Indicators of Exposure
| Name | Beschreibung | Schweregrad | Type |
|---|---|---|---|
| Primäre Gruppe des Benutzers | Prüfen Sie, dass die primäre Gruppe des Benutzers nicht geändert wurde | critical | |
| Gefährliche Kerberos-Delegierung | Überprüft, ob nicht autorisierte Kerberos-Delegierungen vorhanden sind, und stellt sicher, dass privilegierte Benutzer vor einer solchen Delegierung geschützt sind. | critical | |
| Umkehrbare Passwörter | Stellt sicher, dass die Option zum Speichern von Passwörtern in einem umkehrbaren Format nicht aktiviert wird. | medium | |
| Umkehrbare Passwörter im GPO | Überprüft, ob die GPO-Einstellungen keine Passwörter in einem umkehrbaren Format zulassen. | medium | |
| SDProp-Konsistenz sicherstellen | Kontrolliert, dass das AdminSDHolder-Objekt einen bereinigten Zustand hat. | critical | |
| Letzte Passwortänderung für KRBTGT-Konto | Sucht nach KRBTGT-Konten, deren Passwort seit mehr als dem empfohlenen Intervall nicht mehr geändert wurde. | high | |
| Mitglieder der nativen Administratorgruppe | Anormale Konten in den nativen Administratorgruppen von Active Directory | critical | |
| Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden | Erkennt hoch privilegierte Konten mit dem Service Principal Name-Attribut (SPN), das ihre Sicherheit beeinträchtigt. | critical | |
| AdminCount-Attribut für Standardbenutzer festgelegt | Sucht bei stillgelegten Konten nach dem adminCount-Attribut, welches zu Berechtigungsproblemen führt, die nur schwer behoben werden können. | medium | |
| Inaktive Konten | Erkennt nicht verwendete, inaktive Konten, die ein Sicherheitsrisiko darstellen können. | medium | |
| Gefährliche Vertrauensstellungen | Identifiziert falsch konfigurierte Attribute für die Vertrauensstellung, die die Sicherheit einer Verzeichnisinfrastruktur herabsetzen. | high | |
| Konten mit nie ablaufenden Passwörtern | Prüft auf Konten mit dem Eigenschaftsflag DONT_EXPIRE_PASSWORD im Attribut userAccountControl, das die unbegrenzte Verwendung desselben Passworts durch Umgehung der Richtlinien zur Passworterneuerung erlaubt. | medium | |
| Nicht verknüpftes, deaktiviertes oder verwaistes GPO | Nicht verwendete oder deaktivierte GPOs verringern die Verzeichnisleistung, verlangsamen RSoP-Berechnungen und können zu Verwirrungen im Hinblick auf die Sicherheitsrichtlinie führen. Wenn sie versehentlich wieder aktiviert werden, kann dies vorhandene Richtlinien schwächen. | low | |
| Leere Entra-Gruppe | Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten. | LOW | |
| Riskante Benutzer ohne Erzwingung | Blockieren Sie riskante Benutzer, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um zu verhindern, dass sich anfällige Konten bei Entra ID authentifizieren. | MEDIUM | |
| Privilegiertes mit AD synchronisiertes Entra-Konto (Hybridkonto) | Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, weil sie es Angreifern, die AD kompromittieren, ermöglichen, auch Entra ID anzugreifen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein. | HIGH | |
| Nie verwendetes Gerät | Sie sollten vorab erstellte, nie genutzte Gerätekonten vermeiden, da sie schlechte Hygienepraktiken widerspiegeln und potenziell Sicherheitsrisiken darstellen können. | LOW | |
| Schwache Passwortrichtlinie – Mindestlänge | Eine Passwortrichtlinie mit einer geringen Mindestlänge ermöglicht es Benutzern, kurze, leicht zu erratende Passwörter zu erstellen, wodurch das Kompromittierungsrisiko steigt. | HIGH | |
| Schwache Passwortrichtlinie – Passwortverlauf | Eine Passwortrichtlinie mit einer geringen Anzahl an gespeicherten Passwörtern kann dazu führen, dass Benutzer Passwörter wiederverwenden, die möglicherweise bereits kompromittiert sind. | MEDIUM | |
| Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung | Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht. | MEDIUM | |
| Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. | HIGH | |
| Inaktiver privilegierter Benutzer | Inaktive privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich nicht autorisierten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern. | MEDIUM | |
| Schwache Passwortrichtlinie – Gängige Passwörter | Eine Passwortrichtlinie, die gängige Passwörter zulässt, erhöht das Kompromittierungsrisiko, da Benutzer möglicherweise schwache, leicht zu erratende Anmeldeinformationen wählen. | HIGH | |
| Fehlende Übereinstimmung der Verbundsignaturzertifikate | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | HIGH | |
| Verwaltete Geräte sind für die Authentifizierung nicht erforderlich | Schreiben Sie vor, dass verwaltete Geräte verwendet werden müssen, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um die Authentifizierung bei Entra ID von nicht verwalteten Geräten aus zu blockieren. | MEDIUM | |
| Uneingeschränkte Benutzereinwilligung für Anwendungen | In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern. | MEDIUM | |
| Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats | Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat. | MEDIUM | |
| Hohe Anzahl von Administratoren | Administratoren haben erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsoberfläche vergrößert. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird. | HIGH | |
| Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden. | MEDIUM | |
| Inaktiver nicht privilegierter Benutzer | Inaktive nicht privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich nicht autorisierten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern. | LOW | |
| Dynamische Gruppe mit ausnutzbarer Regel | Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind. | MEDIUM | |
| Nie verwendeter nicht privilegierter Benutzer | Nie verwendete nicht privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer. | LOW | |
| Schwache Passwortrichtlinie – Schwellenwert für Sperrung | Eine Passwortrichtlinie mit einem hohen Schwellenwert für Sperrungen kann es Angreifern ermöglichen, Brute-Force-Angriffe durchzuführen, bevor eine Sperrung des Kontos ausgelöst wird. | HIGH | |
| Migration der Authentifizierungsmethoden nicht abgeschlossen | Durch die Migration zur Richtlinie „Authentifizierungsmethoden“ wird die Authentifizierungsverwaltung in Microsoft Entra ID optimiert und modernisiert. Diese Umstellung vereinfacht die Administration, erhöht die Sicherheit und ermöglicht Unterstützung für die neuesten Authentifizierungsmethoden. Schließen Sie die Migration bis September 2025 ab, um Unterbrechungen durch die Einstellung von Legacy-Richtlinien zu vermeiden. | MEDIUM | |
| Fehlende MFA für privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Sicherheitsstandards empfehlen, dass Sie MFA aktivieren, insbesondere bei privilegierten Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. | HIGH | |
| Namenskonvention für privilegierte Konten | Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung. | LOW | |
| Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste | Sie sollten separate Entra-Konten für administrative Aufgaben verwenden: ein Standardkonto für den täglichen Gebrauch und ein weiteres privilegiertes Konto, das speziell auf Verwaltungstätigkeiten beschränkt ist. Dieser Ansatz verkleinert die Angriffsfläche des privilegierten Kontos. | MEDIUM | |
| Benutzer, die Geräte hinzufügen dürfen | Wenn allen Benutzern erlaubt wird, uneingeschränkt Geräte mit dem Entra-Mandanten zu verbinden, öffnet das Tür und Tor für Angreifer, Rogue-Geräte in das Identitätssystem der Organisation einzuschleusen und sich so eine Ausgangsbasis für weitere Kompromittierungen zu verschaffen. | LOW | |
| Anwendung, die mehrinstanzenfähige Authentifizierung zulässt | Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden. | LOW | |
| Entra-Sicherheitsstandards nicht aktiviert | Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes. | MEDIUM | |
| MFA für riskante Anmeldungen nicht erforderlich | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt. | HIGH | |
| Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen | Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern. | MEDIUM | |
| Entra-Gruppe mit nur einem Mitglied | Es ist nicht ratsam, eine Gruppe mit nur einem Mitglied zu erstellen, da dies zu Redundanz und Komplexität führt. Diese Vorgehensweise macht die Verwaltung unnötig kompliziert, da Ebenen hinzugefügt werden. Außerdem verringert sich dadurch die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte. | LOW | |
| Uneingeschränkte Gastkonten | Standardmäßig haben Gastbenutzer in Entra ID eingeschränkten Zugriff, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Diese Einschränkungen können jedoch weiter verschärft werden, um die Sicherheit und den Datenschutz zu verbessern. | MEDIUM | |
| Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden. | MEDIUM | |
| Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. | HIGH | |
| Inaktives Gerät | Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit. | LOW | |
| Nie verwendeter privilegierter Benutzer | Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer. | MEDIUM | |
| Schwache Passwortrichtlinie – Mindestalter | Eine Passwortrichtlinie mit einem niedrigen minimalen Passwortalter kann es Benutzern ermöglichen, schnell durch frühere Passwörter zu wechseln und dadurch möglicherweise bereits kompromittierte Anmeldeinformationen erneut zu verwenden. | LOW | |
| Möglichkeit von Standardkonten zur Registrierung von Anwendungen | Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren. | LOW |