Indicators of Exposure
| Name | Beschreibung | Schweregrad | Type |
|---|---|---|---|
| Inaktives Gerät | Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit. | LOW | |
| Nie verwendeter privilegierter Benutzer | Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer potenziellen Standardpasswörter ein bevorzugtes Ziel für Angreifer. | MEDIUM | |
| Liste der Verbunddomänen | Eine bösartige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können. | LOW | |
| Bekannte Verbunddomänen-Backdoor | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | CRITICAL | |
| Fehlende MFA für nicht-privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. | MEDIUM | |
| Öffentliche M365-Gruppe | In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.). | MEDIUM | |
| Funktion „Befristeter Zugriffspass“ aktiviert | Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren. | LOW | |
| Nicht verifizierte Domäne | Sie müssen den Besitz aller benutzerdefinierten Domänen in Entra ID bestätigen. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine bereinigte Domainliste zu führen und effiziente Überprüfungen zu ermöglichen. | LOW | |
| Gastkonto mit einer privilegierten Rolle | Gastkonten sind externe Identitäten, die ein Sicherheitsrisiko darstellen können, wenn ihnen privilegierte Rollen zugewiesen werden. Dadurch werden Personen außerhalb Ihrer Organisation erhebliche Rechte innerhalb des Mandanten gewährt. | HIGH | |
| Erstanbieter-Dienstprinzipal mit Anmeldeinformationen | Erstanbieter-Dienstprinzipale verfügen über starke Berechtigungen, werden jedoch übersehen, da sie verborgen sind, Microsoft gehören und zahlreich sind. Angreifer fügen ihnen Anmeldeinformationen hinzu, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen. | HIGH | |
| MFA für privilegierte Rollen nicht erforderlich | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Sicherheitsrelevante Best Practices und Standards empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind. | HIGH | |
| Verdächtige Zuweisung der Rolle „AD-Synchronisierung” | Microsoft hat zwei versteckte integrierte Entra ID-Rollen für die Active Directory-Synchronisierung entwickelt, die ausschließlich für Entra Connect- oder Entra-Cloudsynchronisierungsdienstkonten vorgesehen sind. Diese Rollen verfügen über implizite privilegierte Berechtigungen, die böswillige Akteure für verdeckte Angriffe ausnutzen können. | HIGH |