Indicators of Exposure

Gefährliche dMSA-Berechtigungen durch BadSuccessor

Schweregrad Critical

Name

Gefährliche dMSA-Berechtigungen durch BadSuccessor

Beschreibung

BadSuccessor ist ein Fehler bei der Active Directory-Rechteausweitung in Windows Server 2025, der dMSAs ausnutzt und es Angreifern ermöglicht, Kontoverknüpfungen zu manipulieren und potenziell die Domäne zu kompromittieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-BAD-SUCCESSOR

Nicht wesentliche Gruppe

Schweregrad Low

Name

Nicht wesentliche Gruppe

Beschreibung

Stellt sicher, das keine Gruppe leer ist oder nur ein einziges Mitglied enthält.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-UNNECESSARY-GROUP

Sensible Exchange-Berechtigungen

Schweregrad Critical

Name

Sensible Exchange-Berechtigungen

Beschreibung

Identifizieren Sie potenziell unsichere Berechtigungen, die sich auf Exchange-Ressourcen auswirken oder Exchange-Gruppen zugewiesen sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-PERMISSIONS

Nicht unterstützte oder veraltete Exchange-Server

Schweregrad High

Name

Nicht unterstützte oder veraltete Exchange-Server

Beschreibung

Erkennt veraltete Exchange-Server, die von Microsoft nicht mehr unterstützt werden, sowie solche, auf denen die neuesten kumulativen Updates fehlen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-VERSION

Gefährliche Exchange-Fehlkonfigurationen

Schweregrad High

Name

Gefährliche Exchange-Fehlkonfigurationen

Beschreibung

Listet Fehlkonfigurationen auf, die sich auf Exchange-Ressourcen oder ihre zugrunde liegenden Active Directory-Schemaobjekte auswirken.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-MISCONFIG

Entra ID-Hybrid-Informationen

Schweregrad Low

Name

Entra ID-Hybrid-Informationen

Beschreibung

Erfasst Informationen wie Hybridbenutzer und -computer aus der On-Premise Active Directory-Umgebung über Ressourcen, die mit Microsoft Entra ID synchronisiert werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-AAD-INFORMATIVE

Mitglieder von Exchange-Gruppen

Schweregrad High

Name

Mitglieder von Exchange-Gruppen

Beschreibung

Ungewöhnliche Konten in sensiblen Exchange-Gruppen

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-MEMBERS

Fehlkonfigurationen von Dienstkonten

Schweregrad Medium

Name

Fehlkonfigurationen von Dienstkonten

Beschreibung

Zeigt potenzielle Fehlkonfigurationen von Domänendienstkonten an.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-SERVICE-ACCOUNT

In Konflikt stehende Sicherheitsprinzipale

Schweregrad Low

Name

In Konflikt stehende Sicherheitsprinzipale

Beschreibung

Prüft, dass keine doppelten (in Konflikt stehenden) Benutzer, Computer oder Gruppen vorhanden sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-CONFLICTED-OBJECTS

Shadow Credentials

Schweregrad High

Name

Shadow Credentials

Beschreibung

Erkennt Shadow Credentials-Backdoors und -Fehlkonfigurationen in der Funktion „Windows Hello for Business“ und den zugehörigen Schlüssel-Anmeldeinformationen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-SHADOW-CREDENTIALS

Gastkonto aktiviert

Schweregrad Low

Name

Gastkonto aktiviert

Beschreibung

Überprüft, ob das integrierte Gastkonto deaktiviert ist.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-GUEST-ACCOUNT

Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten

Schweregrad High

Name

Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten

Beschreibung

Stellt sicher, dass verwaltete Dienstkonten (MSAs) bereitgestellt und ordnungsgemäß konfiguriert werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-MSA-COMPLIANCE

Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten

Schweregrad High

Name

Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten

Beschreibung

Überprüft, ob privilegierte Active Directory-Benutzerkonten nicht mit Microsoft Entra ID synchronisiert werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-AAD-PRIV-SYNC

Konfiguration eines privilegierten Authentifizierungssilos

Schweregrad High

Name

Konfiguration eines privilegierten Authentifizierungssilos

Beschreibung

Eine Schrittanleitung zur Konfiguration eines Authentifizierungssilos für privilegierte Konten (Stufe 0).

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-AUTH-SILO

Unsichere dynamische Updates von DNS-Zonen zulässig

Schweregrad High

Name

Unsichere dynamische Updates von DNS-Zonen zulässig

Beschreibung

Prüft, ob die Konfiguration des DNS-Servers unsichere dynamische Updates von DNS-Zonen untersagt.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DYNAMIC-UPDATES

Gefährliche WSUS-Fehlkonfigurationen

Schweregrad Critical

Name

Gefährliche WSUS-Fehlkonfigurationen

Beschreibung

Listet die falsch konfigurierten Parameter im Zusammenhang mit Windows Server Update Services (WSUS) auf.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-WSUS-HARDENING

Integrität von Property Sets

Schweregrad Medium

Name

Integrität von Property Sets

Beschreibung

Überprüft die Integrität von property sets und validiert Berechtigungen

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PROP-SET-SANITY

Gefährliche SYSVOL-Replikationskonfiguration

Schweregrad Medium

Name

Gefährliche SYSVOL-Replikationskonfiguration

Beschreibung

Stellt sicher, dass der Mechanismus "Distributed File System Replication" (DFS-R) den "File Replication Service" (FRS) ersetzt hat.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DFS-MISCONFIG

Erkennung von Passwortschwächen

Schweregrad High

Name

Erkennung von Passwortschwächen

Beschreibung

Prüft Passwörter auf Schwächen, durch die Active Directory-Konten anfälliger für Risiken werden können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-HASHES-ANALYSIS

Unzureichende Härtung gegen Ransomware

Schweregrad Medium

Name

Unzureichende Härtung gegen Ransomware

Beschreibung

Stellt sicher, dass die Domäne Härtungsmaßnahmen zum Schutz gegen Ransomware implementiert hat.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-RANSOMWARE-HARDENING

Gefährliche AD CS-Fehlkonfigurationen

Schweregrad Critical

Name

Gefährliche AD CS-Fehlkonfigurationen

Beschreibung

Listen Sie gefährliche Berechtigungen und falsch konfigurierte Parameter im Zusammenhang mit der Public Key-Infrastruktur (PKI) von Active Directory Certificate Services (AD CS) auf.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PKI-DANG-ACCESS

GPO-Ausführungsintegrität

Schweregrad High

Name

GPO-Ausführungsintegrität

Beschreibung

Überprüft, ob die auf Domänencomputer angewendeten Gruppenrichtlinienobjekte (GPOs) angemessen sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-GPO-EXEC-SANITY

Login-Beschränkungen für privilegierte Benutzer

Schweregrad High

Name

Beschreibung

Sucht nach privilegierten Benutzern, die eine Verbindung mit weniger privilegierten Computern herstellen können, was zum Diebstahl von Anmeldeinformationen führen kann.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-ADMIN-RESTRICT-AUTH

Ungesicherte Konfiguration des Netlogon-Protokolls

Schweregrad Critical

Name

Ungesicherte Konfiguration des Netlogon-Protokolls

Beschreibung

CVE-2020-1472 („Zerologon“) wirkt sich auf das Netlogon-Protokoll aus und ermöglicht die Heraufstufung von Berechtigungen

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-NETLOGON-SECURITY

Anfällige Credential Roaming-bezogene Attribute

Schweregrad Low

Name

Anfällige Credential Roaming-bezogene Attribute

Beschreibung

Credential roaming-Attribute sind insofern anfällig, als die geschützten Geheimnisse des zugehörigen Benutzers von einem Angreifer gelesen werden können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-CREDENTIAL-ROAMING

Potenzielles Klartext-Passwort

Schweregrad High

Name

Potenzielles Klartext-Passwort

Beschreibung

Sucht nach Objekten, die potenzielle Klartext-Passwörter in Attributen enthalten, die von Domänenbenutzern gelesen werden können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-CLEARTEXT-PASSWORD

Gefährliche sensible Berechtigungen

Schweregrad High

Name

Gefährliche sensible Berechtigungen

Beschreibung

Identifiziert falsch konfigurierte sensible Berechtigungen, die die Sicherheit einer Verzeichnisinfrastruktur verringern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-SENSITIVE-PRIVILEGES

Zugeordnete Zertifikate für Konten

Schweregrad Critical

Name

Zugeordnete Zertifikate für Konten

Beschreibung

Stellt sicher, dass Objekten keine schwache Zertifikatszuordnung zugewiesen ist.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-SENSITIVE-CERTIFICATES-ON-USER

Domäne ohne GPOs für die Computerhärtung

Schweregrad Medium

Name

Domäne ohne GPOs für die Computerhärtung

Beschreibung

Überprüft, ob Härtungs-GPOs in der Domäne bereitgestellt wurden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-GPO-HARDENING

Gruppe „Protected Users“ wird nicht verwendet

Schweregrad High

Name

Gruppe „Protected Users“ wird nicht verwendet

Beschreibung

Prüft auf privilegierte Benutzer, die keine Mitglieder der Gruppe Protected Users sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PROTECTED-USERS-GROUP-UNUSED

Konto mit möglicherweise leerem Passwort

Schweregrad High

Name

Konto mit möglicherweise leerem Passwort

Beschreibung

Identifiziert Benutzerkonten, die leere Passwörter zulassen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-NOT-REQUIRED

Benutzer, die der Domäne Computer hinzufügen dürfen

Schweregrad Medium

Name

Benutzer, die der Domäne Computer hinzufügen dürfen

Beschreibung

Stellen Sie sicher, dass reguläre Benutzer der Domäne keine externen Computer hinzufügen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-USERS-CAN-JOIN-COMPUTERS

Letzte Änderung des Microsoft Entra Seamless SSO-Kontopassworts

Schweregrad High

Name

Letzte Änderung des Microsoft Entra Seamless SSO-Kontopassworts

Beschreibung

Stellt sicher, dass das Microsoft Entra Seamless SSO-Kontopasswort regelmäßig geändert wird.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-AAD-SSO-PASSWORD

Gefährliche Rechte im AD-Schema

Schweregrad High

Name

Gefährliche Rechte im AD-Schema

Beschreibung

Listet Schemaeinträge auf, die als anomal angesehen werden und potenziell zu Persistenzzwecken genutzt werden können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-ABNORMAL-ENTRIES-IN-SCHEMA

Benutzerkonto mit altem Passwort

Schweregrad Medium

Name

Benutzerkonto mit altem Passwort

Beschreibung

Prüft, ob alle aktiven Kontopasswörter in Active Directory regelmäßig aktualisiert werden, um das Risiko des Diebstahls von Anmeldeinformationen zu reduzieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-USER-PASSWORD

Berechtigungen für Microsoft Entra Connect-Konten überprüfen

Schweregrad Critical

Name

Berechtigungen für Microsoft Entra Connect-Konten überprüfen

Beschreibung

Sicherstellen, dass die für Microsoft Entra Connect-Konten festgelegten Berechtigungen angemessen sind

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-AAD-CONNECT

Domänencontroller werden von nicht legitimen Benutzern verwaltet

Schweregrad Critical

Name

Domänencontroller werden von nicht legitimen Benutzern verwaltet

Beschreibung

Einige Domänencontroller können aufgrund von gefährlichen Zugriffsrechten von nicht Administratorbenutzern verwaltet werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DC-ACCESS-CONSISTENCY

Anwendung von schwachen Passwortrichtlinien auf Benutzer

Schweregrad Critical

Name

Anwendung von schwachen Passwortrichtlinien auf Benutzer

Beschreibung

Einige auf bestimmte Benutzerkonten angewendete Passwortrichtlinien sind nicht stark genug und können zum Diebstahl von Anmeldeinformationen führen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-POLICY

Berechtigungen für sehr sensible GPO-Objekte und -Dateien prüfen

Schweregrad Critical

Name

Berechtigungen für sehr sensible GPO-Objekte und -Dateien prüfen

Beschreibung

Stellt sicher, dass die Berechtigungen, die mit sensiblen Containern (wie Domänencontroller oder OU) verknüpften GPO-Objekten und -Dateien zugewiesen sind, angemessen und sicher sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-GPO-SD-CONSISTENCY

Domäne mit unsicherer Konfiguration für Abwärtskompatibilität

Schweregrad Low

Name

Domäne mit unsicherer Konfiguration für Abwärtskompatibilität

Beschreibung

Mit dem dsHeuristics-Attribut kann das AD-Verhalten geändert werden. Einige Felder sind jedoch sicherheitssensibel und stellen ein Sicherheitsrisiko dar.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DSHEURISTICS

Domänen mit veralteter Funktionsebene

Schweregrad Medium

Name

Domänen mit veralteter Funktionsebene

Beschreibung

Sucht nach der korrekten Funktionsebene einer Domäne oder Gesamtstruktur, die die Verfügbarkeit erweiterter Funktionen und Sicherheitsoptionen bestimmt.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DOMAIN-FUNCTIONAL-LEVEL

Lokale Administratorkonto-Verwaltung

Schweregrad Medium

Name

Lokale Administratorkonto-Verwaltung

Beschreibung

Stellt die sichere und zentrale Verwaltung lokaler Administratorkonten mit LAPS sicher.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-LAPS-UNSECURE-CONFIG

Kerberos-Konfiguration für Benutzerkonto

Schweregrad Medium

Name

Kerberos-Konfiguration für Benutzerkonto

Beschreibung

Erkennt Konten, die eine schwache Kerberos-Konfiguration verwenden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-KERBEROS-CONFIG-ACCOUNT

Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen

Schweregrad Critical

Name

Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen

Beschreibung

Überprüft, ob unsichere Berechtigungen für Stammobjekte existieren, die es nicht legitimen Benutzern ermöglichen, Authentifizierungsgeheimnisse zu stehlen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-ROOTOBJECTS-SD-CONSISTENCY

Konten mit einer kompatiblen Zugriffssteuerung vor Windows 2000

Schweregrad High

Name

Konten mit einer kompatiblen Zugriffssteuerung vor Windows 2000

Beschreibung

Prüft auf Kontomitglieder der Gruppe „Kompatibler Zugriff vor Windows 2000“ (Pre-Windows 2000 Compatible Access), die Sicherheitsmaßnahmen umgehen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PRE-WIN2000-ACCESS-MEMBERS

Deaktivierte Konten in privilegierten Gruppen

Schweregrad Low

Name

Deaktivierte Konten in privilegierten Gruppen

Beschreibung

Nicht mehr verwendete Konten sollten nicht in privilegierten Gruppen bleiben.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DISABLED-ACCOUNTS-PRIV-GROUPS

Computer mit veraltetem BS

Schweregrad High

Name

Computer mit veraltetem BS

Beschreibung

Identifiziert veraltete Systeme, die Microsoft nicht mehr unterstützt und die die Infrastrukturanfälligkeit erhöhen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-OBSOLETE-SYSTEMS

Konten mit einem gefährlichen SID History-Attribut

Schweregrad High

Name

Konten mit einem gefährlichen SID History-Attribut

Beschreibung

Überprüft Benutzer- oder Computerkonten mithilfe einer privilegierten SID im SID history-Attribut.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-ACCOUNTS-DANG-SID-HISTORY

Verwendung schwacher Kryptografiealgorithmen in der Active Directory-PKI

Schweregrad Critical

Name

Verwendung schwacher Kryptografiealgorithmen in der Active Directory-PKI

Beschreibung

Identifiziert schwache kryptografische Algorithmen in Stammzertifikaten, die in einer internen Active Directory-PKI bereitgestellt werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PKI-WEAK-CRYPTO

Letzte Verwendung des Standard-Administratorkontos

Schweregrad Medium

Name

Letzte Verwendung des Standard-Administratorkontos

Beschreibung

Sucht nach der letzten Verwendung des integrierten Administratorkontos.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-ADM-ACC-USAGE

Primäre Gruppe des Benutzers

Schweregrad Critical

Name

Primäre Gruppe des Benutzers

Beschreibung

Prüfen Sie, dass die primäre Gruppe des Benutzers nicht geändert wurde

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DANG-PRIMGROUPID

Gefährliche Kerberos-Delegierung

Schweregrad Critical

Name

Gefährliche Kerberos-Delegierung

Beschreibung

Überprüft, ob nicht autorisierte Kerberos-Delegierungen vorhanden sind, und stellt sicher, dass privilegierte Benutzer vor einer solchen Delegierung geschützt sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-UNCONST-DELEG

Umkehrbare Passwörter

Schweregrad Medium

Name

Umkehrbare Passwörter

Beschreibung

Stellt sicher, dass die Option zum Speichern von Passwörtern in einem umkehrbaren Format nicht aktiviert wird.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-USERS-REVER-PWDS

Umkehrbare Passwörter im GPO

Schweregrad Medium

Name

Umkehrbare Passwörter im GPO

Beschreibung

Überprüft, ob die GPO-Einstellungen keine Passwörter in einem umkehrbaren Format zulassen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-REVER-PWD-GPO

SDProp-Konsistenz sicherstellen

Schweregrad Critical

Name

SDProp-Konsistenz sicherstellen

Beschreibung

Kontrolliert, dass das AdminSDHolder-Objekt einen bereinigten Zustand hat.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-SDPROP-CONSISTENCY

Letzte Passwortänderung für KRBTGT-Konto

Schweregrad High

Name

Letzte Passwortänderung für KRBTGT-Konto

Beschreibung

Sucht nach KRBTGT-Konten, deren Passwort seit mehr als dem empfohlenen Intervall nicht mehr geändert wurde.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-KRBTGT-PASSWORD

Mitglieder der nativen Administratorgruppe

Schweregrad Critical

Name

Mitglieder der nativen Administratorgruppe

Beschreibung

Anormale Konten in den nativen Administratorgruppen von Active Directory

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-NATIVE-ADM-GROUP-MEMBERS

Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden

Schweregrad Critical

Name

Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden

Beschreibung

Erkennt hoch privilegierte Konten mit dem Service Principal Name-Attribut (SPN), das ihre Sicherheit beeinträchtigt.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PRIV-ACCOUNTS-SPN

AdminCount-Attribut für Standardbenutzer festgelegt

Schweregrad Medium

Name

AdminCount-Attribut für Standardbenutzer festgelegt

Beschreibung

Sucht bei stillgelegten Konten nach dem adminCount-Attribut, welches zu Berechtigungsproblemen führt, die nur schwer behoben werden können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-ADMINCOUNT-ACCOUNT-PROPS

Inaktive Konten

Schweregrad Medium

Name

Inaktive Konten

Beschreibung

Erkennt nicht verwendete, inaktive Konten, die ein Sicherheitsrisiko darstellen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-SLEEPING-ACCOUNTS

Gefährliche Vertrauensstellungen

Schweregrad High

Name

Gefährliche Vertrauensstellungen

Beschreibung

Identifiziert falsch konfigurierte Attribute für die Vertrauensstellung, die die Sicherheit einer Verzeichnisinfrastruktur herabsetzen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-TRUST-RELATIONSHIP

Konten mit nie ablaufenden Passwörtern

Schweregrad Medium

Name

Konten mit nie ablaufenden Passwörtern

Beschreibung

Prüft auf Konten mit dem Eigenschaftsflag DONT_EXPIRE_PASSWORD im Attribut userAccountControl, das die unbegrenzte Verwendung desselben Passworts durch Umgehung der Richtlinien zur Passworterneuerung erlaubt.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-DONT-EXPIRE

Nicht verknüpftes, deaktiviertes oder verwaistes GPO

Schweregrad Low

Name

Nicht verknüpftes, deaktiviertes oder verwaistes GPO

Beschreibung

Nicht verwendete oder deaktivierte GPOs verringern die Verzeichnisleistung, verlangsamen RSoP-Berechnungen und können zu Verwirrungen im Hinblick auf die Sicherheitsrichtlinie führen. Wenn sie versehentlich wieder aktiviert werden, kann dies vorhandene Richtlinien schwächen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/ad/C-GPOLICY-DISABLED-UNLINKED

Leere Gruppe

Schweregrad Low

Name

Leere Gruppe

Beschreibung

Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/EMPTY-GROUP-MEID

Nie verwendetes Gerät

Schweregrad Low

Name

Nie verwendetes Gerät

Beschreibung

Sie sollten vorab erstellte, nie genutzte Gerätekonten vermeiden, da sie schlechte Hygienepraktiken widerspiegeln und potenziell Sicherheitsrisiken darstellen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/NEVER-USED-DEVICE

Privilegiertes mit AD synchronisiertes Entra-Konto (Hybridkonto)

Schweregrad High

Name

Privilegiertes mit AD synchronisiertes Entra-Konto (Hybridkonto)

Beschreibung

Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, weil sie es Angreifern, die AD kompromittieren, ermöglichen, auch Entra ID anzugreifen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

Riskante Benutzer ohne Erzwingung

Schweregrad Medium

Name

Riskante Benutzer ohne Erzwingung

Beschreibung

Blockieren Sie riskante Benutzer, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um zu verhindern, dass sich anfällige Konten bei Entra ID authentifizieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/RISKY-USERS-WITHOUT-ENFORCEMENT

Administratoreinwilligungs-Workflow für Anwendungen nicht konfiguriert

Schweregrad Medium

Name

Administratoreinwilligungs-Workflow für Anwendungen nicht konfiguriert

Beschreibung

Über den Workflow zur Administratoreinwilligung in Entra ID können Benutzer ohne Administratorrechte Anwendungsberechtigungen über einen strukturierten Genehmigungsprozess anfordern. Wenn der Workflow nicht konfiguriert ist, stoßen Benutzer beim Zugriff auf Anwendungen unter Umständen auf Fehler, da keine Möglichkeit zur Anforderung einer Einwilligung besteht.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten

Schweregrad High

Name

Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten

Beschreibung

Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-THE-TENANT

Fehlende Übereinstimmung der Verbundsignaturzertifikate

Schweregrad High

Name

Fehlende Übereinstimmung der Verbundsignaturzertifikate

Beschreibung

In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/FEDERATION-SIGNING-CERTIFICATES-MISMATCH

Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats

Schweregrad Medium

Name

Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats

Beschreibung

Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

Inaktiver privilegierter Benutzer

Schweregrad Medium

Name

Inaktiver privilegierter Benutzer

Beschreibung

Inaktive privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich nicht autorisierten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DORMANT-PRIVILEGED-USER

Verwaltete Geräte sind für die Authentifizierung nicht erforderlich

Schweregrad Medium

Name

Verwaltete Geräte sind für die Authentifizierung nicht erforderlich

Beschreibung

Schreiben Sie vor, dass verwaltete Geräte verwendet werden müssen, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um die Authentifizierung bei Entra ID von nicht verwalteten Geräten aus zu blockieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung

Schweregrad Medium

Name

Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung

Beschreibung

Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

Uneingeschränkte Benutzereinwilligung für Anwendungen

Schweregrad Medium

Name

Uneingeschränkte Benutzereinwilligung für Anwendungen

Beschreibung

In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

Hohe Anzahl von Administratoren

Schweregrad High

Name

Hohe Anzahl von Administratoren

Beschreibung

Administratoren haben erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsoberfläche vergrößert. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/HIGH-NUMBER-OF-ADMINISTRATORS

Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten

Schweregrad Medium

Name

Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten

Beschreibung

Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-DATA

Dynamische Gruppe mit ausnutzbarer Regel

Schweregrad Medium

Name

Dynamische Gruppe mit ausnutzbarer Regel

Beschreibung

Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

Namenskonvention für privilegierte Konten

Schweregrad Low

Name

Namenskonvention für privilegierte Konten

Beschreibung

Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ACCOUNT-NAMING-CONVENTION

Migration der Authentifizierungsmethoden nicht abgeschlossen

Schweregrad Medium

Name

Migration der Authentifizierungsmethoden nicht abgeschlossen

Beschreibung

Durch die Migration zur Richtlinie „Authentifizierungsmethoden“ wird die Authentifizierungsverwaltung in Microsoft Entra ID optimiert und modernisiert. Diese Umstellung vereinfacht die Administration, erhöht die Sicherheit und ermöglicht Unterstützung für die neuesten Authentifizierungsmethoden. Schließen Sie die Migration bis September 2025 ab, um Unterbrechungen durch die Einstellung von Legacy-Richtlinien zu vermeiden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

Entra-Sicherheitsstandards nicht aktiviert

Schweregrad Medium

Name

Entra-Sicherheitsstandards nicht aktiviert

Beschreibung

Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/ENTRA-SECURITY-DEFAULTS-NOT-ENABLED

Gruppe mit nur einem Mitglied

Schweregrad Low

Name

Gruppe mit nur einem Mitglied

Beschreibung

Es ist nicht ratsam, eine Gruppe mit nur einem Mitglied zu erstellen, da dies zu Redundanz und Komplexität führt. Diese Vorgehensweise macht die Verwaltung unnötig kompliziert, da Ebenen hinzugefügt werden. Außerdem verringert sich dadurch die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/SINGLE-MEMBER-GROUP-MEID

Uneingeschränkte Gastkonten

Schweregrad Medium

Name

Uneingeschränkte Gastkonten

Beschreibung

Standardmäßig haben Gastbenutzer in Entra ID eingeschränkten Zugriff, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Diese Einschränkungen können jedoch weiter verschärft werden, um die Sicherheit und den Datenschutz zu verbessern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-GUEST-ACCOUNTS

Benutzer, die Geräte hinzufügen dürfen

Schweregrad Low

Name

Benutzer, die Geräte hinzufügen dürfen

Beschreibung

Wenn allen Benutzern erlaubt wird, uneingeschränkt Geräte mit dem Entra-Mandanten zu verbinden, öffnet das Tür und Tor für Angreifer, Rogue-Geräte in das Identitätssystem der Organisation einzuschleusen und sich so eine Ausgangsbasis für weitere Kompromittierungen zu verschaffen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/USERS-ALLOWED-TO-JOIN-DEVICES

Inaktiver nicht privilegierter Benutzer

Schweregrad Low

Name

Inaktiver nicht privilegierter Benutzer

Beschreibung

Inaktive nicht privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich nicht autorisierten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DORMANT-NON-PRIVILEGED-USER

Nie verwendeter nicht privilegierter Benutzer

Schweregrad Low

Name

Nie verwendeter nicht privilegierter Benutzer

Beschreibung

Nie verwendete nicht privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer potenziellen Standardpasswörter ein bevorzugtes Ziel für Angreifer.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/NEVER-USED-NON-PRIVILEGED-USER

Fehlende MFA für privilegiertes Konto

Schweregrad High

Name

Fehlende MFA für privilegiertes Konto

Beschreibung

MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Sicherheitsstandards empfehlen, dass Sie MFA aktivieren, insbesondere bei privilegierten Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

Anwendung, die mehrinstanzenfähige Authentifizierung zulässt

Schweregrad Low

Name

Anwendung, die mehrinstanzenfähige Authentifizierung zulässt

Beschreibung

Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/APPLICATION-ALLOWING-MULTI-TENANT-AUTHENTICATION

MFA für riskante Anmeldungen nicht erforderlich

Schweregrad High

Name

MFA für riskante Anmeldungen nicht erforderlich

Beschreibung

MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen

Schweregrad Medium

Name

Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen

Beschreibung

Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste

Schweregrad Medium

Name

Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste

Beschreibung

Sie sollten separate Entra-Konten für administrative Aufgaben verwenden: ein Standardkonto für den täglichen Gebrauch und ein weiteres privilegiertes Konto, das speziell auf Verwaltungstätigkeiten beschränkt ist. Dieser Ansatz verkleinert die Angriffsfläche des privilegierten Kontos.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

Deaktiviertes Konto ist privilegierter Rolle zugewiesen

Schweregrad Low

Name

Deaktiviertes Konto ist privilegierter Rolle zugewiesen

Beschreibung

Zu einem soliden Kontoverwaltungsprozess gehört die Überwachung von Zuweisungen zu privilegierten Rollen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DISABLED-ACCOUNT-ASSIGNED-TO-PRIVILEGED-ROLE

Legacy-Authentifizierung nicht blockiert

Schweregrad Medium

Name

Legacy-Authentifizierung nicht blockiert

Beschreibung

Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/LEGACY-AUTHENTICATION-NOT-BLOCKED

Verwaltete Geräte sind für die MFA-Registrierung nicht erforderlich

Schweregrad Medium

Name

Verwaltete Geräte sind für die MFA-Registrierung nicht erforderlich

Beschreibung

Wenn für die MFA-Registrierung verwaltete Geräte vorgeschrieben sind, wird es für Angreifer schwieriger, ihre eigene (unerlaubte) MFA zu registrieren – selbst bei gestohlenen Anmeldeinformationen –, sofern sie nicht auch Zugriff auf ein verwaltetes Gerät haben.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

Nie verwendeter privilegierter Benutzer

Schweregrad Medium

Name

Nie verwendeter privilegierter Benutzer

Beschreibung

Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer potenziellen Standardpasswörter ein bevorzugtes Ziel für Angreifer.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/NEVER-USED-PRIVILEGED-USER

Möglichkeit von Standardkonten zur Registrierung von Anwendungen

Schweregrad Low

Name

Möglichkeit von Standardkonten zur Registrierung von Anwendungen

Beschreibung

Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

Inaktives Gerät

Schweregrad Low

Name

Inaktives Gerät

Beschreibung

Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DORMANT-DEVICE

Passwortablauf erzwungen

Schweregrad Low

Name

Passwortablauf erzwungen

Beschreibung

Das Erzwingen des Passwortablaufs in Microsoft Entra ID-Domänen kann die Sicherheit beeinträchtigen, da Benutzer häufig zum Ändern ihrer Passwörter aufgefordert werden. Dies führt oft zu schwachen, vorhersagbaren oder wiederverwendeten Passwörtern, wodurch der allgemeine Schutz des Kontos beeinträchtigt wird.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/PASSWORD-EXPIRATION-ENFORCED

Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten

Schweregrad Medium

Name

Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten

Beschreibung

Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-DATA

Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten

Schweregrad High

Name

Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten

Beschreibung

Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-THE-TENANT

Gastkonten mit gleichem Zugriff wie normale Konten

Schweregrad High

Name

Gastkonten mit gleichem Zugriff wie normale Konten

Beschreibung

Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

Kennwortschutz für On-Premises-Umgebungen nicht aktiviert

Schweregrad Medium

Name

Kennwortschutz für On-Premises-Umgebungen nicht aktiviert

Beschreibung

Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

MFA für privilegierte Rollen nicht erforderlich

Schweregrad High

Name

MFA für privilegierte Rollen nicht erforderlich

Beschreibung

MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Sicherheitsrelevante Best Practices und Standards empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

Erstanbieter-Dienstprinzipal mit Anmeldeinformationen

Schweregrad High

Name

Erstanbieter-Dienstprinzipal mit Anmeldeinformationen

Beschreibung

Erstanbieter-Dienstprinzipale verfügen über starke Berechtigungen, werden jedoch übersehen, da sie verborgen sind, Microsoft gehören und zahlreich sind. Angreifer fügen ihnen Anmeldeinformationen hinzu, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/FIRST-PARTY-SERVICE-PRINCIPAL-WITH-CREDENTIALS

Gastkonto mit einer privilegierten Rolle

Schweregrad High

Name

Gastkonto mit einer privilegierten Rolle

Beschreibung

Gastkonten sind externe Identitäten, die ein Sicherheitsrisiko darstellen können, wenn ihnen privilegierte Rollen zugewiesen werden. Dadurch werden Personen außerhalb Ihrer Organisation erhebliche Rechte innerhalb des Mandanten gewährt.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

Öffentliche M365-Gruppe

Schweregrad Medium

Name

Öffentliche M365-Gruppe

Beschreibung

In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.).

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/PUBLIC-M365-GROUP

Fehlende MFA für nicht-privilegiertes Konto

Schweregrad Medium

Name

Fehlende MFA für nicht-privilegiertes Konto

Beschreibung

MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

Nicht verifizierte Domäne

Schweregrad Low

Name

Nicht verifizierte Domäne

Beschreibung

Sie müssen den Besitz aller benutzerdefinierten Domänen in Entra ID bestätigen. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine bereinigte Domainliste zu führen und effiziente Überprüfungen zu ermöglichen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/UNVERIFIED-DOMAIN

Bekannte Verbunddomänen-Backdoor

Schweregrad Critical

Name

Bekannte Verbunddomänen-Backdoor

Beschreibung

In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/KNOWN-FEDERATED-DOMAIN-BACKDOOR

Liste der Verbunddomänen

Schweregrad Low

Name

Liste der Verbunddomänen

Beschreibung

Eine böswillige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/FEDERATED-DOMAINS-LIST

Verdächtige Zuweisung der Rolle „AD-Synchronisierung”

Schweregrad High

Name

Verdächtige Zuweisung der Rolle „AD-Synchronisierung”

Beschreibung

Microsoft hat zwei versteckte integrierte Entra ID-Rollen für die Active Directory-Synchronisierung entwickelt, die ausschließlich für Entra Connect- oder Cloud Sync-Dienstkonten vorgesehen sind. Diese Rollen verfügen über implizite privilegierte Berechtigungen, die böswillige Akteure für verdeckte Angriffe ausnutzen können.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

Funktion „Befristeter Zugriffspass“ aktiviert

Schweregrad Low

Name

Funktion „Befristeter Zugriffspass“ aktiviert

Beschreibung

Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren.

Weitere Informationen unter https://www.tenable.com/indicators/ioe/entra/TEMPORARY-ACCESS-PASS-FEATURE-ENABLED