Tenable Identity Exposure
Active Directory absichern und Angriffspfade beseitigen
Übernehmen Sie die Kontrolle über die Sicherheit von Active Directory (AD) und Entra ID, um Sicherheitslücken zu finden und zu beheben, bevor sie zu geschäftsschädigenden Problemen werden.
Tenable Identity Exposure ist eine schnelle Lösung für Active Directory-Sicherheit ganz ohne Agents. Sie macht es möglich, in Ihrer komplexen AD-Umgebung alles zu sehen, vorherzusagen, was wichtig ist, um Risiken zu reduzieren, und Angriffspfade zu beseitigen, bevor Angreifer sie ausnutzen können.
Demo anfordernKein
Ausweiten von Rechten
Lateral Movement
Nächster Schritt für Angreifer
Sicherheitslücken in Active Directory finden und beheben, bevor es zu Angriffen kommt
Entdecken und priorisieren Sie Expositionen innerhalb von Active Directory mit dem Identity Risk Score von Tenable. Schrittweise Remediation-Anleitungen unterstützen Sie bei der Reduzierung von Identitätsrisiken.
Active Directory-Angriffe in Echtzeit erkennen und abwehren
Erkennen Sie Active Directory-Angriffe wie DCShadow, Brute Force, Password Spraying, DCSync und mehr. Tenable Identity Exposure ergänzt Ihr SIEM, SOC oder SOAR durch Informationen zu Angriffen, damit Sie schnell reagieren und Angriffe aufhalten können.
Erfahrungsberichte von Kunden
Wie das führende Pharmaunternehmen Sanofi seine globalen Active Directory-Infrastrukturen erfolgreich schützt
Fallstudie lesenWie VINCI Energies strenge Sicherheitsparameter für seine sich ständig verändernden Active Directory-Infrastrukturen erzielte
Fallstudie lesenWie kleine Geschäftseinheiten von Lagardère ihre Active Directory-Infrastrukturen mit begrenzten Ressourcen schützen
Fallstudie lesen„Die Tenable-Lösung hat uns Sicherheitsbedenken im Zusammenhang mit Active Directory genommen, sodass wir uns auf die Eingliederung von neuen Unternehmen konzentrieren konnten.“Dominique Tessaro
Verfügbar über die Exposure Management-Plattform Tenable One
Tenable One ist eine Exposure Management-Plattform, mit deren Hilfe Unternehmen Sichtbarkeit auf ihrer gesamten modernen Angriffsoberfläche erzielen, Maßnahmen zur Verhinderung von wahrscheinlichen Angriffen fokussieren und Cyberrisiken präzise kommunizieren können, um eine optimale Unternehmensleistung zu unterstützen. Die Tenable One-Plattform bietet umfassende Schwachstellen-Abdeckung über IT-Assets, Cloud-Ressourcen, Container, Web-Apps und Identitätssysteme hinweg.
Mehr erfahrenAbsicherung von Active Directory
- Aufdecken zugrunde liegender Probleme, die die Sicherheit Ihres Active Directory bedrohen
- Identifizieren gefährlicher Vertrauensstellungen
- Bewerten von Expositionen und Priorisieren der Behebungsmaßnahmen mithilfe des Identity Risk Score
- Erfassen aller Änderungen in Active Directory und Azure AD
- Nachvollziehen der Zusammenhänge zwischen Active Directory-Änderungen und bösartigen Aktivitäten
- Vereinheitlichen der Identitäten in Active Directory und Azure AD
- Visualisieren detaillierter Informationen zu Angriffen
- Erkunden von MITRE ATT&CK-Beschreibungen direkt in den Vorfallsdetails
FAQs
- Aufdecken von verborgenen Schwachstellen innerhalb Ihrer Active Directory-Konfigurationen
- Aufdecken zugrunde liegender Probleme, die die Sicherheit Ihres Active Directory bedrohen
- Aufschlüsseln jeder Fehlkonfiguration – auf einfache Art und Weise
- Die neue Asset Exposure Score-Funktion quantifiziert das Asset-Risiko, indem sie Schwachstellen, Exposure und Identitätsberechtigungen kombiniert (mit der Artificial Intelligence and Data Science Engine von Tenable)
- Bereitstellung empfohlener Lösungen für jedes Problem
- Erstellung benutzerdefinierter Dashboards zur Verwaltung der Active Directory-Sicherheit, um Risiken zu reduzieren
- Ermitteln gefährlicher Vertrauensstellungen
- Neu – Anzeige einheitlicher Identitäten von Active Directory und Azure AD aus
- Erfassen jeder Änderung in Ihrem Active Directory
- Aufdecken größerer Angriffe für jede Domäne in Ihrem Active Directory
- Visualisieren jeder Bedrohung anhand einer genauen Angriffszeitleiste
- Konsolidieren der Angriffsverteilung in einer einzigen Ansicht
- Nachvollziehen der Zusammenhänge zwischen Active Directory-Änderungen und bösartigen Aktivitäten
- Analyse der genauen Details eines Active Directory-Angriffs
- Einsehen von MITRE ATT&CK®-Beschreibungen direkt aus den erkannten Vorfällen
Angriffsvektor |
Beschreibung |
Bekannte Angriffstools |
Mitre Attack Matrix |
Privilegierte Konten, auf denen Kerberos-Dienste ausgeführt werden |
Hochprivilegierte Konten, die einen für Brute-Force-Angriffe anfälligen Kerberos-Dienstprinzipalnamen verwenden |
Kerberom |
Rechteausweitung, Lateral Movement, Persistenz |
Gefährliche Kerberos Delegierung |
Prüfen, dass keine gefährliche Delegierung (unbeschränkt, Protokollübergang, etc.) autorisiert ist |
Nishang |
Rechteausweitung, Lateral Movement, Persistenz |
Verwendung schwacher Kryptographie-Algorithmen in der Active Directory-PKI |
Stammzertifikate, die in der internen Active Directory-PKI eingesetzt werden, dürfen keine schwachen kryptografischen Algorithmen verwenden. |
ANSSI-ADCP |
Persistenz, Rechteausweitung, Lateral Movement |
Gefährliche Delegierung von Zugriffsrechten auf kritischen Objekten |
Es wurden einige Zugriffsrechte gefunden, die es nicht autorisierten Benutzern erlauben, kritische Objekte zu kontrollieren. |
BloodHound |
Exfiltration, Lateral Movement, Command & Control, Zugriff auf Anmeldeinformationen, Rechtausweitung |
Mehrere Probleme in der Passwortrichtlinie |
Bei einigen spezifischen Konten reichen die aktuellen Passwortrichtlinien nicht aus, um einen zuverlässigen Schutz der Anmeldedaten zu gewährleisten. |
Patator |
Umgehung von Abwehrmaßnahmen, Lateral Movement, Zugriff auf Anmeldeinformationen, Rechtausweitung |
Gefährliche RODC-Verwaltungskonten |
Die administrativen Gruppen, die für schreibgeschützte Domänencontroller zuständig sind, enthalten ungewöhnliche Konten |
Impacket |
Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen, Rechtausweitung |
Sensibles GPO ist mit kritischen Objekten verknüpft |
Einige Gruppenrichtlinienobjekte (GPO), die von nicht-administrativen Konten verwaltet werden, sind mit sensiblen Active Directory-Objekten verknüpft (z. B. das KDC-Konto, Domänencontroller, administrative Gruppen usw.) |
ANSSI-ADCP |
Command & Control, Zugriff auf Anmeldeinformationen, Persistenz, Rechtausweitung |
Administratorkonten, die Verbindungen zu anderen Systemen als den Domänencontrollern herstellen dürfen |
Die auf der überwachten Infrastruktur eingesetzten Sicherheitsrichtlinien verhindern nicht, dass sich Administratorkonten mit anderen Ressourcen als Domänencontrollern verbinden, was zur Offenlegung sensibler Anmeldedaten führt. |
CrackMapExec |
Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen |
Gefährliche Vertrauensstellung |
Falsch konfigurierte Vertrauensstellungsattribute verringern die Sicherheit einer Verzeichnisinfrastruktur. |
Kekeo |
Lateral Movement, Zugriff auf Anmeldeinformationen, Rechtausweitung, Umgehung von Abwehrmaßnahmen |
Umkehrbare Passwörter in GPO |
Überprüfen, dass kein GPO Passwörter enthält, die in einem umkehrbaren Format gespeichert sind. |
SMB-Passwort-Crawler |
Zugriff auf Anmeldeinformationen, Rechtausweitung |
Computer, auf denen ein veraltetes Betriebssystem läuft |
Veraltete Systeme werden vom Editor nicht mehr unterstützt und erhöhen die Anfälligkeit der Infrastruktur erheblich. |
Metasploit |
Lateral Movement, Command & Control |
Konten, die eine Zugriffssteuerung verwenden, die mit Systemen vor Windows 2000 kompatibel ist |
Kontomitglied der Prä-Windows 2000-kompatiblen Zugriffsgruppe kann bestimmte Sicherheitsmaßnahmen umgehen |
Impacket |
Lateral Movement, Umgehung von Abwehrmaßnahmen |
Lokale Administratorkonten-Verwaltung |
Sicherstellen, dass lokale Administratorkonten zentral und sicher mit LAPS verwaltet werden |
CrackMapExec |
Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen, Lateral Movement |
Gefährliche Konfiguration für anonyme Benutzer |
Anonymer Zugriff wird auf der überwachten Active Directory-Infrastruktur aktiviert, was zur Offenlegung sensibler Informationen führt |
Impacket |
Exfiltration |
Ungewöhnliche gefilterte RODC-Attribute |
Die auf einigen schreibgeschützten Domänencontrollern angewendeten Filterrichtlinien können dazu führen, dass vertrauliche Informationen zwischengespeichert werden, was eine Ausweitung von Berechtigungen ermöglicht. |
Mimikatz (DCShadow) |
Rechteausweitung, Umgehung von Abwehrmaßnahmen |
Fehlende Einschränkungen für Lateral Movement-Angriffsszenario |
Die Beschränkung von Seitwärtsbewegungen (Lateral Movement) wurde in der überwachten Active Directory-Infrastruktur nicht aktiviert, sodass Angreifer auf derselben Berechtigungsstufe von Rechner zu Rechner wechseln können. |
CrackMapExec |
Lateral Movement |
In DC-Freigaben gespeichertes Klartext-Passwort |
Einige Dateien auf DC-Freigaben, auf die jeder authentifizierte Benutzer zugreifen kann, enthalten vermutlich Klartext-Passwörter, die eine Ausweitung von Berechtigungen ermöglichen. |
SMBSpider |
Zugriff auf Anmeldeinformationen, Umgehung von Abwehrmaßnahmen, Persistenz |
Gefährliche Zugriffskontrollrechte für Anmeldeskripts |
Einige Skripts, die während der Anmeldung eines Computers oder eines Benutzers ausgeführt werden, haben gefährliche Zugriffsrechte, die zu einer Ausweitung der Berechtigungen führen. |
Metasploit |
Lateral Movement, Rechteausweitung, Persistenz |
Gefährliche Parameter werden im GPO verwendet |
Durch Gruppenrichtlinienobjekte (GPO) werden einige gefährliche Parameter (z. B. eingeschränkte Gruppen, LM-Hash-Berechnung, NTLM-Authentifizierungsebene, sensible Parameter usw.) festgelegt, wodurch es zu Sicherheitsverletzungen kommt. |
Responder |
Ausforschung, Zugriff auf Anmeldeinformationen, Codeausführung, Persistenz, Rechteausweitung, Umgehung von Abwehrmaßnahmen |
Gefährliche Parameter, die in der Konfiguration der Benutzerkontensteuerung definiert sind |
Das Benutzerkontensteuerungs-Attribut einiger Benutzerkonten definiert gefährliche Parameter (z. B. PASSWD_NOTREQD oder PARTIAL_SECRETS_ACCOUNT), die die Sicherheit des besagten Kontos gefährden. |
Mimikatz (LSADump) |
Persistenz, Rechteausweitung, Umgehung von Abwehrmaßnahmen |
Fehlende Anwendung von Sicherheitspatches |
Für einige in Active Directory registrierte Server wurden in letzter Zeit keine Sicherheitsupdates installiert. |
Metasploit |
Command & Control, Rechteausweitung, Umgehung von Abwehrmaßnahmen |
Versuch eines Brute-Force-Angriffs aus Benutzerkonten |
Auf einige Benutzerkonten wurde ein Brute-Force-Angriff versucht. |
Patator |
Zugriff auf Anmeldeinformationen |
Kerberos-Konfiguration auf Benutzerkonto |
Einige Konten verwenden eine schwache Kerberos-Konfiguration. |
Mimikatz (Silver Ticket) |
Zugriff auf Anmeldeinformationen, Rechtausweitung |
Ungewöhnliche Freigabe oder Datei auf dem DC gespeichert |
Einige Domänencontroller dienen als Host für nicht benötigte Dateien oder Netzwerkfreigaben. |
SMBSpider |
Ausforschung, Exfiltration |
Backdooring-Methode |
Beschreibung |
Bekannte Angriffstools |
Mitre Attack Matrix |
Sicherstellen der SDProp-Konsistenz |
Kontrollieren, dass das adminSDHolder-Objekt in einem bereinigten Zustand ist |
Mimikatz (Golden Ticket) |
Rechteausweitung, Persistenz |
Sicherstellen der SDProp-Konsistenz |
Überprüfen, dass die primäre Gruppe der Benutzer nicht geändert wurde |
BloodHound |
Rechteausweitung, Persistenz |
Überprüfen der Berechtigungen des Stammdomänen-Objekts |
Sicherstellen, dass die für das Stammdomänen-Objekt festgelegten Berechtigungen in Ordnung sind |
BloodHound |
Rechteausweitung, Persistenz |
Überprüfen von sensiblen GPO-Objekten und Dateiberechtigungen |
Sicherstellen, dass die Berechtigungen für die GPO-Objekte und Dateien, die mit sensiblen Containern (z. B. der Organisationseinheit „Domänencontroller“) verknüpft sind, in Ordnung sind |
BloodHound |
Codeausführung, Rechteausweitung, Persistenz |
Gefährliche Zugriffsrechte auf RODC-KDC-Konto |
Das KDC-Konto, das auf einigen schreibgeschützten Domänencontrollern verwendet wird, kann von einem nicht autorisierten Benutzerkonto kontrolliert werden, was zur Offenlegung von Anmeldeinformationen führt. |
Mimikatz (DCSync) |
Rechteausweitung, Persistenz |
Sensible Zertifikate, die Benutzerkonten zugeordnet sind |
Einige X509-Zertifikate werden im Benutzerkonto-Attribut altSecurityIdentities gespeichert, wodurch sich der Besitzer des privaten Schlüssels des Zertifikats als dieser Benutzer authentifizieren kann. |
Command & Control, Zugriff auf Anmeldeinformationen, Rechteausweitung, Persistenz |
|
Nicht autorisierter Krbtgt SPN auf normalen Konto eingestellt |
Der Dienstprinzipalname des KDC ist auf einem normalen Benutzerkonto vorhanden, was zur Fälschung von Kerberos-Tickets führt. |
Mimikatz (Golden Ticket) |
Rechteausweitung, Persistenz |
Letzte Änderung des KDC-Passworts |
Das Passwort für das KDC-Konto muss regelmäßig geändert werden. |
Mimikatz (Golden Ticket) |
Zugriff auf Anmeldeinformationen, Umgehung von Abwehrmaßnahmen, Persistenz |
Konten mit gefährlichem SID History-Attribut |
Überprüfen von Benutzer- oder Computerkonten mit einer privilegierten SID im SID History-Attribut |
DeathStar |
Rechteausweitung, Persistenz |
Nicht autorisierte Domänencontroller |
Sicherstellen, dass nur legitime Domänencontroller-Server in der Active Directory-Infrastruktur registriert sind |
Mimikatz (DCShadow) |
Codeausführung, Umgehung von Abwehrmaßnahmen, Rechteausweitung, Persistenz |
Unzulässige Zugriffssteuerung für Bitlocker-Schlüssel |
Auf einige der in Active Directory gespeicherten Bitlocker-Wiederherstellungsschlüssel können andere Personen als Administratoren sowie verbundene Computer zugreifen. |
ANSSI-ADCP |
Zugriff auf Anmeldeinformationen, Umgehung von Abwehrmaßnahmen, Persistenz |
Ungewöhnliche Einträge im Schema-Sicherheitsdeskriptor |
Das Active Directory-Schema wurde modifiziert, was neue Standardzugriffsrechte oder Objekte zur Folge hat, die die überwachte Infrastruktur gefährden können. |
BloodHound |
Rechteausweitung, Persistenz |
DSRM-Konto aktiviert |
Das Active Directory-Wiederherstellungskonto wurde aktiviert, wodurch es für den Diebstahl von Anmeldeinformationen anfällig ist. |
Mimikatz (LSADump) |
Zugriff auf Anmeldeinformationen, Codeausführung, Umgehung von Abwehrmaßnahmen, Rechteausweitung, Persistenz |
Authentifizierungs-Hash wurde bei Verwendung einer Smartcard nicht erneuert |
Einige Benutzerkonten, die Smartcard-Authentifizierung verwenden, erneuern den Hash ihrer Anmeldeinformationen nicht häufig genug. |
Mimikatz (LSADump) |
Persistenz |
Umkehrbare Passwörter für Benutzerkonten |
Überprüfen, dass kein Parameter dafür sorgt, dass Kennwörter in einem umkehrbaren Format gespeichert werden |
Mimikatz (DC Sync) |
Zugriff auf Anmeldeinformationen |
Verwendung von explizit verweigertem Zugriff für Container |
Einige Active Directory-Container oder -Organisationseinheiten legen explizit verweigerten Zugriff fest, was dazu führt, dass Backdoors potenziell verborgen werden können. |
BloodHound |
Umgehung von Abwehrmaßnahmen, Persistenz |
Fehlkonfigurationen in AD treten ständig auf, sodass punktuelle Audits bereits nach wenigen Minuten veraltet sind und sich auf Fehlkonfigurationen konzentrieren, anstatt auch Indikatoren für eine Kompromittierung zu berücksichtigen.
Tenable Identity Exposure hingegen ist eine Sicherheitsplattform, die Ihr AD kontinuierlich auf neue Sicherheitslücken und Angriffe scannt und Benutzer in Echtzeit auf Probleme aufmerksam macht.
AD-Sicherheit ist ein wichtiger Aspekt des Sicherheitsgefüges und Tenable Identity Exposure fügt sich nahtlos in Ihr Sicherheitsökosystem ein.
Unsere Syslog-Integration sorgt dafür, dass alle SIEM- und die meisten Ticketing-Systeme direkt mit Tenable Identity Exposure zusammenarbeiten können. Wir verfügen außerdem über native Apps für QRadar, Splunk und Phantom.
Tenable Identity Exposure ist wirklich spektakulär und hilft uns, Angriffe auf Active Directory in Echtzeit zu erkennen und darauf zu reagieren sowie Schwachstellen zu identifizieren und zu beheben, bevor diese ausgenutzt werden können.CISO