Indicators of Exposure
| Name | Beschreibung | Schweregrad | Type |
|---|---|---|---|
| Primäre Gruppe des Benutzers | Prüfen Sie, dass die primäre Gruppe des Benutzers nicht geändert wurde | critical | |
| Gefährliche Kerberos-Delegierung | Überprüft, ob nicht autorisierte Kerberos-Delegierungen vorhanden sind, und stellt sicher, dass privilegierte Benutzer vor einer solchen Delegierung geschützt sind. | critical | |
| Umkehrbare Passwörter | Stellt sicher, dass die Option zum Speichern von Passwörtern in einem umkehrbaren Format nicht aktiviert wird. | medium | |
| Umkehrbare Passwörter im GPO | Überprüft, ob die GPO-Einstellungen keine Passwörter in einem umkehrbaren Format zulassen. | medium | |
| SDProp-Konsistenz sicherstellen | Kontrolliert, dass das AdminSDHolder-Objekt einen bereinigten Zustand hat. | critical | |
| Letzte Passwortänderung für KRBTGT-Konto | Sucht nach KRBTGT-Konten, deren Passwort seit mehr als dem empfohlenen Intervall nicht mehr geändert wurde. | high | |
| Mitglieder der nativen Administratorgruppe | Anormale Konten in den nativen Administratorgruppen von Active Directory | critical | |
| Privilegierte Konten, unter denen Kerberos-Dienste ausgeführt werden | Erkennt hoch privilegierte Konten mit dem Service Principal Name-Attribut (SPN), das ihre Sicherheit beeinträchtigt. | critical | |
| AdminCount-Attribut für Standardbenutzer festgelegt | Sucht bei stillgelegten Konten nach dem adminCount-Attribut, welches zu Berechtigungsproblemen führt, die nur schwer behoben werden können. | medium | |
| Inaktive Konten | Erkennt nicht verwendete, inaktive Konten, die ein Sicherheitsrisiko darstellen können. | medium | |
| Gefährliche Vertrauensstellungen | Identifiziert falsch konfigurierte Attribute für die Vertrauensstellung, die die Sicherheit einer Verzeichnisinfrastruktur herabsetzen. | high | |
| Konten mit nie ablaufenden Passwörtern | Prüft auf Konten mit dem Eigenschaftsflag DONT_EXPIRE_PASSWORD im Attribut userAccountControl, das die unbegrenzte Verwendung desselben Passworts durch Umgehung der Richtlinien zur Passworterneuerung erlaubt. | medium | |
| Nicht verknüpftes, deaktiviertes oder verwaistes GPO | Nicht verwendete oder deaktivierte GPOs verringern die Verzeichnisleistung, verlangsamen RSoP-Berechnungen und können zu Verwirrungen im Hinblick auf die Sicherheitsrichtlinie führen. Wenn sie versehentlich wieder aktiviert werden, kann dies vorhandene Richtlinien schwächen. | low | |
| Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden. | MEDIUM | |
| Dynamische Gruppe mit ausnutzbarer Regel | Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind. | MEDIUM | |
| Leere Gruppe | Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten. | LOW | |
| Liste der Verbunddomänen | Eine böswillige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können. | LOW | |
| Bekannte Verbunddomänen-Backdoor | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | CRITICAL | |
| Passwortablauf erzwungen | Das Erzwingen des Passwortablaufs in Microsoft Entra ID-Domänen kann die Sicherheit beeinträchtigen, da Benutzer häufig zum Ändern ihrer Passwörter aufgefordert werden. Dies führt oft zu schwachen, vorhersagbaren oder wiederverwendeten Passwörtern, wodurch der allgemeine Schutz des Kontos beeinträchtigt wird. | LOW | |
| Namenskonvention für privilegierte Konten | Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung. | LOW | |
| Privilegiertes mit AD synchronisiertes Entra-Konto (Hybridkonto) | Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, weil sie es Angreifern, die AD kompromittieren, ermöglichen, auch Entra ID anzugreifen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein. | HIGH | |
| Uneingeschränkte Benutzereinwilligung für Anwendungen | In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern. | MEDIUM | |
| Nicht verifizierte Domäne | Sie müssen den Besitz aller benutzerdefinierten Domänen in Entra ID bestätigen. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine bereinigte Domainliste zu führen und effiziente Überprüfungen zu ermöglichen. | LOW | |
| Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten | Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste im Namen von Benutzern zu erlauben (so genannte „delegierte Berechtigungen“). Bestimmte Berechtigungen können eine Gefahr für die Benutzerdaten darstellen, die in diesen Diensten gespeichert werden. | MEDIUM | |
| Entra-Sicherheitsstandards nicht aktiviert | Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes. | MEDIUM | |
| Gastkonten mit gleichem Zugriff wie normale Konten | Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können. | HIGH | |
| Verwaltete Geräte sind für die MFA-Registrierung nicht erforderlich | Wenn für die MFA-Registrierung verwaltete Geräte vorgeschrieben sind, wird es für Angreifer schwieriger, ihre eigene (unerlaubte) MFA zu registrieren – selbst bei gestohlenen Anmeldeinformationen –, sofern sie nicht auch Zugriff auf ein verwaltetes Gerät haben. | MEDIUM | |
| MFA für riskante Anmeldungen nicht erforderlich | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt. | HIGH | |
| Fehlende MFA für nicht-privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. | MEDIUM | |
| Nie verwendeter privilegierter Benutzer | Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer potenziellen Standardpasswörter ein bevorzugtes Ziel für Angreifer. | MEDIUM | |
| Privilegiertes Entra-Konto mit Zugriff auf M365-Dienste | Sie sollten separate Entra-Konten für administrative Aufgaben verwenden: ein Standardkonto für den täglichen Gebrauch und ein weiteres privilegiertes Konto, das speziell auf Verwaltungstätigkeiten beschränkt ist. Dieser Ansatz verkleinert die Angriffsfläche des privilegierten Kontos. | MEDIUM | |
| Riskante Benutzer ohne Erzwingung | Blockieren Sie riskante Benutzer, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um zu verhindern, dass sich anfällige Konten bei Entra ID authentifizieren. | MEDIUM | |
| Uneingeschränkte Gastkonten | Standardmäßig haben Gastbenutzer in Entra ID eingeschränkten Zugriff, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Diese Einschränkungen können jedoch weiter verschärft werden, um die Sicherheit und den Datenschutz zu verbessern. | MEDIUM | |
| Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats | Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat. | MEDIUM | |
| Möglichkeit von Standardkonten zur Registrierung von Anwendungen | Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren. | LOW | |
| Anwendung, die mehrinstanzenfähige Authentifizierung zulässt | Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden. | LOW | |
| Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung | Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht. | MEDIUM | |
| Kennwortschutz für On-Premises-Umgebungen nicht aktiviert | Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern. | MEDIUM | |
| Öffentliche M365-Gruppe | In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.). | MEDIUM | |
| Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen | Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern. | MEDIUM | |
| Verdächtige Zuweisung der Rolle „AD-Synchronisierung” | Microsoft hat zwei versteckte integrierte Entra ID-Rollen für die Active Directory-Synchronisierung entwickelt, die ausschließlich für Entra Connect- oder Cloud Sync-Dienstkonten vorgesehen sind. Diese Rollen verfügen über implizite privilegierte Berechtigungen, die böswillige Akteure für verdeckte Angriffe ausnutzen können. | HIGH | |
| Inaktives Gerät | Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit. | LOW | |
| Fehlende Übereinstimmung der Verbundsignaturzertifikate | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | HIGH | |
| Erstanbieter-Dienstprinzipal mit Anmeldeinformationen | Erstanbieter-Dienstprinzipale verfügen über starke Berechtigungen, werden jedoch übersehen, da sie verborgen sind, Microsoft gehören und zahlreich sind. Angreifer fügen ihnen Anmeldeinformationen hinzu, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen. | HIGH | |
| Legacy-Authentifizierung nicht blockiert | Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können. | MEDIUM | |
| Verwaltete Geräte sind für die Authentifizierung nicht erforderlich | Schreiben Sie vor, dass verwaltete Geräte verwendet werden müssen, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Laut bewährten Sicherheitsmethoden empfiehlt sich die Verwendung von Richtlinien für bedingten Zugriff, um die Authentifizierung bei Entra ID von nicht verwalteten Geräten aus zu blockieren. | MEDIUM | |
| MFA für privilegierte Rollen nicht erforderlich | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Sicherheitsrelevante Best Practices und Standards empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind. | HIGH | |
| Nie verwendetes Gerät | Sie sollten vorab erstellte, nie genutzte Gerätekonten vermeiden, da sie schlechte Hygienepraktiken widerspiegeln und potenziell Sicherheitsrisiken darstellen können. | LOW | |
| Gruppe mit nur einem Mitglied | Es ist nicht ratsam, eine Gruppe mit nur einem Mitglied zu erstellen, da dies zu Redundanz und Komplexität führt. Diese Vorgehensweise macht die Verwaltung unnötig kompliziert, da Ebenen hinzugefügt werden. Außerdem verringert sich dadurch die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte. | LOW | |
| Funktion „Befristeter Zugriffspass“ aktiviert | Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren. | LOW |