Erkennungen

Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten

high

Sprache:

Beschreibung

MSAs (Managed Service Accounts, verwaltete Dienstkonten) stellen eine sichere Methode zur Verwaltung von Active Directory-Dienstkonten dar. Ein MSA hat sein eigenes komplexes Passwort, das automatisch verwaltet wird, ebenso wie dies bei Computerkonten der Fall ist. Diese Funktion sollte bereitgestellt und korrekt konfiguriert werden, damit nicht legitime Benutzerkonten diese Konten nicht kompromittieren können (z. B. durch „Kerberoasting“-Angriffe).

Lösung

Dienstkonten sollten als verwaltete Dienstkonten (MSAs) konfiguriert und ordnungsgemäß abgesichert werden, um eine potenzielle Rechteausweitung und Persistenzmechanismen zu vermeiden.

Siehe auch

Überblick über gruppenverwaltete Dienstkonten

Angriffe auf gMSA-Konten in Active Directory

Retrieving Cleartext GMSA Passwords from Active Directory (Abrufen von Klartext-Passwörtern für gMSA-Konten aus Active Directory)

Step-by-Step - How to work with Group Managed Service Accounts (gMSA) (Schrittanleitung: Arbeiten mit gruppenverwalteten Dienstkonten (gMSA))

Windows Server 2012 - Group Managed Service Accounts (Windows Server 2012 – Gruppenverwaltete Dienstkonten)

Indikatordetails

Name: Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten

Codename: C-MSA-COMPLIANCE

Schweregrad: High

MITRE ATT&CK-Informationen:

Bekannte Tools von Angreifern

Yuval Gordon: GoldenGMSA

Michael Grafnetter: DSInternals