Indicators of Exposure
| Name | Beschreibung | Schweregrad | Type |
|---|---|---|---|
| Gefährliche dMSA-Berechtigungen durch BadSuccessor | BadSuccessor ist ein Fehler bei der Active Directory-Rechteausweitung in Windows Server 2025, der dMSAs ausnutzt und es Angreifern ermöglicht, Kontoverknüpfungen zu manipulieren und potenziell die Domäne zu kompromittieren. | critical | |
| Nicht wesentliche Gruppe | Stellt sicher, das keine Gruppe leer ist oder nur ein einziges Mitglied enthält. | low | |
| Sensible Exchange-Berechtigungen | Identifizieren Sie potenziell unsichere Berechtigungen, die sich auf Exchange-Ressourcen auswirken oder Exchange-Gruppen zugewiesen sind. | critical | |
| Nicht unterstützte oder veraltete Exchange-Server | Erkennt veraltete Exchange-Server, die von Microsoft nicht mehr unterstützt werden, sowie solche, auf denen die neuesten kumulativen Updates fehlen. | high | |
| Gefährliche Exchange-Fehlkonfigurationen | Listet Fehlkonfigurationen auf, die sich auf Exchange-Ressourcen oder ihre zugrunde liegenden Active Directory-Schemaobjekte auswirken. | high | |
| Entra ID-Hybrid-Informationen | Erfasst Informationen wie Hybridbenutzer und -computer aus der On-Premise Active Directory-Umgebung über Ressourcen, die mit Microsoft Entra ID synchronisiert werden. | low | |
| Mitglieder von Exchange-Gruppen | Ungewöhnliche Konten in sensiblen Exchange-Gruppen | high | |
| Fehlkonfigurationen von Dienstkonten | Zeigt potenzielle Fehlkonfigurationen von Domänendienstkonten an. | medium | |
| In Konflikt stehende Sicherheitsprinzipale | Prüft, dass keine doppelten (in Konflikt stehenden) Benutzer, Computer oder Gruppen vorhanden sind. | low | |
| Shadow Credentials | Erkennt Shadow Credentials-Backdoors und -Fehlkonfigurationen in der Funktion „Windows Hello for Business“ und den zugehörigen Schlüssel-Anmeldeinformationen. | high | |
| Gastkonto aktiviert | Überprüft, ob das integrierte Gastkonto deaktiviert ist. | low | |
| Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten | Stellt sicher, dass verwaltete Dienstkonten (MSAs) bereitgestellt und ordnungsgemäß konfiguriert werden. | high | |
| Mit Microsoft Entra ID synchronisierte privilegierte AD-Benutzerkonten | Überprüft, ob privilegierte Active Directory-Benutzerkonten nicht mit Microsoft Entra ID synchronisiert werden. | high | |
| Konfiguration eines privilegierten Authentifizierungssilos | Eine Schrittanleitung zur Konfiguration eines Authentifizierungssilos für privilegierte Konten (Stufe 0). | high | |
| Unsichere dynamische Updates von DNS-Zonen zulässig | Prüft, ob die Konfiguration des DNS-Servers unsichere dynamische Updates von DNS-Zonen untersagt. | high | |
| Gefährliche WSUS-Fehlkonfigurationen | Listet die falsch konfigurierten Parameter im Zusammenhang mit Windows Server Update Services (WSUS) auf. | critical | |
| Integrität von Property Sets | Überprüft die Integrität von property sets und validiert Berechtigungen | medium | |
| Gefährliche SYSVOL-Replikationskonfiguration | Stellt sicher, dass der Mechanismus "Distributed File System Replication" (DFS-R) den "File Replication Service" (FRS) ersetzt hat. | medium | |
| Erkennung von Passwortschwächen | Prüft Passwörter auf Schwächen, durch die Active Directory-Konten anfälliger für Risiken werden können. | high | |
| Unzureichende Härtung gegen Ransomware | Stellt sicher, dass die Domäne Härtungsmaßnahmen zum Schutz gegen Ransomware implementiert hat. | medium | |
| Gefährliche AD CS-Fehlkonfigurationen | Listen Sie gefährliche Berechtigungen und falsch konfigurierte Parameter im Zusammenhang mit der Public Key-Infrastruktur (PKI) von Active Directory Certificate Services (AD CS) auf. | critical | |
| GPO-Ausführungsintegrität | Überprüft, ob die auf Domänencomputer angewendeten Gruppenrichtlinienobjekte (GPOs) angemessen sind. | high | |
| Login-Beschränkungen für privilegierte Benutzer | Sucht nach privilegierten Benutzern, die eine Verbindung mit weniger privilegierten Computern herstellen können, was zum Diebstahl von Anmeldeinformationen führen kann. | high | |
| Ungesicherte Konfiguration des Netlogon-Protokolls | CVE-2020-1472 („Zerologon“) wirkt sich auf das Netlogon-Protokoll aus und ermöglicht die Heraufstufung von Berechtigungen | critical | |
| Anfällige Credential Roaming-bezogene Attribute | Credential roaming-Attribute sind insofern anfällig, als die geschützten Geheimnisse des zugehörigen Benutzers von einem Angreifer gelesen werden können. | low | |
| Potenzielles Klartext-Passwort | Sucht nach Objekten, die potenzielle Klartext-Passwörter in Attributen enthalten, die von Domänenbenutzern gelesen werden können. | high | |
| Gefährliche sensible Berechtigungen | Identifiziert falsch konfigurierte sensible Berechtigungen, die die Sicherheit einer Verzeichnisinfrastruktur verringern. | high | |
| Zugeordnete Zertifikate für Konten | Stellt sicher, dass Objekten keine schwache Zertifikatszuordnung zugewiesen ist. | critical | |
| Domäne ohne GPOs für die Computerhärtung | Überprüft, ob Härtungs-GPOs in der Domäne bereitgestellt wurden. | medium | |
| Gruppe „Protected Users“ wird nicht verwendet | Prüft auf privilegierte Benutzer, die keine Mitglieder der Gruppe Protected Users sind. | high | |
| Konto mit möglicherweise leerem Passwort | Identifiziert Benutzerkonten, die leere Passwörter zulassen. | high | |
| Benutzer, die der Domäne Computer hinzufügen dürfen | Stellen Sie sicher, dass reguläre Benutzer der Domäne keine externen Computer hinzufügen können. | medium | |
| Letzte Änderung des Microsoft Entra SSO-Kontopassworts | Stellt sicher, dass das Microsoft Entra SSO-Kontopasswort regelmäßig geändert wird. | high | |
| Gefährliche Rechte im AD-Schema | Listet Schemaeinträge auf, die als anomal angesehen werden und potenziell zu Persistenzzwecken genutzt werden können. | high | |
| Benutzerkonto mit altem Passwort | Prüft, ob alle aktiven Kontopasswörter in Active Directory regelmäßig aktualisiert werden, um das Risiko des Diebstahls von Anmeldeinformationen zu reduzieren. | medium | |
| Berechtigungen für Microsoft Entra Connect-Konten überprüfen | Sicherstellen, dass die für Microsoft Entra Connect-Konten festgelegten Berechtigungen angemessen sind | critical | |
| Domänencontroller werden von nicht legitimen Benutzern verwaltet | Einige Domänencontroller können aufgrund von gefährlichen Zugriffsrechten von nicht Administratorbenutzern verwaltet werden. | critical | |
| Anwendung von schwachen Passwortrichtlinien auf Benutzer | Einige auf bestimmte Benutzerkonten angewendete Passwortrichtlinien sind nicht stark genug und können zum Diebstahl von Anmeldeinformationen führen. | critical | |
| Berechtigungen für sehr sensible GPO-Objekte und -Dateien prüfen | Stellt sicher, dass die Berechtigungen, die mit sensiblen Containern (wie Domänencontroller oder OU) verknüpften GPO-Objekten und -Dateien zugewiesen sind, angemessen und sicher sind. | critical | |
| Domäne mit unsicherer Konfiguration für Abwärtskompatibilität | Mit dem dsHeuristics-Attribut kann das AD-Verhalten geändert werden. Einige Felder sind jedoch sicherheitssensibel und stellen ein Sicherheitsrisiko dar. | low | |
| Domänen mit veralteter Funktionsebene | Sucht nach der korrekten Funktionsebene einer Domäne oder Gesamtstruktur, die die Verfügbarkeit erweiterter Funktionen und Sicherheitsoptionen bestimmt. | medium | |
| Lokale Administratorkonto-Verwaltung | Stellt die sichere und zentrale Verwaltung lokaler Administratorkonten mit LAPS sicher. | medium | |
| Kerberos-Konfiguration für Benutzerkonto | Erkennt Konten, die eine schwache Kerberos-Konfiguration verwenden. | medium | |
| Stammobjektberechtigungen, die DCSync-artige Angriffe zulassen | Überprüft, ob unsichere Berechtigungen für Stammobjekte existieren, die es nicht legitimen Benutzern ermöglichen, Authentifizierungsgeheimnisse zu stehlen. | critical | |
| Konten mit einer kompatiblen Zugriffssteuerung vor Windows 2000 | Prüft auf Kontomitglieder der Gruppe „Kompatibler Zugriff vor Windows 2000“ (Pre-Windows 2000 Compatible Access), die Sicherheitsmaßnahmen umgehen können. | high | |
| Deaktivierte Konten in privilegierten Gruppen | Nicht mehr verwendete Konten sollten nicht in privilegierten Gruppen bleiben. | low | |
| Computer mit veraltetem BS | Identifiziert veraltete Systeme, die Microsoft nicht mehr unterstützt und die die Infrastrukturanfälligkeit erhöhen. | high | |
| Konten mit einem gefährlichen SID History-Attribut | Überprüft Benutzer- oder Computerkonten mithilfe einer privilegierten SID im SID history-Attribut. | high | |
| Verwendung schwacher Kryptografiealgorithmen in der Active Directory-PKI | Identifiziert schwache kryptografische Algorithmen in Stammzertifikaten, die in einer internen Active Directory-PKI bereitgestellt werden. | critical | |
| Letzte Verwendung des Standard-Administratorkontos | Sucht nach der letzten Verwendung des integrierten Administratorkontos. | medium |