Sensible Exchange-Berechtigungen

Microsoft Exchange On-Premises stützt sich für wichtige Funktionen wie Benutzerauthentifizierung, Postfachverwaltung und einen Teil der Konfigurationsspeicherung in hohem Maße auf die umfassende Integration mit Active Directory (AD). Durch diese Integration werden bestimmten Exchange-Gruppen in der AD-Umgebung automatisch umfassende Berechtigungen gewährt, wodurch die Angriffsfläche potenziell vergrößert wird. Diese Berechtigungen werden heutzutage häufig von Angreifern ausgenutzt, um Rechte auszuweiten und die Kontrolle über die gesamte Domäne zu erlangen.

Um die Risiken von Microsoft Exchange On-Premises zu mindern, empfiehlt Tenable zunächst die Einführung des Modells Geteilte Active Directory-Berechtigungen, da es die Möglichkeiten von Exchange, AD-Benutzer und -Gruppen zu kompromittieren, erheblich reduziert. Zudem werden durch die Erzwingung strengerer Zugriffssteuerungslisten (Access Control Lists, ACLs) die Exchange-Berechtigungen für wesentliche Objekte weiter beschränkt, wodurch Administratorkonten und sensible Dienstkonten vor unbefugten Änderungen geschützt werden.

Name: Sensible Exchange-Berechtigungen

Codename: C-EXCHANGE-PERMISSIONS

Schweregrad: Critical

Typ: Active Directory Indicator of Exposure