Indicators of Exposure
| Name | Beschreibung | Schweregrad | Type |
|---|---|---|---|
| Primäre Gruppe des Benutzers | Prüfen Sie, dass die primäre Gruppe des Benutzers nicht geändert wurde | critical | |
| Gefährliche Kerberos-Delegierung | Überprüft, ob nicht autorisierte Kerberos-Delegierungen vorhanden sind, und stellt sicher, dass privilegierte Benutzer vor einer solchen Delegierung geschützt sind. | critical | |
| Umkehrbare Passwörter | Stellt sicher, dass die Option zum Speichern von Passwörtern in einem umkehrbaren Format nicht aktiviert wird. | medium | |
| Umkehrbare Passwörter im GPO | Überprüft, ob die GPO-Einstellungen keine Passwörter in einem umkehrbaren Format zulassen. | medium | |
| SDProp-Konsistenz sicherstellen | Kontrolliert, dass das AdminSDHolder-Objekt einen bereinigten Zustand hat. | critical | |
| Letzte Passwortänderung für KRBTGT-Konto | Sucht nach KRBTGT-Konten, deren Passwort seit mehr als dem empfohlenen Intervall nicht mehr geändert wurde. | high | |
| Mitglieder der nativen Administratorgruppe | Anormale Konten in den nativen Administratorgruppen von Active Directory | critical | |
| Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden | Erkennt hoch privilegierte Konten mit dem Service Principal Name-Attribut (SPN), das ihre Sicherheit beeinträchtigt. | critical | |
| AdminCount-Attribut für Standardbenutzer festgelegt | Sucht bei stillgelegten Konten nach dem adminCount-Attribut, welches zu Berechtigungsproblemen führt, die nur schwer behoben werden können. | medium | |
| Inaktive Konten | Erkennt nicht verwendete, inaktive Konten, die ein Sicherheitsrisiko darstellen können. | medium | |
| Gefährliche Vertrauensstellungen | Identifiziert falsch konfigurierte Attribute für die Vertrauensstellung, die die Sicherheit einer Verzeichnisinfrastruktur herabsetzen. | high | |
| Konten mit nie ablaufenden Passwörtern | Prüft auf Konten mit dem Eigenschaftsflag DONT_EXPIRE_PASSWORD im Attribut userAccountControl, das die unbegrenzte Verwendung desselben Passworts durch Umgehung der Richtlinien zur Passworterneuerung erlaubt. | medium | |
| Nicht verknüpftes, deaktiviertes oder verwaistes GPO | Nicht verwendete oder deaktivierte GPOs verringern die Verzeichnisleistung, verlangsamen RSoP-Berechnungen und können zu Verwirrungen im Hinblick auf die Sicherheitsrichtlinie führen. Wenn sie versehentlich wieder aktiviert werden, kann dies vorhandene Richtlinien schwächen. | low | |
| Leere Gruppe | Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten. | LOW | |
| Nie verwendetes Gerät | Sie sollten vorab erstellte, nie genutzte Gerätekonten vermeiden, da sie schlechte Hygienepraktiken widerspiegeln und potenziell Sicherheitsrisiken darstellen können. | LOW | |
| Administratoreinwilligungs-Workflow für Anwendungen nicht konfiguriert | Über den Workflow zur Administratoreinwilligung in Entra ID können Benutzer ohne Administratorrechte Anwendungsberechtigungen über einen strukturierten Genehmigungsprozess anfordern. Wenn der Workflow nicht konfiguriert ist, stoßen Benutzer beim Zugriff auf Anwendungen unter Umständen auf Fehler, da keine Möglichkeit zur Anforderung einer Einwilligung besteht. | MEDIUM | |
| Privilegiertes mit AD synchronisiertes Entra-Konto (Hybridkonto) | Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, weil sie es Angreifern, die AD kompromittieren, ermöglichen, auch Entra ID anzugreifen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein. | HIGH | |
| Riskante Benutzer ohne Erzwingung | Blockieren Sie riskante Benutzer, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um zu verhindern, dass sich anfällige Konten bei Entra ID authentifizieren. | MEDIUM | |
| Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung | Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht. | MEDIUM | |
| Fehlende Übereinstimmung der Verbundsignaturzertifikate | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | HIGH | |
| Hohe Anzahl von Administratoren | Administratoren haben erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsoberfläche vergrößert. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird. | HIGH | |
| Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats | Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat. | MEDIUM | |
| Verwaltete Geräte sind für die Authentifizierung nicht erforderlich | Schreiben Sie vor, dass verwaltete Geräte verwendet werden müssen, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um die Authentifizierung bei Entra ID von nicht verwalteten Geräten aus zu blockieren. | MEDIUM | |
| Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. | HIGH | |
| Uneingeschränkte Benutzereinwilligung für Anwendungen | In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern. | MEDIUM | |
| Inaktiver privilegierter Benutzer | Inaktive privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich nicht autorisierten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern. | MEDIUM | |
| Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden. | MEDIUM | |
| Dynamische Gruppe mit ausnutzbarer Regel | Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind. | MEDIUM | |
| Entra-Sicherheitsstandards nicht aktiviert | Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes. | MEDIUM | |
| Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen | Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern. | MEDIUM | |
| Uneingeschränkte Gastkonten | Standardmäßig haben Gastbenutzer in Entra ID eingeschränkten Zugriff, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Diese Einschränkungen können jedoch weiter verschärft werden, um die Sicherheit und den Datenschutz zu verbessern. | MEDIUM | |
| Anwendung, die mehrinstanzenfähige Authentifizierung zulässt | Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden. | LOW | |
| MFA für riskante Anmeldungen nicht erforderlich | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt. | HIGH | |
| Benutzer, die Geräte hinzufügen dürfen | Wenn allen Benutzern erlaubt wird, uneingeschränkt Geräte mit dem Entra-Mandanten zu verbinden, öffnet das Tür und Tor für Angreifer, Rogue-Geräte in das Identitätssystem der Organisation einzuschleusen und sich so eine Ausgangsbasis für weitere Kompromittierungen zu verschaffen. | LOW | |
| Inaktiver nicht privilegierter Benutzer | Inaktive nicht privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich nicht autorisierten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern. | LOW | |
| Fehlende MFA für privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Sicherheitsstandards empfehlen, dass Sie MFA aktivieren, insbesondere bei privilegierten Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. | HIGH | |
| Nie verwendeter nicht privilegierter Benutzer | Nie verwendete nicht privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer potenziellen Standardpasswörter ein bevorzugtes Ziel für Angreifer. | LOW | |
| Namenskonvention für privilegierte Konten | Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung. | LOW | |
| Gruppe mit nur einem Mitglied | Es ist nicht ratsam, eine Gruppe mit nur einem Mitglied zu erstellen, da dies zu Redundanz und Komplexität führt. Diese Vorgehensweise macht die Verwaltung unnötig kompliziert, da Ebenen hinzugefügt werden. Außerdem verringert sich dadurch die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte. | LOW | |
| Migration der Authentifizierungsmethoden nicht abgeschlossen | Durch die Migration zur Richtlinie „Authentifizierungsmethoden“ wird die Authentifizierungsverwaltung in Microsoft Entra ID optimiert und modernisiert. Diese Umstellung vereinfacht die Administration, erhöht die Sicherheit und ermöglicht Unterstützung für die neuesten Authentifizierungsmethoden. Schließen Sie die Migration bis September 2025 ab, um Unterbrechungen durch die Einstellung von Legacy-Richtlinien zu vermeiden. | MEDIUM | |
| Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste | Sie sollten separate Entra-Konten für administrative Aufgaben verwenden: ein Standardkonto für den täglichen Gebrauch und ein weiteres privilegiertes Konto, das speziell auf Verwaltungstätigkeiten beschränkt ist. Dieser Ansatz verkleinert die Angriffsfläche des privilegierten Kontos. | MEDIUM | |
| Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. | HIGH | |
| Verwaltete Geräte sind für die MFA-Registrierung nicht erforderlich | Wenn für die MFA-Registrierung verwaltete Geräte vorgeschrieben sind, wird es für Angreifer schwieriger, ihre eigene (unerlaubte) MFA zu registrieren – selbst bei gestohlenen Anmeldeinformationen –, sofern sie nicht auch Zugriff auf ein verwaltetes Gerät haben. | MEDIUM | |
| Passwortablauf erzwungen | Das Erzwingen des Passwortablaufs in Microsoft Entra ID-Domänen kann die Sicherheit beeinträchtigen, da Benutzer häufig zum Ändern ihrer Passwörter aufgefordert werden. Dies führt oft zu schwachen, vorhersagbaren oder wiederverwendeten Passwörtern, wodurch der allgemeine Schutz des Kontos beeinträchtigt wird. | LOW | |
| Kennwortschutz für On-Premises-Umgebungen nicht aktiviert | Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern. | MEDIUM | |
| Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden. | MEDIUM | |
| Möglichkeit von Standardkonten zur Registrierung von Anwendungen | Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren. | LOW | |
| Gastkonten mit gleichem Zugriff wie normale Konten | Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können. | HIGH | |
| Legacy-Authentifizierung nicht blockiert | Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können. | MEDIUM | |
| Deaktiviertes Konto ist privilegierter Rolle zugewiesen | Zu einem soliden Kontoverwaltungsprozess gehört die Überwachung von Zuweisungen zu privilegierten Rollen. | LOW |