Indicators of Exposure
| Name | Beschreibung | Schweregrad | Type |
|---|---|---|---|
| Gastkonten mit gleichem Zugriff wie normale Konten | Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können. | HIGH | |
| Legacy-Authentifizierung nicht blockiert | Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können. | MEDIUM | |
| Kennwortschutz für On-Premises-Umgebungen nicht aktiviert | Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern. | MEDIUM | |
| Deaktiviertes Konto ist privilegierter Rolle zugewiesen | Zu einem soliden Kontoverwaltungsprozess gehört die Überwachung von Zuweisungen zu privilegierten Rollen. | LOW | |
| Liste der Verbunddomänen | Eine bösartige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können. | LOW | |
| Bekannte Verbunddomänen-Backdoor | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | CRITICAL | |
| Öffentliche M365-Gruppe | In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.). | MEDIUM | |
| Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten” | „Verzeichnissynchronisierungskonten“ ist eine privilegierte Entra-Rolle, die in den Azure- und Entra ID-Portalen ausgeblendet ist und in der Regel für Microsoft Entra Connect (früher Azure AD Connect)-Dienstkonten bestimmt ist. Allerdings können böswillige Akteure diese Rolle für verdeckte Angriffe ausnutzen. | HIGH | |
| Funktion „Befristeter Zugriffspass“ aktiviert | Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren. | LOW | |
| Nicht verifizierte Domäne | Sie müssen den Besitz aller benutzerdefinierten Domänen in Entra ID bestätigen. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine bereinigte Domainliste zu führen und effiziente Überprüfungen zu ermöglichen. | LOW | |
| Erstanbieter-Dienstprinzipal mit Anmeldeinformationen | Erstanbieter-Dienstprinzipale verfügen über starke Berechtigungen, werden jedoch übersehen, da sie verborgen sind, Microsoft gehören und zahlreich sind. Angreifer fügen ihnen Anmeldeinformationen hinzu, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen. | HIGH | |
| Gastkonto mit einer privilegierten Rolle | Gastkonten sind externe Identitäten, die ein Sicherheitsrisiko darstellen können, wenn ihnen privilegierte Rollen zugewiesen werden. Dadurch werden Personen außerhalb Ihrer Organisation erhebliche Rechte innerhalb des Mandanten gewährt. | HIGH | |
| MFA für privilegierte Rollen nicht erforderlich | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Sicherheitsrelevante Best Practices und Standards empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind. | HIGH | |
| Fehlende MFA für nicht-privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. | MEDIUM |