consent Grant-Angriffe ist.
Ein Hidden Consent Grant-Angriff ist eine Art von Phishing-Angriff, bei dem ein böswilliger Akteur, der eine Anwendung mit Directory.ReadWrite.All-Berechtigungen steuert, Zugriff auf eine Anwendung erhält und gewährte Berechtigungen ausnutzt, um seine Privilegien zu erweitern. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Kurzlebige Admins
|
Sucht nach Benutzern, die innerhalb eines Zeitraums von 48 Stunden zu einer Administratorgruppe hinzugefügt und wieder entfernt wurden. Solche kurzlebigen Konten können auf bösartige Aktivitäten hinweisen. | Informativ |
|
|
|
Beweise für den Mimikatz DCShadow-Angriff
|
Sucht nach Beweisen dafür, dass ein Rechner benutzt wurde, um mit einem "gefälschten" Domänencontroller willkürliche Änderungen im AD vorzunehmen. Diese Änderungen umgehen das Sicherheitsereignisprotokoll und können mit Standard-Überwachungstools nicht entdeckt werden. | Kritisch |
|
|
|
FGPP nicht auf die Gruppe angewandt
|
Sucht nach feinkörnigen Kennwortrichtlinien (FGPP), die auf eine universelle oder domänenlokale Gruppe ausgerichtet sind. Wenn Sie den Geltungsbereich einer Gruppe von Global auf Universal oder Domänenlokal ändern, gelten die FGPP-Einstellungen nicht mehr für diese Gruppe, wodurch die Kennwortsicherheitskontrollen verringert werden. | Warnung |
|
|
|
Ausländische Sicherheitsbehörden in der privilegierten Gruppe
|
Sucht nach Mitgliedern integrierter geschützter Gruppen, die ausländische Sicherheitsprinzipale sind. Besondere Vorsicht ist geboten, wenn Sie Konten aus anderen Domänen als Mitglieder von privilegierten Gruppen aufnehmen. Fremde Sicherheitsprinzipale verfügen nicht über das Attribut adminCount und werden daher von einigen Sicherheitsüberwachungsprogrammen möglicherweise nicht erkannt. Außerdem könnte ein Angreifer ein privilegiertes Konto hinzufügen und versuchen, es mit dieser Methode zu verbergen. | Warnung |
|
|
|
Wald enthält mehr als 50 privilegierte Konten
|
Zählt die Anzahl der in der Gesamtstruktur definierten privilegierten Konten. Im Allgemeinen gilt: Je mehr privilegierte Konten Sie haben, desto mehr Möglichkeiten haben Angreifer, eines dieser Konten zu kompromittieren. | Warnung |
|
|
|
Globale Administratoren, die sich in den letzten 14 Tagen angemeldet haben
|
Sucht nach globalen Administratoren, die sich in den letzten 14 Tagen angemeldet haben. Benutzer, die die Rolle des globalen Administrators innehaben, sind die privilegiertesten Benutzer in Entra ID. Für einen Angreifer sind Benutzer mit der Rolle "Globaler Administrator" sehr wertvoll, und ein kompromittierter globaler Administrator kann zu mehreren Angriffen auf das Unternehmen führen. | Warnung |
|
|
|
gMSA nicht verwendet
|
Prüft auf aktivierte gMSA-Objekte (Group Managed Service Accounts) in der Domäne. Die gMSA-Funktion in Windows Server 2016 ermöglicht die automatische Rotation von Passwörtern für Dienstkonten, wodurch es für Angreifer viel schwieriger wird, diese zu kompromittieren. | Informativ |
|
|
|
gMSA-Objekte mit alten Passwörtern
|
Sucht nach Konten für gruppenverwaltete Dienste (gMSA), die ihre Kennwörter nicht automatisch geändert haben. Objekte, die ihre Passwörter nicht regelmäßig ändern, könnten Anzeichen für Manipulationen aufweisen. | Warnung |
|
|
|
GPO-Verknüpfungsdelegation auf der Ebene der AD-Site
|
Sucht nach nicht privilegierten Principals, die Schreibrechte auf das GPLink-Attribut oder Write DACL/Write Owner auf dem Objekt haben. Wenn nicht privilegierte Benutzer GPOs auf der AD-Site-Ebene verknüpfen können, sind sie in der Lage, Änderungen an Domänencontrollern vorzunehmen. Sie können potenziell den Zugriff erhöhen und die domänenweite Sicherheitslage ändern. | Warnung |
|
|
|
GPO-Verknüpfungsdelegation auf der OU-Ebene des Domänencontrollers
|
Sucht nach nicht privilegierten Principals, die Schreibrechte auf das GPLink-Attribut oder Write DAC/Write Owner auf dem Objekt haben. Wenn nicht privilegierte Benutzer GPOs auf der OU-Ebene des Domänencontrollers verknüpfen können, haben sie die Möglichkeit, Änderungen auf den Domänencontrollern vorzunehmen. Sie können potenziell den Zugriff erhöhen und die domänenweite Sicherheitslage ändern. | Warnung |
|
|
|
GPO-Verknüpfungsdelegation auf Domänenebene
|
Sucht nach nicht privilegierten Principals, die Schreibrechte auf das GPLink-Attribut oder Write DACL/Write Owner auf dem Objekt haben. Wenn nicht privilegierte Benutzer GPOs auf Domänenebene verknüpfen können, haben sie die Möglichkeit, Änderungen für alle Benutzer und Computer in der Domäne vorzunehmen. Sie können potenziell den Zugriff erhöhen und die domänenweite Sicherheitslage ändern. | Warnung |
|
|
|
GPO Schwacher LM-Hash-Speicher aktiviert
|
Erkennt, wenn die Einstellung "Netzwerksicherheit: LAN-Manager-Hash-Wert bei nächster Kennwortänderung nicht speichern" innerhalb des Windows-Betriebssystems deaktiviert ist. Wenn diese Einstellung deaktiviert ist, werden LAN Manager (LM)-Hashes, die anfällig für Kennwortknacktechniken sind, bei Kennwortänderungen weiterhin gespeichert. Die Aktivierung dieser Einstellung erhöht die Sicherheit, indem sie die Speicherung von schwachen LM-Hashes verhindert und die Verwendung stärkerer Kennwortspeichermechanismen anregt. | Warnung |
|
|
|
GPO mit geplanten Aufgaben konfiguriert
|
Wenn ein geplanter Task eine ausführbare Datei startet, prüft dieser Indikator, ob Benutzer mit geringen Rechten die Berechtigung haben, GPOs zu ändern. Geplante Aufgaben, die über Gruppenrichtlinien konfiguriert werden, können riskant sein, wenn sie nicht korrekt eingerichtet sind. Sie können unbeabsichtigte Probleme und potenzielle Sicherheitslücken verursachen.
| Informativ |
|
|
|
Gastkonten, die seit mehr als 30 Tagen inaktiv waren
|
Prüft auf Gastkonten, die sich in den letzten 30 Tagen weder interaktiv noch nicht interaktiv angemeldet haben. Inaktive Gastkonten lassen ein offenes Tor zu Ihrem Azure-Mieter. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
In den letzten 30 Tagen nicht angenommene Gasteinladungen
|
Prüft, ob Einladungen von Gästen vorliegen, die nicht innerhalb von 30 Tagen nach der Einladung angenommen wurden. Veraltete Gasteinladungen stellen ein Sicherheitsrisiko dar und sollten gelöscht werden. | Warnung |
|
|
|
Gastbenutzer sind nicht eingeschränkt
|
Überprüft, ob Gastbenutzer im Mandanten eingeschränkt sind. Angreifer können nicht eingeschränkte Gastbenutzer verwenden, um eine Aufzählung von Benutzern und Gruppen im Mandanten durchzuführen. | Informativ |
-
MITRE ATT&CK:
Aufklärungsarbeit
|
|
|
Benutzerdefinierte Rollen mit hohen Privilegien
|
Überprüft auf benutzerdefinierte Rollen, die erhöhte Berechtigungen gewähren, damit ein Benutzer Aktionen mit den Passwörtern anderer Benutzer und MFA durchführen kann. Benutzerdefinierte Rollen gewähren erhöhte Berechtigungen und stellen möglicherweise ein erhebliches Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. | Warnung |
|
|
|
Vererbung auf AdminSDHolder-Objekt aktiviert
|
Überprüft, ob die Vererbung in der Zugriffskontrollliste (ACL) des AdminSDHolder-Objekts aktiviert ist, was auf einen Versuch hindeuten könnte, Berechtigungen für privilegierte Objekte zu ändern, die AdminSDHolder unterliegen (z. B. Benutzer oder Gruppen mit adminCount=1). Änderungen am AdminSDHolder-Objekt sind sehr selten. Administratoren sollten wissen, dass eine Änderung vorgenommen wurde, und in der Lage sein, den Grund für die Änderung zu erläutern. Wenn die Änderung nicht beabsichtigt war, ist die Wahrscheinlichkeit einer Kompromittierung sehr hoch. | Kritisch |
-
MITRE ATT&CK:
Verteidigung Umgehung Privilegieneskalation
|
|
|
Kerberos krbtgt-Konto mit altem Passwort
|
Sucht nach einem krbtgt-Benutzerkonto, dessen Kennwort in den letzten 180 Tagen nicht geändert wurde. Wenn das Kennwort des krbtgt-Kontos kompromittiert ist, können Golden-Ticket-Angriffe durchgeführt werden, um Zugang zu jeder Ressource in einer AD-Domäne zu erhalten. | Warnung |
|
|
|
Kerberos-Protokoll-Übergangsdelegation konfiguriert
|
Sucht nach Diensten, die so konfiguriert wurden, dass sie den Übergang zum Kerberos-Protokoll zulassen, was im Grunde bedeutet, dass ein delegierter Dienst jedes verfügbare Authentifizierungsprotokoll verwenden kann. Kompromittierte Dienste können die Qualität ihres Authentifizierungsprotokolls verringern, das leichter kompromittiert werden kann (z. B. NTLM). | Warnung |
|
|
|
krbtgt-Konto mit aktivierter ressourcenbasierter eingeschränkter Delegation (RBCD)
|
Sucht nach einem krbtgt-Konto, für das eine ressourcenbasierte eingeschränkte Delegation (RBCD) definiert ist. Normalerweise sollten für das krbtgt-Konto keine Delegationen erstellt werden; wenn sie gefunden werden, könnten sie ein erhebliches Risiko darstellen und sollten schnell entschärft werden. | Kritisch |
-
MITRE ATT&CK:
Privilegieneskalation
-
ANSSI:
vuln1_delegation_a2d2
|
|
|
Es gibt weniger als 2 globale Administratoren
|
Überprüft, ob weniger als zwei Globale Administratoren vorhanden sind. Dieser Indikator entspricht den Empfehlungen von Microsoft, dass Kunden mindestens zwei Globale Administratoren im Mandanten haben sollten. | Informativ |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Liste der risikobehafteten Benutzer (mittlere oder hohe Stufe)
|
Sucht im Mandanten nach risikoreichen Benutzern mit mittlerem oder hohem Risikoniveau. Risikobehaftete Benutzer sind Personen oder Konten, die ein Verhalten zeigen, das die Wahrscheinlichkeit von Sicherheitsvorfällen oder Sicherheitsverletzungen erhöht, z. B. schwache Authentifizierungspraktiken, Anfälligkeit für Phishing, ungewöhnliche Aktivitätsmuster, Zugriff auf Ressourcen von ungesicherten Geräten oder Netzwerken aus oder Besitz erhöhter Berechtigungen. Diese Benutzer stellen ein erhebliches Risiko dar, das zu einer Gefährdung von Anmeldeinformationen, Datenverletzungen oder Insider-Bedrohungen führen kann. | Warnung |
-
MITRE ATT&CK:
Erster Zugang
|
|
|
MFA nicht für privilegierte Konten konfiguriert
|
Überprüft, ob die Multi-Faktor-Authentifizierung (MFA) für Benutzer mit Administratorrechten aktiviert ist. Konten mit privilegiertem Zugriff sind anfälligere Ziele für Angreifer. Eine Kompromittierung eines privilegierten Benutzers stellt ein erhebliches Risiko dar und erfordert daher zusätzlichen Schutz. | Warnung |
|
|
|
Es gibt mehr als 10 Privilegierte Administratoren
|
Prüft auf das Vorhandensein von 10 oder mehr zugewiesenen privilegierten Rollen. Dieser Indikator entspricht den Empfehlungen von Microsoft, dass Kunden nicht mehr als 10 privilegierte Rollenzuweisungen haben sollten. | Warnung |
|
|
|
Es gibt mehr als 5 globale Administratoren
|
Überprüft das Vorhandensein von fünf oder mehr globalen Administratoren. Globale Administratoren kontrollieren Ihre Azure AD-Umgebung und haben Zugriff auf alle Verwaltungsfunktionen und die volle Kontrolle über Azure AD. | Warnung |
|
|
|
Neues API-Token wurde erstellt
|
Prüft, ob in den letzten 7 Tagen ein neues API-Token erstellt wurde. API-Tokens mit hohen Berechtigungen ermöglichen unbefugten Zugriff und Aktionen in Okta. Wenn ein Angreifer Zugriff auf das Kennwort des Tokens erhält, kann er es nutzen, um Abfragen und Aktionen durchzuführen, die möglicherweise zur Persistenz und zur Kompromittierung der Umgebung führen. | Warnung |
|
|
|
Eine neue Genehmigung wurde einer Gruppe erteilt
|
Überprüft, ob einer Gruppe in den letzten 7 Tagen irgendwelche Berechtigungen gewährt wurden. Mitglieder einer Gruppe mit hohen Berechtigungen können wichtige Aktionen in Okta durchführen. Daher ist es wichtig zu wissen, welche Gruppen starke Berechtigungen gewähren. | Informativ |
|
|
|
Dem Benutzer wurde eine neue Berechtigung erteilt
|
Überprüft, ob einem Benutzer in den letzten 7 Tagen irgendwelche Berechtigungen gewährt wurden. Benutzer mit hohen Berechtigungen können wichtige Aktionen in Okta durchführen. Daher ist es wichtig, Benutzer zu identifizieren und zu überwachen, denen erhöhte Berechtigungen gewährt wurden, um das Risiko eines unbefugten Zugriffs und eines potenziellen Missbrauchs sensibler Daten zu mindern. | Informativ |
|
|
|
Dem Benutzer wurde die neue Berechtigung Super Admin erteilt
|
Sucht nach Benutzern, denen in den letzten 7 Tagen "Super Admin"-Berechtigungen gewährt wurden. Benutzer mit "Super Admin"-Rechten haben weitreichende Privilegien und Kontrolle über kritische Aspekte der Okta-Umgebung. Die unbefugte oder übermäßige Erteilung der "Super Admin"-Berechtigung kann das Risiko einer Kompromittierung und eines unbefugten Zugriffs auf Okta erheblich erhöhen. | Warnung |
|
|
|
Neue Super-Admin-Berechtigungen wurden einer Gruppe gewährt
|
Prüft auf Gruppen, für die in den letzten 7 Tagen "Super Admin"-Rechte erteilt wurden. Mitglieder in einer Gruppe mit "Super Admin"-Rechten haben umfassenden Zugriff und können wichtige Aktionen in Okta durchführen. Daher ist es wichtig, genau zu überwachen und zu kontrollieren, welchen Gruppen diese starken Privilegien gewährt werden, um unbefugten Zugriff und eine mögliche Gefährdung der Okta-Umgebung zu verhindern. | Warnung |
|
|
|
Nicht-Administrator-Benutzer können benutzerdefinierte Anwendungen registrieren
|
Überprüft, ob es eine Autorisierungsrichtlinie gibt, die es Nicht-Administratoren ermöglicht, benutzerdefinierte Anwendungen zu registrieren. Wenn Nicht-Administrator-Benutzer benutzerdefinierte Unternehmensanwendungen registrieren dürfen, könnten Angreifer dieses Schlupfloch nutzen, um schädliche Anwendungen zu registrieren, die sie dann nutzen können, um zusätzliche Berechtigungen zu erhalten. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Nicht standardmäßiger Zugang zum DPAPI-Schlüssel
|
Überprüft Domänencontroller auf Nicht-Standard-Principals, die berechtigt sind, den Domänen-DPAPI-Backup-Schlüssel (mit LsaRetrievePrivateData) abzurufen. Mit diesen Berechtigungen könnte ein Angreifer alle über DPAPI verschlüsselten Domänendaten wiederherstellen. | Warnung |
|
|
|
Nicht standardmäßiger Zugriff auf den gMSA-Root-Schlüssel
|
Sucht nach Nicht-Standard-Principals mit der Berechtigung, das Attribut msKds-RootKeyData auf dem KDS-Root-Schlüssel zu lesen. Benutzer mit Leseberechtigungen für diese Eigenschaft könnten jedes gMSA-Konto in der Gesamtstruktur gefährden. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen
-
ANSSI:
vuln1_Zulassungen_ gmsa_Schlüssel vuln2_Zulassungen_ gmsa_Schlüssel
|
|
|
Nicht standardmäßige Prinzipale mit DC-Synchronisierungsrechten in der Domäne
|
Sucht nach Sicherheitsprinzipalen mit den Berechtigungen Replicating Changes All oder Replicating Directory Changes für das Domänenbenennungskontextobjekt. Sicherheits Grundsätze mit diesen Berechtigungen für das Domänenbenennungskontextobjekt können potenziell Passwort-Hashes für Benutzer in einer AD-Domäne abrufen (DCSync-Angriff). | Kritisch |
|
|
|
Nicht standardmäßiger Wert für ms-Mcs-AdmPwd SearchFlags
|
Sucht nach Änderungen an den standardmäßigen searchFlags im Schema ms-Mcs-AdmPwd. Einige Flags können versehentlich dazu führen, dass das Kennwort für unbeabsichtigte Benutzer sichtbar ist, so dass ein Angreifer es als heimliche Hintertür verwenden kann. | Warnung |
|
|
|
Nicht privilegierte Benutzer mit Zugang zu gMSA-Passwörtern
|
Sucht nach Principals, die in der MSDS-groupMSAmembership aufgeführt sind und nicht zu den integrierten Admin-Gruppen gehören. Ein Angreifer, der den Zugriff auf das gMSA-Konto kontrolliert, kann Passwörter für mit gMSA verwaltete Ressourcen abrufen. | Warnung |
|
|
|
Nicht standardmäßige Schema-Berechtigungen
|
Sucht nach zusätzlichen Principals mit einer Berechtigung, die über die allgemeine Leseberechtigung für die Schemapartitionen hinausgeht. Standardmäßig sind die Änderungsberechtigungen für das Schema auf Schema-Admins beschränkt. Diese Berechtigungen gewähren dem vertrauenswürdigen Prinzipal die vollständige Kontrolle über das Active Directory. | Warnung |
|
|
|
Nicht-synchronisierter AAD-Benutzer, der für eine privilegierte Rolle berechtigt ist
|
Sucht nach Azure AD-Benutzern, die für eine Rolle mit hohen Rechten in Frage kommen und das proxyAddress-Attribut haben, aber nicht mit einem AD-Konto synchronisiert sind. Ein Angreifer könnte den SMTP-Abgleich verwenden, um kontrollierte AD-Benutzer mit AAD-Benutzern zu synchronisieren, die für Rollen mit hohen Rechten in Frage kommen. Dieser Prozess überschreibt das AAD-Passwort und könnte zu einer Privilegienerweiterung über AAD führen. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
NTFRS SYSVOL-Replikation
|
Sucht nach Hinweisen auf die Verwendung von FRS für die SYSVOL-Replikation. NTFRS ist ein älteres Protokoll, das durch DFSR ersetzt wurde. Angreifer, die NTFRS-Schwachstellen manipulieren können, um SYSVOL zu kompromittieren, können möglicherweise GPOs und Anmeldeskripte ändern, um Malware zu verbreiten und sich seitlich in der Umgebung zu bewegen. | Warnung |
-
MITRE ATT&CK:
Sammlung
-
ANSSI:
vuln2_sysvol_ntfrs
|
|
|
Objekte in privilegierten Gruppen ohne adminCount=1 (SDProp)
|
Sucht nach Objekten in eingebauten privilegierten Gruppen, deren adminCount-Attribut nicht auf 1 gesetzt ist. Wenn ein Objekt in diesen Gruppen einen adminCount ungleich 1 hat, könnte dies bedeuten, dass die DACLs manuell gesetzt wurden (keine Vererbung) oder dass es ein Problem mit SDProp gibt. | Informativ |
-
MITRE ATT&CK:
Verteidigung Umgehung Persistenz
|
|
|
Objekte mit eingeschränkter Delegation konfiguriert
|
Sucht nach allen Objekten, die Werte im Attribut msDS-AllowedToDelegateTo haben (d. h. eingeschränkte Delegation) und bei denen das UserAccountControl-Bit für den Protokollübergang nicht gesetzt ist. Angreifer können Delegationen verwenden, um sich seitlich zu bewegen oder ihre Privilegien zu erweitern, wenn sie einen Dienst kompromittieren, dem die Delegierung vertraut wird. | Informativ |
|
|
|
Bedienergruppen nicht mehr durch AdminSDHolder und SDProp geschützt
|
Überprüft, ob dwAdminSDExMask auf dsHeurstics gesetzt wurde, was auf eine Änderung des SDProp-Verhaltens hinweist, die die Sicherheit beeinträchtigen könnte. Eine Änderung des AdminSDHolder-SDProp-Verhaltens könnte auf einen Versuch hinweisen, die Verteidigung zu umgehen. | Warnung |
|
|
|
Operatorgruppen, die nicht leer sind
|
Sucht nach Operatorgruppen (Account Operators, Server Operators, Backup Operators, Print Operators), die Mitglieder enthalten. Diese Gruppen haben Schreibzugriff auf wichtige Ressourcen in der Domäne; Angreifer, die Mitglieder dieser Gruppen sind, können indirekt die Kontrolle über die Domäne übernehmen. | Warnung |
|
|
|
Ausgehendes Waldvertrauen mit aktivierter SID-Historie
|
Sucht nach ausgehenden Forest-Trusts, bei denen das Flag TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL auf true gesetzt ist. Wenn dieses Flag gesetzt ist, wird eine forstübergreifende Vertrauensstellung zu einer Domäne für die Zwecke der SID-Filterung als externe Vertrauensstellung behandelt. Dieses Attribut lockert die strengere Filterung, die bei forstübergreifenden Trusts durchgeführt wird. | Warnung |
|
|
|
Überprüfung der Passwortrichtlinien
|
Bewertet alle Passwortrichtlinien und überprüft, ob sie den Empfehlungen von Okta entsprechen. Eine starke Passwortrichtlinie ist entscheidend, um unbefugten Zugriff auf die Umgebung durch Brute-Force-Angriffe zu verhindern. | Warnung |
|
|
|
Berechtigungsänderungen am AdminSDHolder-Objekt
|
Sucht nach Änderungen der Zugriffskontrollliste (ACL) für das Objekt AdminSDHolder. Könnte auf einen Versuch hinweisen, Berechtigungen für privilegierte Objekte zu ändern, die AdminSDHolder unterliegen. | Kritisch |
|
|
|
Primäre Benutzer mit SPN unterstützen keine AES-Verschlüsselung bei Kerberos
|
Zeigt alle primären Benutzer mit servicePrincipalNames (SPNs) an, die den Verschlüsselungstyp AES-128 oder AES-256 nicht unterstützen. Die AES-Verschlüsselung ist stärker als die RC4-Verschlüsselung. Wenn Sie primäre Benutzer mit SPNs konfigurieren, die AES-Verschlüsselung unterstützen, werden Angriffe wie Kerberoasting nicht abgeschwächt. Es erzwingt jedoch standardmäßig die AES-Verschlüsselung, was bedeutet, dass es möglich ist, Angriffe auf die RC4-Verschlüsselung (Kerberoasting-Angriffe) zu überwachen. | Warnung |
|
|
|
Prinzipale mit aktivierter eingeschränkter Authentifizierungsdelegation für einen DC-Dienst
|
Sucht nach Computern und Benutzern, bei denen die eingeschränkte Delegation für einen auf einem DC ausgeführten Dienst aktiviert ist. Wenn ein Angreifer eine solche Delegation erstellen kann, kann er sich bei diesem Dienst mit einem beliebigen Benutzer authentifizieren, der nicht gegen Delegation geschützt ist. | Warnung |
|
|
|
Auftraggeber mit eingeschränkter Delegation und aktiviertem Protokollübergang für einen DC-Dienst
|
Sucht nach Computern und Benutzern, die eine eingeschränkte Delegation mittels Protokollübergang für einen auf einem DC laufenden Dienst definiert haben. Wenn ein Angreifer eine solche Delegation für einen Dienst erstellen kann, den er kontrollieren kann, oder einen bestehenden Dienst kompromittieren kann, kann er effektiv eine TGS für jeden Benutzer mit Berechtigungen für den DC erlangen. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
-
ANSSI:
vuln1_delegation_t2a4d
|
|
|
Der Druckspooler-Dienst ist auf einem DC aktiviert
|
Sucht nach Domänencontrollern, auf denen der Druckspooler-Dienst läuft, der standardmäßig aktiviert ist. Es wurden mehrere kritische Schwachstellen in Windows Print Spooler-Diensten gefunden, die sich direkt auf die auf Domänencontrollern installierten Druckspooler auswirken und Remotecodeausführung ermöglichen. | Kritisch |
|
|
|
Privilegierte Konten mit einem Passwort, das nie abläuft
|
Identifiziert privilegierte Konten (adminCount = 1), bei denen das Kennzeichen "Passwort läuft nie ab" gesetzt ist. Benutzerkonten, deren Kennwörter nie ablaufen, sind ein ideales Ziel für das Erraten von Kennwörtern mit roher Gewalt. Wenn es sich bei diesen Konten auch um administrative oder privilegierte Konten handelt, sind sie ein noch größeres Ziel. | Warnung |
|
|
|
Privilegierte Gruppe enthält Gastkonto
|
Überprüft, ob Gastkonten irgendwelche privilegierten Rollen zugewiesen wurden. Externe Angreifer haben es auf privilegierte Konten abgesehen, da sie einen schnellen Zugang zu den kritischsten Systemen eines Unternehmens ermöglichen. Gastkonten stellen eine externe Entität dar, für die nicht dieselben Sicherheitsvorkehrungen gelten wie für Benutzer in Ihrem Tenant; daher stellt die Zuweisung privilegierter Rollen an sie ein erhöhtes Risiko dar. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Privilegierte Objekte mit unprivilegierten Eigentümern
|
Sucht nach privilegierten Objekten (adminCount =1), die im Besitz eines unprivilegierten Kontos sind. Jede Kompromittierung eines unprivilegierten Kontos könnte dazu führen, dass die Delegation eines privilegierten Objekts geändert wird. | Warnung |
|
|
|
Berechtigungsnachweise für privilegierte Benutzer auf RODC zwischengespeichert
|
Sucht nach privilegierten Benutzern mit Anmeldeinformationen, die auf RODCs zwischengespeichert sind. Auch wenn dies nicht unmittelbar auf einen Angriff hindeutet, sind privilegierte Benutzerkonten sensibel und sollten nicht auf RODCs zwischengespeichert werden, da ihre physische Sicherheit nicht so robust ist wie die eines vollständigen DC. | Informativ |
-
MITRE ATT&CK:
Seitliche Bewegung Privilegieneskalation
|
|
|
Privilegierte Benutzer, die deaktiviert sind
|
Sucht nach privilegierten Benutzerkonten, die deaktiviert sind. Wenn ein privilegiertes Konto deaktiviert ist, sollte es aus seiner/ihren privilegierten Gruppe(n) entfernt werden, um versehentlichen Missbrauch zu verhindern. | Informativ |
|
|
|
Privilegierte Benutzer mit definierten ServicePrincipalNames
|
Sucht nach Konten, bei denen das adminCount-Attribut auf 1 gesetzt ist UND ServicePrincipalNames (SPNs) für das Konto definiert sind. Privilegierte Konten, für die ein SPN definiert ist, sind Ziele für Kerberos-basierte Angriffe, die die Berechtigungen dieser Konten erhöhen können. | Warnung |
|
|
|
Privilegierte Benutzer mit schwacher Passwortpolitik
|
Sucht in jeder Domäne nach privilegierten Benutzern, für die keine strenge Kennwortrichtlinie gemäß dem ANSSI-Rahmenwerk durchgesetzt wurde. Dabei werden sowohl die Fine-Grained Password Policy (FGPP) als auch die für die Domäne geltende Kennwortrichtlinie überprüft. Ein von ANSSI definiertes sicheres Passwort ist mindestens acht Zeichen lang und wird spätestens alle drei Jahre aktualisiert. Schwache Passwörter sind durch Brute-Force-Angriffe leichter zu knacken und können Angreifern die Möglichkeit bieten, sich seitlich zu bewegen oder ihre Privilegien zu erweitern. Das Risiko ist bei privilegierten Konten sogar noch höher, denn wenn sie kompromittiert werden, verbessern sie die Chancen des Angreifers, schnell innerhalb des Netzwerks vorzudringen. | Kritisch |
|
|
|
Verbotene Entra ID Rollen zugewiesen
|
Überprüft die Zuweisung von Rollen in Entra ID, die veraltet sind oder nicht mehr verwendet werden dürfen. Veraltete Rollen oder Rollen, die als "niemals verwenden" gekennzeichnet sind, können erhebliche Sicherheitsrisiken bergen, wenn sie zugewiesen werden. Diese Rollen haben möglicherweise unbeabsichtigte Berechtigungen oder werden nicht ordnungsgemäß gepflegt, was zu Sicherheitslücken führen kann. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Gruppe "Geschützte Benutzer" nicht in Gebrauch
|
Erkennt, wenn privilegierte Benutzer nicht Mitglied der Gruppe "Geschützte Benutzer" sind. Die Gruppe "Geschützte Benutzer" bietet privilegierten Benutzern einen zusätzlichen Schutz vor direkten Angriffen zum Diebstahl von Anmeldeinformationen. | Informativ |
|
|
|
Abfrage von Richtlinien, die das Attribut ldap deny list gesetzt haben
|
Prüft auf LDAP-IP-Verweigerungslisten (Attribut ldapipdenylist) über mehrere Domänen in einer AD-Umgebung. Nicht autorisierte oder unerwartete Einträge in der LDAP-IP-Verweigerungsliste könnten auf eine Sicherheitsverletzung oder einen Versuch hindeuten, den Zugriff auf kritische Ressourcen böswillig zu beschränken. | Informativ |
-
MITRE ATT&CK:
Auswirkungen
|
|
|
Der Verschlüsselungstyp RC4 oder DES wird von Domain Controllern unterstützt
|
Überprüft, ob die RC4- oder DES-Verschlüsselung von den Domänencontrollern unterstützt wird. RC4 und DES gelten als eine unsichere Form der Verschlüsselung, die für verschiedene kryptografische Angriffe anfällig ist. Mehrere Schwachstellen im RC4- oder DES-Algorithmus ermöglichen MITM- (Man-in-the-Middle) und Entschlüsselungsangriffe. | Warnung |
|
|
|
Jüngste Aktivitäten zur Erstellung von privilegierten Konten
|
Sucht nach privilegierten Benutzern oder Gruppen (adminCount = 1), die kürzlich erstellt wurden. Ermöglicht es Ihnen, privilegierte Konten und Gruppen zu erkennen, die ohne vorherige Kenntnis erstellt wurden. Informativ | Informativ |
|
|
|
Jüngste sIDHistory-Änderungen an Objekten
|
Erkennt alle kürzlichen Änderungen an der sIDHistory von Objekten, einschließlich Änderungen an nicht privilegierten Konten, bei denen privilegierte SIDs hinzugefügt werden. Angreifer benötigen privilegierten Zugriff auf AD, um in die sIDHistory schreiben zu können. Wenn diese Rechte jedoch vorhanden sind, ist das Schreiben von privilegierten SIDs in reguläre Benutzerkonten eine heimliche Methode zur Erstellung von Backdoor-Konten. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Ressourcenbasierte eingeschränkte Delegation auf das AZUREADSSOACC-Konto angewendet
|
Sucht nach ressourcenbasierter eingeschränkter Delegation, die für das Azure SSO-Konto AZUREADSSOACC konfiguriert ist. Ein Konto mit ressourcenbasierter eingeschränkter Delegation würde diesem Principal erlauben, eine Ticket Granting Service (TGS)-Anfrage an den Azure-Tenant im Namen des AZUREADSSOACC-Kontos als beliebiger Benutzer zu erstellen und sich als dieser Benutzer auszugeben. | Warnung |
|
|
|
Umkehrbare Passwörter in GPOs gefunden
|
Sucht im SYSVOL nach GPOs, die Passwörter enthalten, die von einem Angreifer leicht entschlüsselt werden können (sogenannte "Cpassword"-Einträge). Dieser Bereich ist eines der ersten Dinge, nach denen Angreifer suchen, wenn sie sich Zugang zu einer AD-Umgebung verschafft haben. | Kritisch |
|
|
|
Riskante RODC-Zwischenspeicherung von Anmeldeinformationen
|
Sucht nach einer Kennwortreplikationsrichtlinie, die privilegierte Objekte zulässt. Wenn privilegierte Benutzer in der Zulassungsliste enthalten sind, können sie dem Diebstahl von Anmeldeinformationen auf einer RODC ausgesetzt sein. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen
-
ANSSI:
vuln2_rodc_priv_ enthüllt
-
MITRE D3FEND:
Harden - Benutzerkonto-Berechtigungen
|
|
|
Sicherheitsvorgaben nicht aktiviert
|
Wenn keine Richtlinien für den bedingten Zugriff konfiguriert sind, prüft dieser Indikator, ob die Sicherheitsvorgaben aktiviert sind. Es wird empfohlen, Sicherheitsvorgaben für Tenants zu verwenden, die keine Richtlinien für bedingten Zugriff konfiguriert haben. Die Sicherheitsvorgaben erfordern MFA, blockieren die Legacy-Authentifizierung und erfordern eine zusätzliche Authentifizierung beim Zugriff auf das Azure-Portal, die Azure PowerShell und die Azure-CLI. | Warnung |
|
|
|
Zurücksetzen des Kennworts per Selbstbedienung für privilegierte Rollen aktiviert
|
Prüft, ob Benutzer in privilegierten Rollen in Entra ID die Selbstbedienungs-Passwortrücksetzung verwenden können. Das Zurücksetzen von Passwörtern per Selbstbedienung (SSPR) ist in Unternehmen für Endbenutzer von Vorteil, hat aber für privilegierte Konten Sicherheitsnachteile. | Warnung |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Shadow Credentials auf privilegierten Objekten
|
Sucht nach Benutzern mit Schreibzugriff auf das Attribut msDS-KeyCredentialLink von privilegierten Benutzern und Domänen
Controllern.
Benutzer, die auf diese privilegierten Objekte schreiben können und
Kerberos PKINIT aktiviert ist, können ihre Berechtigungen auf diese
Objekte erhöhen. | Warnung |
|
|
|
SMB-Signierung ist auf Domänencontrollern nicht erforderlich
|
Sucht nach Domänencontrollern, bei denen eine SMB-Signierung nicht erforderlich ist. Unsignierter Netzwerkverkehr ist anfällig für Angriffe, die das NTLM-Challenge-Response-Protokoll missbrauchen. Ein gängiges Beispiel für solche Angriffe ist SMB Relay, bei dem ein Angreifer zwischen dem Client und dem Server positioniert wird, um Datenpakete abzufangen, die zwischen den beiden übertragen werden, und so
unberechtigten Zugriff auf den Server oder andere Server im Netzwerk zu erlangen. | Kritisch |
|
|
|
SMBv1 ist auf Domänencontrollern aktiviert
|
Sucht nach Domänencontrollern, bei denen das SMBv1-Protokoll aktiviert ist. SMBv1 ist ein altes Protokoll (von Microsoft im Jahr 2014 abgelehnt), das als unsicher und anfällig für alle Arten von Angriffen gilt. | Kritisch |
|
|
|
SSO-Computerkonto mit Passwort, das zuletzt vor mehr als 90 Tagen festgelegt wurde
|
Überprüft das Azure SSO-Computerkonto (AZUREADSSOACC), um festzustellen, ob das Kennwort in den letzten 90 Tagen geändert wurde. Das Kennwort für das Azure SSO-Computerkonto wird nicht automatisch alle 30 Tage geändert. Wenn das Kennwort für dieses Konto kompromittiert ist, könnte ein Angreifer eine Ticket Granting Service (TGS)-Anforderung an das AZUREADSSOACC-Konto als beliebiger Benutzer generieren, was zur Folge hat, dass ein Ticket für Azure generiert wird und sich dieser Benutzer ausgibt. | Warnung |
|
|
|
Verdächtige Anmeldeinformationen bei Microsoft-Dienstprinzipalen
|
Prüft, ob bestimmten Microsoft-Dienstprinzipalen Secrets zugewiesen sind. In Entra ID ist es möglich, Berechtigungsnachweise wie Secrets oder Schlüssel zu Dienstprinzipalen für Microsoft-Anwendungen zuzuweisen. In bestimmten Szenarien können Sie dann mit denselben Rechten agieren, die die Anwendung hat, indem Sie OAuth 2.0 Client Credential Grant Flows gegen Microsoft Graph API verwenden. | Kritisch |
-
MITRE ATT&CK:
Verteidigung Umgehung Persistenz Privilegieneskalation
|
|
|
SYSVOL Ausführbare Änderungen
|
Sucht nach Änderungen an ausführbaren Dateien innerhalb von SYSVOL. Änderungen an den ausführbaren Dateien innerhalb von SYSVOL sollten berücksichtigt oder untersucht werden, um eine mögliche Schwächung der Sicherheitslage festzustellen. | Informativ |
-
MITRE ATT&CK:
Ausführung Persistenz Privilegieneskalation
-
MITRE D3FEND:
Erkennen - Datei-Analyse
|
|
|
Konten mit alten Passwörtern vertrauen
|
Sucht nach Vertrauenskonten, deren Kennwort im letzten Jahr nicht geändert wurde. Vertrauenskonten erleichtern die Authentifizierung über Vertrauensstellungen hinweg und sollten wie privilegierte Benutzerkonten geschützt werden. Normalerweise werden die Passwörter von Treuhandkonten automatisch geändert, so dass ein Treuhandkonto ohne aktuelle Passwortänderung auf ein verwaistes Treuhandkonto hinweisen könnte. | Informativ |
|
|
|
Unerwartete Konten in der Cert Publishers Group
|
Überprüft, ob die Cert Publishers Group Mitglieder enthält, die dort nicht zu erwarten sind. Personen, die zur Cert Publishers Group gehören, haben die Möglichkeit, eine potentiell schädliche Zertifizierungsstelle (CA) in einer ADCS-Umgebung einzuführen, der alle Clients vertrauen. | Warnung |
|
|
|
Unprivilegierte Konten mit adminCount=1
|
Sucht nach Benutzern oder Gruppen, die möglicherweise unter der Kontrolle von SDProp stehen (adminCount=1), aber nicht mehr Mitglied einer privilegierten Gruppe sind. Dies könnte ein Hinweis auf einen Angreifer sein, der versucht hat, seine Spuren zu verwischen und einen Benutzer zu entfernen, den er zur Kompromittierung verwendet hat. | Informativ |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Unprivilegierter Besitzer einer privilegierten Gruppe
|
Überprüft das Vorhandensein eines unprivilegierten Besitzers einer Gruppe mit privilegierten Rollen. Die Zuweisung von Rollen zu einer Gruppe anstelle von einzelnen Principals rationalisiert den Prozess des Hinzufügens oder Entfernens von Benutzern und gewährleistet einheitliche Berechtigungen für alle Gruppenmitglieder. Der Gruppenbesitzer kann sich jedoch jederzeit selbst zur Gruppe hinzufügen, was ein Risiko der Privilegieneskalation darstellt, wenn der Besitzer ein unprivilegierter Principal ist. | Warnung |
-
MITRE ATT&CK:
Seitliche Bewegung Persistenz
|
|
|
Unprivilegierte Prinzipale als DNS-Administratoren
|
Sucht nach jedem Mitglied der Gruppe DNS-Admins, das kein privilegierter Benutzer ist. Mitglieder dieser Gruppe können an Nicht-AD-Administratoren delegiert werden (z. B. Admins mit Netzwerkverantwortung, wie DNS, DHCP usw.), was dazu führen kann, dass diese Konten Hauptziele für Kompromisse sind. | Warnung |
-
MITRE ATT&CK:
Ausführung Privilegieneskalation
-
ANSSI:
vuln1_dnsadmins vuln1_erlaubnisse_msdn
|
|
|
Unprivilegierte Benutzer können der Domäne Computerkonten hinzufügen
|
Überprüft, ob unprivilegierte Domänenmitglieder Computerkonten zu einer Domäne hinzufügen dürfen. Die Möglichkeit, Computerkonten zu einer Domäne hinzuzufügen, kann durch Kerberos-basierte Angriffe missbraucht werden. | Informativ |
|
|
|
Uneingeschränkte Zustimmung der Nutzer erlaubt
|
Überprüft, ob Benutzer Anwendungen von ungeprüften Herausgebern hinzufügen dürfen. Wenn Benutzer Anwendungen von Drittanbietern zustimmen dürfen, besteht ein erhebliches Risiko, dass eine zugelassene Anwendung aufdringliche oder riskante Aktionen durchführt. | Warnung |
-
MITRE ATT&CK:
Seitliche Bewegung Persistenz
|
|
|
Ungesicherte DNS-Konfiguration
|
Sucht nach DNS-Zonen, die mit ZONE_UPDATE_UNSECURE konfiguriert sind, was eine anonyme Aktualisierung eines DSN-Eintrags ermöglicht. Ein Angreifer könnte diese Schwachstelle ausnutzen, um einen neuen DSN-Eintrag hinzuzufügen oder einen bestehenden DNS-Eintrag zu ersetzen, um eine Verwaltungsschnittstelle zu fälschen und dann auf eingehende Verbindungen zu warten, um Anmeldeinformationen zu stehlen. | Warnung |
|
|
|
Benutzerkonten, die Kennwörter mit umkehrbarer Verschlüsselung speichern
|
Identifiziert Konten, bei denen das Kennzeichen "ENCRYPTED_TEXT_PWD_ALLOWED" aktiviert ist. Angreifer können möglicherweise die Kennwörter dieser Benutzer aus dem Chiffretext ableiten und diese Konten übernehmen. | Informativ |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen
-
ANSSI:
vuln3_reversibel_passwort
-
MITRE D3FEND:
Harden - Richtlinie für sichere Passwörter
|
|
|
Benutzerkonten, die DES-Verschlüsselung verwenden
|
Identifiziert Benutzerkonten, bei denen das Kennzeichen "Kerberos DES-Verschlüsselungstypen für dieses Konto verwenden" gesetzt ist. Angreifer können DES-Passwörter mit weit verbreiteten Tools leicht knacken, so dass diese Konten leicht übernommen werden können. | Informativ |
|
|
|
Benutzerkonten mit Passwort nicht erforderlich
|
Identifiziert Benutzerkonten, für die kein Kennwort erforderlich ist. Konten mit schwachen Zugriffskontrollen werden oft gezielt eingesetzt, um sich seitlich zu bewegen oder in der Umgebung dauerhaft Fuß zu fassen. | Informativ |
|
|
|
Benutzeraktivierung in den letzten 7 Tagen
|
Prüft auf Benutzer, die in den letzten 7 Tagen aktiviert wurden. Aktivierte Benutzer haben die Möglichkeit, sich zu authentifizieren und Aktionen innerhalb der Okta-Umgebung durchzuführen. Daher ist es wichtig, den Aktivierungsstatus von Benutzern zu überwachen und zu überprüfen, um sicherzustellen, dass nur autorisierte Personen Zugriff haben. | Informativ |
|
|
|
Die Zustimmung des Benutzers ist für riskante Anwendungen zulässig
|
Überprüft, ob es eine Entra ID Autorisierungsrichtlinie gibt, die es Benutzern erlaubt, ihre Zustimmung für riskante Anwendungen zu erteilen. Um die Sicherheit zu erhöhen, wird empfohlen, die Eigenschaft allowUserConsentForRiskyApps auf false zu setzen. Dadurch wird verhindert, dass Benutzer selbständig ihre Zustimmung zu riskanten Anwendungen erteilen. | Warnung |
|
|
|
Benutzerdeaktivierung in den letzten 7 Tagen
|
Sucht nach Benutzern, die in den letzten 7 Tagen deaktiviert wurden. Deaktivierte Benutzer sind nicht mehr in der Lage, sich zu authentifizieren und Aktionen innerhalb der Okta-Umgebung durchzuführen. Ein Angreifer kann jedoch einen Benutzer absichtlich deaktivieren, um das Funktionieren der Umgebung zu stören oder um seine Aktivitäten zu verbergen. Es ist wichtig, den Deaktivierungsstatus von Benutzern zu überwachen und zu überprüfen, um sicherzustellen, dass er mit den beabsichtigten Zugriffskontrollen übereinstimmt. | Informativ |
|
|
|
Benutzer und Computer mit nicht standardmäßigen Primärgruppen-IDs
|
Gibt eine Liste aller Benutzer und Computer zurück, deren Primärgruppen-IDs (PGIDs) nicht den Standardwerten für Domänenbenutzer und Computer entsprechen. Das Ändern der primären Gruppen-ID ist für einen Angreifer eine heimliche Möglichkeit, seine Privilegien zu erweitern, ohne dass eine Prüfung der Mitgliederattribute für Änderungen der Gruppenmitgliedschaft ausgelöst wird. | Informativ |
|
|
|
Benutzer und Computer ohne lesbare PGID
|
Findet Benutzer und Computer, die die Primärgruppen-ID (PGID) nicht lesen können. Kann durch das Entfernen der Standard-Leseberechtigung verursacht werden, was auf einen Versuch hinweisen könnte, den Benutzer zu verstecken (in Kombination mit dem Entfernen des Attributs memberOf). | Warnung |
-
MITRE ATT&CK:
Verteidigung Umgehung
|
|
|
Seit mindestens 90 Tagen inaktive Benutzer oder Geräte
|
Es wird nach Benutzern oder Geräten gesucht, die sich in den letzten 90 Tagen nicht angemeldet haben. Benutzer oder Geräte, die seit 90 Tagen oder länger inaktiv sind, werden wahrscheinlich nicht mehr verwendet und lassen ein offenes Tor zum Azure AD-Tenant. | Warnung |
-
MITRE ATT&CK:
Persistenz Privilegieneskalation
|
|
|
Benutzer mit deaktivierter Kerberos-Vorabauthentifizierung
|
Sucht nach Benutzern mit deaktivierter Kerberos-Vorauthentifizierung. Diese Benutzer können Ziel von ASREP-Roasting-Angriffen (wie "Kerberoasting") sein. | Warnung |
-
MITRE ATT&CK:
Zugang zu Anmeldeinformationen
-
ANSSI:
vuln1_kerberos_prop- erties_preauth_priv vuln2_kerberos_prop- erties_preauth
|
|
|
Benutzer mit alten Passwörtern
|
Sucht nach Benutzerkonten, deren Kennwort seit über 180 Tagen nicht mehr geändert wurde. Diese Konten könnten ein gefundenes Fressen für Angriffe zum Erraten von Passwörtern sein. | Warnung |
|
|
|
Benutzer mit gesetztem Kennzeichen "Passwort läuft nie ab
|
Identifiziert Benutzerkonten, bei denen das Kennzeichen "Kennwort läuft nie ab" gesetzt ist. Diese Konten können potenzielle Ziele für Brute-Force-Kennwortangriffe sein. | Informativ |
|
|
|
Benutzer mit der Berechtigung zum Festlegen des Serververtrauenskontos
|
Überprüft die Domänen-NC-Kopf-Berechtigungen, um festzustellen, ob das Server_Trust_Account-Flag auf Computerobjekten gesetzt ist. Ein Angreifer, der authentifizierte Benutzer mit diesen Berechtigungen ausstatten kann, kann seinen Zugriff nutzen, um jeden Computer, den er kontrolliert, in den Status eines Domänencontrollers zu versetzen, was eine Privilegienerweiterung auf AD-Dienste und die Durchführung von Angriffen auf Anmeldeinformationen wie DCSync ermöglicht. | Kritisch |
-
MITRE ATT&CK:
Privilegieneskalation
|
|
|
Benutzer mit ServicePrincipalName definiert
|
Bietet eine Möglichkeit zur visuellen Bestandsaufnahme aller Benutzerkonten, für die ServicePrincipalNames (SPNs) definiert sind. Im Allgemeinen werden SPNs nur für "kerberisierte" Dienste definiert; andere Konten mit einem SPN können Anlass zur Sorge sein. | Warnung |
|
|
|
Benutzer, bei denen das Attribut userPassword gesetzt ist
|
Prüft, ob das Attribut userPassword in Konten vorhanden ist. Das userPassword-Attribut speichert Passwörter im Klartext und kann über LDAP abgefragt werden, wodurch Passwörter möglicherweise offengelegt werden können.
| Warnung |
|
|
|
Benutzer ohne Multi-Faktor-Authentifizierung (MFA)
|
Überprüft alle Benutzer, um diejenigen zu identifizieren, die sich nicht für die Multi-Faktor-Authentifizierung (MFA) registriert haben. Für Benutzer, die nicht mit MFA konfiguriert sind, besteht ein hohes Risiko, kompromittiert zu werden. Dies stellt nicht nur für den Benutzer, sondern auch für die gesamte Umgebung eine erhebliche Gefahr dar. | Warnung |
-
MITRE ATT&CK:
Erster Zugang
|
|
|
Schwache Zertifikatsverschlüsselung
|
Sucht nach in Active Directory gespeicherten Zertifikaten mit einer Schlüsselgröße von weniger als 2048 Bit oder mit DSA-Verschlüsselung. Schwache Zertifikate können von Angreifern missbraucht werden, um Zugriff auf Systeme zu erhalten, die eine Zertifikatsauthentifizierung verwenden. | Warnung |
|
|
|
Wohlbekannte privilegierte SIDs in sIDHistory
|
Sucht nach Sicherheitsprinzipalen, die bestimmte SIDs von Konten aus integrierten privilegierten Gruppen im Attribut sIDHistory enthalten. Ermöglicht es diesen Sicherheitsprinzipalen, die gleichen Rechte wie diese privilegierten Konten zu haben, jedoch auf eine Weise, die für die Überwachung nicht offensichtlich ist (z. B. durch die Gruppenzugehörigkeit). | Kritisch |
|
|
|
Beschreibbare Verknüpfungen in GPO gefunden
|
Sucht nach Verknüpfungen in Gruppenrichtlinienobjekten (GPOs), die von Benutzern mit geringen Rechten geschrieben werden können. Wenn wenig privilegierte Benutzer die Möglichkeit haben, Verknüpfungen innerhalb von GPOs zu ändern, kann dies möglicherweise zu Sicherheitsrisiken und nicht autorisierten Änderungen führen. | Warnung |
|
|
|
Schreibzugriff auf RBCD auf DC
|
Sucht nach Benutzern, die nicht in den Gruppen Domain Admins, Enterprise Admins oder Built-in Admins sind, die Schreibzugriff auf Resource-Based Constrained Delegation (RBCD) für Domain Controller haben. Angreifer, die sich Schreibzugriff auf RBCD für eine Ressource verschaffen können, können die Ressource dazu bringen, sich als ein beliebiger Benutzer auszugeben (außer in Fällen, in denen die Delegierung explizit verboten ist). | Warnung |
|
|
|
Schreibzugriff auf RBCD auf krbtgt-Konto
|
Sucht nach Benutzern, die nicht in den Gruppen Domain Admins, Enterprise Admins oder Built-in Admins sind, die Schreibzugriff auf Resource-Based Constrained Delegation (RBCD) für das krbtgt-Konto haben. Angreifer, die sich Schreibzugriff auf RBCD für eine Ressource verschaffen können, können die Ressource dazu bringen, sich als ein beliebiger Benutzer auszugeben (es sei denn, die Delegation ist explizit nicht erlaubt). | Warnung |
|
|
|
Verwundbarkeit von Zerologon
|
Sucht nach einer Sicherheitslücke für CVE-2020-1472, die von Microsoft im August 2020 gepatcht wurde. Ohne diesen Patch kann ein nicht authentifizierter Angreifer die Sicherheitslücke CVE-2020-1472 ausnutzen, um seine Berechtigungen zu erhöhen und administrativen Zugriff auf die Domäne zu erhalten. | Kritisch |
-
MITRE ATT&CK:
Privilegieneskalation
|
|