Indicators of Exposure
| Name | Beschreibung | Schweregrad |
|---|---|---|
| Gefährliche WSUS-Fehlkonfigurationen | Listet die falsch konfigurierten Parameter im Zusammenhang mit Windows Server Update Services (WSUS) auf. | critical |
| Gefährliche SYSVOL-Replikationskonfiguration | Stellt sicher, dass der Mechanismus "Distributed File System Replication" (DFS-R) den "File Replication Service" (FRS) ersetzt hat. | medium |
| Erkennung von Passwortschwächen | Prüft Passwörter auf Schwächen, durch die Active Directory-Konten anfälliger für Risiken werden können. | high |
| Unzureichende Härtung gegen Ransomware | Stellt sicher, dass die Domäne Härtungsmaßnahmen zum Schutz gegen Ransomware implementiert hat. | medium |
| Gefährliche ADCS-Fehlkonfigurationen | Listen Sie gefährliche Berechtigungen und falsch konfigurierte Parameter im Zusammenhang mit der Windows Public Key-Infrastruktur (PKI) auf. | critical |
| GPO-Ausführungsintegrität | Überprüft, ob die auf Domänencomputer angewendeten Gruppenrichtlinienobjekte (GPOs) angemessen sind. | high |
| Login-Beschränkungen für privilegierte Benutzer | Sucht nach privilegierten Benutzern, die eine Verbindung mit weniger privilegierten Computern herstellen können, was zum Diebstahl von Anmeldeinformationen führen kann. | high |
| Ungesicherte Konfiguration des Netlogon-Protokolls | CVE-2020-1472 („Zerologon“) wirkt sich auf das Netlogon-Protokoll aus und ermöglicht die Heraufstufung von Berechtigungen | critical |
| Anfällige Credential Roaming-bezogene Attribute | Credential roaming-Attribute sind insofern anfällig, als die geschützten Geheimnisse des zugehörigen Benutzers von einem Angreifer gelesen werden können. | low |
| Potenzielles Klartext-Passwort | Sucht nach Objekten, die potenzielle Klartext-Passwörter in Attributen enthalten, die von Domänenbenutzern gelesen werden können. | high |
| Gefährliche sensible Berechtigungen | Identifiziert falsch konfigurierte sensible Berechtigungen, die die Sicherheit einer Verzeichnisinfrastruktur verringern. | high |
| Zugeordnete Zertifikate für Konten | Stellt sicher, dass keine zugeordneten Zertifikate an privilegierte Objekte zugewiesen sind. | critical |
| Domäne ohne GPOs für die Computerhärtung | Überprüft, ob Härtungs-GPOs in der Domäne bereitgestellt wurden. | medium |
| Gruppe Protected Users wird nicht verwendet | Prüft auf privilegierte Benutzer, die keine Mitglieder der Gruppe Protected Users sind. | high |
| Konto mit möglicherweise leerem Passwort | Identifiziert Benutzerkonten, die leere Passwörter zulassen. | high |
| Benutzer, die der Domäne Computer hinzufügen dürfen | Stellen Sie sicher, dass reguläre Benutzer der Domäne keine externen Computer hinzufügen können. | medium |
| Letzte Änderung des Microsoft Entra SSO-Kontopassworts | Stellt sicher, dass das Microsoft Entra SSO-Kontopasswort regelmäßig geändert wird. | high |
| Gefährliche Rechte im AD-Schema | Listet Schemaeinträge auf, die als anomal angesehen werden und potenziell zu Persistenzzwecken genutzt werden können. | high |
| Benutzerkonto mit altem Passwort | Prüft, ob alle aktiven Kontopasswörter in Active Directory regelmäßig aktualisiert werden, um das Risiko des Diebstahls von Anmeldeinformationen zu reduzieren. | medium |
| Berechtigungen für Microsoft Entra Connect-Konten überprüfen | Sicherstellen, dass die für Microsoft Entra Connect-Konten festgelegten Berechtigungen angemessen sind | critical |
| Domänencontroller werden von nicht legitimen Benutzern verwaltet | Einige Domänencontroller können aufgrund von gefährlichen Zugriffsrechten von nicht Administratorbenutzern verwaltet werden. | critical |
| Anwendung von schwachen Passwortrichtlinien auf Benutzer | Einige auf bestimmte Benutzerkonten angewendete Passwortrichtlinien sind nicht stark genug und können zum Diebstahl von Anmeldeinformationen führen. | critical |
| Berechtigung für sehr sensible GPO-Objekte und -Dateien prüfen | Stellt sicher, dass die Berechtigungen, die mit sensiblen Containern (wie Domänencontroller oder OU) verknüpften GPO-Objekten und -Dateien zugewiesen sind, angemessen und sicher sind. | critical |
| Domäne mit unsicherer Konfiguration für Abwärtskompatibilität | Mit dem dsHeuristics-Attribut kann das AD-Verhalten geändert werden. Einige Felder sind jedoch sicherheitssensibel und stellen ein Sicherheitsrisiko dar. | low |
| Domänen mit veralteter Funktionsebene | Sucht nach der korrekten Funktionsebene einer Domäne oder Gesamtstruktur, die die Verfügbarkeit erweiterter Funktionen und Sicherheitsoptionen bestimmt. | medium |
| Lokale Administratorkonto-Verwaltung | Stellt die sichere und zentrale Verwaltung lokaler Administratorkonten mit LAPS sicher. | medium |
| Kerberos-Konfiguration für Benutzerkonto | Erkennt Konten, die eine schwache Kerberos-Konfiguration verwenden. | medium |
| Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen | Überprüft, ob unsichere Berechtigungen für Stammobjekte existieren, die es nicht legitimen Benutzern ermöglichen, Authentifizierungsgeheimnisse zu stehlen. | critical |
| Konten mit einer kompatiblen Zugriffssteuerung vor Windows 2000 | Prüft auf Kontomitglieder der Gruppe „Kompatibler Zugriff vor Windows 2000“ (Pre-Windows 2000 Compatible Access), die Sicherheitsmaßnahmen umgehen können. | high |
| Deaktivierte Konten in privilegierten Gruppen | Nicht mehr verwendete Konten sollten nicht in privilegierten Gruppen bleiben. | low |
| Computer mit veraltetem BS | Identifiziert veraltete Systeme, die Microsoft nicht mehr unterstützt und die die Infrastrukturanfälligkeit erhöhen. | high |
| Konten mit einem gefährlichen SID History-Attribut | Überprüft Benutzer- oder Computerkonten mithilfe einer privilegierten SID im SID history-Attribut. | high |
| Verwendung schwacher Kryptografiealgorithmen in der Active Directory-PKI | Identifiziert schwache kryptografische Algorithmen in Stammzertifikaten, die in einer internen Active Directory-PKI bereitgestellt werden. | critical |
| Letzte Verwendung des Standard-Administratorkontos | Sucht nach der letzten Verwendung des integrierten Administratorkontos. | medium |
| Primäre Gruppe des Benutzers | Prüfen Sie, dass die primäre Gruppe des Benutzers nicht geändert wurde | critical |
| Gefährliche Kerberos-Delegierung | Überprüft, ob nicht autorisierte Kerberos-Delegierungen vorhanden sind, und stellt sicher, dass privilegierte Benutzer vor einer solchen Delegierung geschützt sind. | critical |
| Umkehrbare Passwörter | Stellt sicher, dass die Option zum Speichern von Passwörtern in einem umkehrbaren Format nicht aktiviert wird. | medium |
| Umkehrbare Passwörter im GPO | Überprüft, ob die GPO-Einstellungen keine Passwörter in einem umkehrbaren Format zulassen. | medium |
| SDProp-Konsistenz sicherstellen | Kontrolliert, dass das adminSDHolder-Objekt einen bereinigten Zustand hat. | critical |
| Letzte Passwortänderung für KRBTGT-Konto | Sucht nach KRBTGT-Konten, deren Passwort seit mehr als dem empfohlenen Intervall nicht mehr geändert wurde. | high |
| Mitglieder der nativen Administratorgruppe | anormale Konten in den nativen Administratorgruppen von Active Directory | critical |
| Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden | Erkennt hoch privilegierte Konten mit dem Service Principal Name-Attribut (SPN), das ihre Sicherheit beeinträchtigt. | critical |
| AdminCount-Attribut für Standardbenutzer festgelegt | Sucht bei stillgelegten Konten nach dem adminCount-Attribut, welches zu Berechtigungsproblemen führt, die nur schwer behoben werden können. | medium |
| Inaktive Konten | Erkennt nicht verwendete, inaktive Konten, die ein Sicherheitsrisiko darstellen können. | medium |
| Gefährliche Vertrauensstellungen | Identifiziert falsch konfigurierte Attribute für die Vertrauensstellung, die die Sicherheit einer Verzeichnisinfrastruktur herabsetzen. | high |
| Konten mit nie ablaufenden Passwörtern | Prüft auf Konten mit dem Eigenschaftsflag DONT_EXPIRE_PASSWORD im Attribut userAccountControl, das die unbegrenzte Verwendung desselben Passworts durch Umgehung der Richtlinien zur Passworterneuerung erlaubt. | medium |
| Nicht verknüpftes, deaktiviertes oder verwaistes GPO | Nicht verwendete oder deaktivierte GPOs verringern die Verzeichnisleistung, verlangsamen RSoP-Berechnungen und können zu Verwirrungen im Hinblick auf die Sicherheitsrichtlinie führen. Wenn sie versehentlich wieder aktiviert werden, kann dies vorhandene Richtlinien schwächen. | low |
| Hohe Anzahl von Administratoren | Administratoren haben erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsoberfläche vergrößert. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird. | High |
| Fehlende MFA für privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Bewährte Methoden und Standards für Sicherheit empfehlen die Aktivierung von MFA, insbesondere für privilegierte Konten. Konten ohne registrierte MFA-Methode können nicht von ihr profitieren. | High |
| Privilegiertes Entra-Konto mit AD synchronisiert (Hybrid) | Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, weil sie es Angreifern, die AD kompromittieren, ermöglichen, auch Entra ID anzugreifen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein. | High |