Freigeben über

Bewertungen des Sicherheitsstatus von Konten

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit in Anspruch nehmen, bis sie als Abgeschlossen markiert ist.

Identifizieren von Dienstkonten in privilegierten Gruppen

Beschreibung

Listet Active Directory-Dienstkonten in Ihrer Umgebung auf, die Mitglieder privilegierter Gruppen sind, einschließlich direkter und geschachtelter Mitgliedschaften.

Benutzerauswirkungen

Dienstkonten verfügen häufig über langlebige Anmeldeinformationen und werden von Anwendungen, Skripts oder automatisierten Aufgaben verwendet. Wenn diese Konten Mitglieder von Gruppen mit hohen Berechtigungen sind (z. B. Domänenadministratoren oder Unternehmensadministratoren), erhöhen sie die Angriffsfläche der organization. Die Kompromittierung eines dieser Konten kann einem Angreifer umfassenden Administratorzugriff auf kritische Systeme und Daten gewähren. Da Dienstkonten nicht an einen bestimmten Benutzer gebunden sind und häufig keine interaktive Überwachung besteht, können böswillige Aktivitäten, die unter diesen Konten ausgeführt werden, unbemerkt bleiben und die Erkennung und Reaktion verzögern.

Implementierung

  1. Überprüfen Sie die verfügbar gemachten Entitäten, um Active Directory-Dienstkonten zu identifizieren, die Mitglieder privilegierter Gruppen sind, z. B. Domänenadministratoren, Unternehmensadministratoren oder Administratoren.

  2. Entfernen Sie das Konto aus der privilegierten Gruppe, wenn kein erhöhter Zugriff erforderlich ist, oder deaktivieren Sie das Konto, wenn es nicht verwendet wird.

Zum Beispiel:

  • Nicht verwendetes oder außer Betrieb genommenes Dienstkonto:

    • Deaktivieren Sie das Konto in Active Directory, nachdem Sie keine aktuellen Anmeldungen oder Abhängigkeiten bestätigt haben.

    • Überwachen Sie für einen kurzen Zeitraum (7–14 Tage). Wenn sie inaktiv ist, löschen Sie es gemäß Ihrer Richtlinie.

  • Aktives Dienstkonto ohne Notwendigkeit von Administratorrechten:

    • Entfernen Sie sie aus der privilegierten Gruppe, wie sie im Bericht verfügbar gemacht wird.

    • Gewähren Sie nur den minimal erforderlichen Zugriff über delegierte Berechtigungen oder bereichsbezogene Sicherheitsgruppen.

  • Ersetzen von Legacykonten:

    • Migrieren Sie Dienstkonten zu gruppenverwalteten Dienstkonten (Group Managed Service Accounts, gMSA), um eine automatische Kennwortrotation und eine geringere Offenlegung von Anmeldeinformationen zu ermöglichen.

  • Konten, die privilegiert bleiben müssen

    • Schränken Sie mithilfe der Eigenschaft Anmelden bei ein, wo sie sich anmelden können.

    • Schränken Sie interaktive Anmeldungen über Gruppenrichtlinie ein, und aktivieren Sie die gezielte Überwachung ihrer Aktivitäten.

    • Erfordern des Besitzes, der Dokumentation und der regelmäßigen Überprüfung der privilegierten Mitgliedschaft.

Suchen von Konten in integrierten Operatorgruppen

Beschreibung

Listet Active Directory-Konten (Benutzer, Dienstkonten und Gruppen) auf, die Mitglieder integrierter Operatorgruppen sind, z. B. Serveroperatoren, Sicherungsoperatoren, Druckoperatoren oder Kontooperatoren, einschließlich direkter und indirekter Mitgliedschaften. Diese Gruppen gewähren erhöhte Berechtigungen, die zum Kompromittieren von Domänencontrollern oder sensiblen Servern verwendet werden können.

Benutzerauswirkungen

Operatorgruppen bieten eine umfassende Kontrolle über Server, Dateien und Systemvorgänge. Mitglieder dieser Gruppen können administrative Aktionen ausführen, z. B. das Beenden wichtiger Dienste, das Ändern von Dateien oder das Wiederherstellen von Daten, die ausgenutzt werden können, um Berechtigungen zu eskalieren oder Persistenz zu erlangen. Da diese Gruppen in modernen Umgebungen selten benötigt werden, erhöht das Belassen von Konten unnötigerweise das Risiko von Rechtemissbrauch oder Lateral Movement.

Implementierung

  1. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um zu ermitteln, welche Ihrer AD-Konten Mitglieder einer der integrierten Operatorgruppen sind (z. B. Serveroperatoren, Sicherungsoperatoren, Druckoperatoren und Kontooperatoren).

  2. Entfernen Sie das Konto aus der Operatorgruppe, wenn kein erhöhter Zugriff erforderlich ist, oder deaktivieren Sie das Konto, wenn es nicht verwendet wird.

Zum Beispiel:

  • Entfernen Sie die Mitgliedschaft, oder deaktivieren Sie das Dienst- oder Administratorkonto, das Sicherungsoperatoren für einen Legacysicherungsprozess hinzugefügt wurde, der nicht mehr ausgeführt wird.

  • Wenn ein Konto weiterhin operative Aufgaben ausführt, aber keine breiten Operatorrechte erfordert, delegieren Sie nur die spezifischen Berechtigungen, die es benötigt (z. B. Dateiwiederherstellung oder Druckverwaltung auf einem einzelnen Server).

  • Wenn die Mitgliedschaft in einer Operatorgruppe für eine bestimmte Verwaltungsfunktion wichtig ist, überwachen Sie das Konto, beschränken Sie es auf erforderliche Hosts, und überprüfen Sie es regelmäßig, um die laufende Notwendigkeit zu bestätigen.

Konten mit nicht standardmäßiger primärer Gruppen-ID

Beschreibung

Diese Empfehlung listet alle Computer und Benutzerkonten auf, deren PGID-Attribut (primaryGroupId) nicht die Standardeinstellung für Domänenbenutzer und Computer in Active Directory ist.

Benutzerauswirkungen

Das primaryGroupId-Attribut eines Benutzer- oder Computerkontos gewährt einer Gruppe implizite Mitgliedschaft. Die Mitgliedschaft über dieses Attribut wird in einigen Schnittstellen nicht in der Liste der Gruppenmitglieder angezeigt. Dieses Attribut kann als Versuch verwendet werden, die Gruppenmitgliedschaft auszublenden. Es kann eine heimliche Möglichkeit für einen Angreifer sein, Berechtigungen zu eskalieren, ohne die normale Überwachung für Gruppenmitgliedschaftsänderungen auszulösen. 

Implementierung

  1. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um zu ermitteln, welches Ihrer Konten über eine verdächtige primaryGroupId verfügt.  

  2. Ergreifen Sie geeignete Maßnahmen für diese Konten, indem Sie deren Attribut auf ihre Standardwerte zurücksetzen oder das Mitglied der relevanten Gruppe hinzufügen:

  • Benutzerkonten: 513 (Domänenbenutzer) oder 514 (Domänengäste);

  • Computerkonten: 515 (Domänencomputer);

  • Domänencontrollerkonten: 516 (Domänencontroller);

  • RodC-Konten (Read-only Domänencontroller): 521 (Schreibgeschützte Domänencontroller).

Entfernen von Zugriffsrechten für verdächtige Konten mit der Berechtigung Admin SDHolder

Beschreibung

Nicht vertrauliche Konten mit Admin SDHolder-Berechtigungen (Inhaber von Sicherheitsbeschreibungen) können erhebliche Auswirkungen auf die Sicherheit haben, einschließlich:

  • Dies führt zu einer nicht autorisierten Rechteausweitung, bei der Angreifer diese Konten ausnutzen können, um Administratorzugriff zu erhalten und vertrauliche Systeme oder Daten zu kompromittieren
  • Erhöhen der Angriffsfläche, wodurch es schwieriger wird, Sicherheitsvorfälle nachzuverfolgen und zu mindern, wodurch die organization möglicherweise größeren Risiken ausgesetzt werden.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actionsfür Entfernen von Zugriffsrechten für verdächtige Konten mit der berechtigung Admin SDHolder.

    Zum Beispiel:

    Screenshot der Admin SDHolder-Sicherheitsbewertung.

  2. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um zu ermitteln, welche Ihrer nicht sensiblen Konten über die berechtigung Admin SDHolder verfügen.

  3. Ergreifen Sie geeignete Maßnahmen für diese Entitäten, indem Sie ihre privilegierten Zugriffsrechte entfernen. Zum Beispiel:

    1. Verwenden Sie das ADSI-Bearbeitungstool , um eine Verbindung mit Ihrem Domänencontroller herzustellen.
    2. Navigieren Sie zum Container CN=System>CN=AdminSDHolder , und öffnen Sie die Containereigenschaften CN=AdminSDHolder .
    3. Wählen Sie die Registerkarte >SicherheitErweitert aus, und entfernen Sie alle nicht vertraulichen Entitäten. Dies sind die Entitäten, die in der Sicherheitsbewertung als verfügbar gemacht gekennzeichnet sind.

    Weitere Informationen finden Sie in der Dokumentation zum Bearbeiten von Active Directory-Dienstschnittstellen und ADSI .

Um die vollständige Bewertung zu erzielen, korrigieren Sie alle verfügbar gemachten Entitäten.

Ändern des Kennworts für das krbtgt-Konto

Beschreibung

Diese Empfehlung listet alle krbtgt-Konten in Ihrer Umgebung auf, deren Kennwort zuletzt vor mehr als 180 Tagen festgelegt wurde.

Benutzerauswirkungen

Das krbtgt-Konto in Active Directory ist ein integriertes Konto, das vom Kerberos-Authentifizierungsdienst verwendet wird. Es verschlüsselt und signiert alle Kerberos-Tickets, wodurch eine sichere Authentifizierung innerhalb der Domäne ermöglicht wird. Das Konto kann nicht gelöscht werden, und es ist von entscheidender Bedeutung, da eine Kompromittierung es Angreifern ermöglichen könnte, Authentifizierungstickets zu erstellen.
Wenn das Kennwort des KRBTGT-Kontos kompromittiert wird, kann ein Angreifer seinen Hash verwenden, um gültige Kerberos-Authentifizierungstickets zu generieren, sodass er Golden Ticket-Angriffe ausführen und Zugriff auf jede Ressource in der AD-Domäne erhalten kann. Da Kerberos auf das KRBTGT-Kennwort angewiesen ist, um alle Tickets zu signieren, ist eine sorgfältige Überwachung und regelmäßiges Ändern dieses Kennworts unerlässlich, um das Risiko solcher Angriffe zu verringern.

Implementierung

  1. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um herauszufinden, welches Ihrer krbtgt-Konten über ein altes Kennwort verfügt.

  2. Ergreifen Sie geeignete Maßnahmen für diese Konten, indem Sie ihr Kennwort zweimal zurücksetzen, um den Golden Ticket-Angriff für ungültig zu erklären. 

Hinweis

Das krbtgt-Kerberos-Konto in allen Active Directory-Domänen unterstützt die Schlüsselspeicherung in allen Kerberos-Schlüsselverteilungscentern (KDCs). Um die Kerberos-Schlüssel für die TGT-Verschlüsselung zu erneuern, ändern Sie in regelmäßigen Abständen das Krbtgt-Kontokennwort .

Es wird empfohlen, das Kennwort zweimal zurückzusetzen und zwischen den Zurücksetzungen mindestens 10 Stunden zu warten. Bei diesem Prozess werden vorhandene Kerberos-Tickets für ungültig erklärt, um Golden Ticket-Angriffe zu verhindern.

Informationen zum offiziellen und unterstützten Verfahren finden Sie unter Zurücksetzen des krbtgt-Kennworts.

Ändern des Kennworts für ein lokales Konto mit potenziell kompromittierten Anmeldeinformationen (Vorschau)

Beschreibung

Dieser Bericht listet Benutzer auf, deren gültige Anmeldeinformationen kompromittiert wurden. Wenn Cyberkriminelle gültige Kennwörter legitimer Benutzer kompromittieren, teilen die Kriminellen diese Anmeldeinformationen häufig mit. Dies geschieht, indem sie öffentlich im dunklen Web veröffentlicht oder Websites eingefügt werden oder indem die Anmeldeinformationen auf dem Schwarzmarkt gehandelt oder verkauft werden. Der Microsoft-Dienst für kompromittierte Anmeldeinformationen erwirbt Benutzernamen-Kennwort-Paare durch Überwachung öffentlicher und dunkler Websites und durch Die Zusammenarbeit mit Teams der Strafverfolgungsbehörden von Microsoft bei Anderen vertrauenswürdigen Quellen.

Benutzerauswirkungen

Wenn der Dienst Benutzeranmeldeinformationen aus dem dunklen Web abruft, fügen Sie Websites oder die oben genannten Quellen ein, ein Konto mit kompromittierten Anmeldeinformationen kann von böswilligen Akteuren ausgenutzt werden, um nicht autorisierten Zugriff zu erhalten.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions für Kennwort für Konten mit potenziell kompromittierten Anmeldeinformationen ändern.
  2. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um zu ermitteln, welche Ihrer Kontokennwörter kompromittiert wurden.
  3. Ergreifen Sie geeignete Aktionen für diese Entitäten, indem Sie das Dienstkonto entfernen:
    1. Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole (ADUC), und melden Sie sich mit einem Administratorkonto an.
    2. Navigieren Sie zu der Organisationseinheit (OE), in der sich das Benutzerkonto befindet.
    3. Suchen Sie das Benutzerkonto, für das eine Kennwortänderung erforderlich ist, und wählen Sie es aus.
    4. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, wählen Sie Kennwort zurücksetzen aus, geben Sie das neue Kennwort ein, und bestätigen Sie es.

Ändern des Kennworts des integrierten Domänenadministratorkontos

Beschreibung

Diese Empfehlung listet alle integrierten Domänenadministratorkonten in Ihrer Umgebung auf, deren Kennwort zuletzt vor mehr als 180 Tagen festgelegt wurde. 

Benutzerauswirkungen

Das integrierte Domänenadministratorkonto ist ein AD-Standardkonto mit hohen Berechtigungen mit vollständiger Kontrolle über die Domäne. Sie kann nicht gelöscht werden, hat uneingeschränkten Zugriff und ist für die Verwaltung der Ressourcen der Domäne von entscheidender Bedeutung.

Die regelmäßige Aktualisierung des Kennworts des integrierten Administratorkontos ist aufgrund seiner hohen Berechtigungen unerlässlich, die es zu einem hauptanfälligen Ziel für Angreifer machen. Wenn es kompromittiert wird, kann es nicht autorisierte Kontrolle über die Domäne gewähren. Da dieses Konto häufig nicht verwendet wird und das Kennwort möglicherweise nicht häufig aktualisiert wird, verringern regelmäßige Änderungen die Gefährdung und erhöhen die Sicherheit. 

Implementierung

  1. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um herauszufinden, welche Ihrer integrierten Domänenadministratorkonten über ein altes Kennwort verfügen.  

  2. Ergreifen Sie geeignete Maßnahmen für diese Konten, indem Sie ihr Kennwort zurücksetzen.  

    Zum Beispiel:

Screenshot: Bewertung des Sicherheitsstatus für Kennwort ändern für integrierte Domänenadministratorkonten

Ruhende Entitäten in sensiblen Gruppen

Beschreibung

Microsoft Defender for Identity ermittelt, ob bestimmte Benutzer vertraulich sind, und stellt Attribute bereit, die angezeigt werden, wenn sie inaktiv, deaktiviert oder abgelaufen sind.

Sensible Konten können jedoch auch ruhen, wenn sie für einen Zeitraum von 180 Tagen nicht verwendet werden. Ruhende sensible Entitäten sind Ziele der Möglichkeit für böswillige Akteure, sensiblen Zugriff auf Ihre organization zu erhalten.

Weitere Informationen finden Sie unter Defender for Identity-Entitätstags in Microsoft Defender XDR.

Benutzerauswirkungen

Organisationen, die ihre ruhenden Benutzerkonten nicht schützen können, verlassen die Tür zu ihren vertraulichen Daten.

Böswillige Akteure, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Ein einfacher und ruhiger Weg tief in Ihre organization ist durch sensible Benutzer- und Dienstkonten, die nicht mehr verwendet werden.

Es spielt keine Rolle, ob die Ursache die Mitarbeiterfluktuation oder das Fehlmanagement von Ressourcen ist – das Überspringen dieses Schritts macht die sensibelsten Entitäten Ihrer organization anfällig und verfügbar.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer vertraulichen Konten ruhen.

    Screenshot: Verbesserungsaktionen zum Entfernen ruhender Konten aus sensiblen Gruppen

  2. Ergreifen Sie geeignete Maßnahmen für diese Benutzerkonten, indem Sie ihre privilegierten Zugriffsrechte entfernen oder das Konto löschen.

Entfernen von Nicht-Administratorkonten mit DCSync-Berechtigungen

Beschreibung

Konten mit der DCSync-Berechtigung können die Domänenreplikation initiieren. Angreifer können die Domänenreplikation potenziell ausnutzen, um nicht autorisierten Zugriff zu erhalten, Domänendaten zu manipulieren oder die Integrität und Verfügbarkeit Ihrer Active Directory-Umgebung zu gefährden.

Es ist wichtig, die Mitgliedschaft dieser Gruppe sorgfältig zu verwalten und einzuschränken, um die Sicherheit und Integrität Ihres Domänenreplikationsprozesses sicherzustellen.

Implementierung

  1. Lesen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actionsentfernen von Nicht-Administratorkonten mit DCSync-Berechtigungen.

    Screenshot: Empfohlene Aktion zum Entfernen von Nicht-Administratorkonten mit DCsync-Berechtigungen

  2. Überprüfen Sie diese Liste der verfügbar gemachten Entitäten, um herauszufinden, welche Ihrer Konten über DCSync-Berechtigungen verfügen und auch Nichtdomänenadministratoren sind.

  3. Ergreifen Sie geeignete Maßnahmen für diese Entitäten, indem Sie ihre privilegierten Zugriffsrechte entfernen.

Um die maximale Bewertung zu erzielen, korrigieren Sie alle verfügbar gemachten Entitäten.

Sie können auf Active Directory-Benutzer und -Computer zugreifen, indem Sie sich bei Ihrem Domänencontroller anmelden. So entfernen Sie DCSync-Berechtigungen von einem Konto ohne Administratorrechte:

  1. Öffnen Sie "Active Directory-Benutzer und -Computer".

  2. Aktivieren Sie Erweiterte Features. Dies ist erforderlich, um die Registerkarte Sicherheit für Domänenobjekte anzuzeigen.

  3. Öffnen Sie Domäneneigenschaften, wählen Sie Ihren Domänennamen (z. B. contoso.local) und dann Eigenschaften aus.

  4. Klicken Sie auf die Registerkarte Sicherheit.

  5. Wählen Sie den Zielbenutzer oder die Zielgruppe aus, und wählen Sie dann den Nicht-Administratorbenutzer oder das Dienstkonto aus, das nicht über diese Berechtigungen verfügen sollte.

  6. Deaktivieren Sie replikationsberechtigungen. Scrollen Sie durch die Liste "Berechtigungen für [Benutzer]" und deaktivieren Sie die folgenden Berechtigungen, wenn sie ausgewählt sind:

    • Replizieren von Verzeichnisänderungen
    • Alle Verzeichnisänderungen replizieren

  7. Klicken Sie auf Apply (Anwenden) und dann auf OK.

Sicherstellen, dass privilegierte Konten nicht delegiert werden

Beschreibung

Diese Empfehlung listet alle privilegierten Konten auf, für die die Einstellung "nicht delegiert" aktiviert ist, und hebt diejenigen hervor, die potenziell durch delegierungsbedingte Risiken ausgesetzt sind. Privilegierte Konten sind Konten, die Mitglieder einer privilegierten Gruppe sind, z. B. Domänenadministratoren, Schemaadministratoren usw. 

Benutzerauswirkungen

Wenn das sensible Flag deaktiviert ist, können Angreifer die Kerberos-Delegierung ausnutzen, um Anmeldeinformationen für privilegierte Konten zu missbrauchen, was zu nicht autorisiertem Zugriff, Lateral Movement und potenziellen netzwerkweiten Sicherheitsverletzungen führt. Das Festlegen des sensiblen Flags für privilegierte Benutzerkonten verhindert, dass Benutzer Zugriff auf das Konto erhalten und Systemeinstellungen bearbeiten können.
Bei Gerätekonten ist es wichtig, sie auf "nicht delegiert" festzulegen, um zu verhindern, dass sie in einem Delegierungsszenario verwendet werden, und sicherstellen, dass Anmeldeinformationen auf diesem Computer nicht für den Zugriff auf andere Dienste weitergeleitet werden können.

Implementierung

  1. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um zu ermitteln, welche Ihrer privilegierten Konten nicht über das Konfigurationsflag "Dieses Konto ist vertraulich und kann nicht delegiert werden" verfügen.

  2. Ergreifen Sie geeignete Maßnahmen für diese Konten:

  • Für Benutzerkonten: Durch Festlegen der Kontrollflags des Kontos auf "Dieses Konto ist vertraulich und kann nicht delegiert werden". Aktivieren Sie auf der Registerkarte Konto im Abschnitt Kontooptionen das Kontrollkästchen für dieses Flag. Dadurch wird verhindert, dass Benutzer Zugriff auf das Konto erhalten und Systemeinstellungen bearbeiten.  

    Screenshot des Benutzerprofils.

  • Für Gerätekonten:
    Der sicherste Ansatz besteht darin, ein PowerShell-Skript zum Konfigurieren des Geräts zu verwenden, um zu verhindern, dass es in einem Delegierungsszenario verwendet wird, um sicherzustellen, dass Anmeldeinformationen auf diesem Computer nicht für den Zugriff auf andere Dienste weitergeleitet werden können.

    $name = "ComputerA" 
Get-ADComputer -Identity $name |
Set-ADAccountControl -AccountNotDelegated:$true

    Eine weitere Möglichkeit besteht darin, das UserAccountControl Attribut NOT_DELEGATED = 0x100000 auf auf der Registerkarte Attribut-Editor für das verfügbar gemachte Gerät festzulegen.

    Zum Beispiel:

    Screenshot des Geräteprofils.

Entitäten, die Anmeldeinformationen in Klartext verfügbar geben

Beschreibung

Diese Sicherheitsbewertung überwacht Ihren Datenverkehr für alle Entitäten, die Anmeldeinformationen in Klartext verfügbar machen, und warnt Sie über die aktuellen Gefährdungsrisiken (die am stärksten betroffenen Entitäten) in Ihrem organization mit vorgeschlagenen Korrekturen.

Benutzerauswirkungen

Entitäten, die Anmeldeinformationen in Klartext verfügbar geben, sind nicht nur für die betreffende verfügbar gemachte Entität riskant, sondern auch für Ihre gesamte organization.

Das erhöhte Risiko besteht darin, dass unsicherer Datenverkehr wie LDAP simple-bind sehr anfällig für abfangende Angriffe durch Angreifer in der Mitte ist. Diese Arten von Angriffen führen zu schädlichen Aktivitäten, einschließlich der Offenlegung von Anmeldeinformationen, bei denen ein Angreifer Anmeldeinformationen für böswillige Zwecke nutzen kann.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions.

    Verhindern Sie die Offenlegung von Klartextanmeldeinformationen.

    Überprüfen Sie die am häufigsten betroffenen Entitäten, und erstellen Sie einen Aktionsplan.

  2. Untersuchen Sie, warum diese Entitäten LDAP in Klartext verwenden.

  3. Beheben Sie die Probleme, und beenden Sie die Offenlegung.

  4. Nachdem Sie die Korrektur bestätigt haben, wird empfohlen, die LDAP-Signatur auf Domänencontrollerebene zu benötigen. Weitere Informationen zur Signierung von LDAP-Servern finden Sie unter Signierungsanforderungen für ldap-Server für Domänencontroller.

Hinweis

Diese Bewertung wird nahezu in Echtzeit aktualisiert. In den Berichten werden die betroffenen Entitäten der letzten 30 Tage angezeigt. Danach werden entitäten, die nicht mehr betroffen sind, aus der Liste der verfügbar gemachten Entitäten entfernt.

Microsoft LAPS-Nutzung

Beschreibung

Microsofts "Lösung für lokale Administratorkennwörter" (LAPS) bietet die Verwaltung von Kennwörtern für lokale Administratorkonten für computer, die in die Domäne eingebunden sind. Kennwörter werden zufällig festgelegt und in Active Directory (AD) gespeichert, geschützt durch ACLs, sodass nur berechtigte Benutzer sie lesen oder die Zurücksetzung anfordern können.

Diese Sicherheitsbewertung unterstützt Ältere Microsoft LAPS und Windows LAPS.

Benutzerauswirkungen

LAPS bietet eine Lösung für das Problem der Verwendung eines gemeinsamen lokalen Kontos mit einem identischen Kennwort auf jedem Computer in einer Domäne. LAPS behebt dieses Problem, indem ein anderes, rotiertes zufälliges Kennwort für das allgemeine lokale Administratorkonto auf jedem Computer in der Domäne festgelegt wird.

LAPS vereinfacht die Kennwortverwaltung und hilft Kunden dabei, weitere empfohlene Schutzmaßnahmen gegen Cyberangriffe zu implementieren. Insbesondere verringert die Lösung das Risiko einer lateralen Eskalation, die entsteht, wenn Kunden die gleiche Kombination aus lokalem Administratorkonto und Kennwort auf ihren Computern verwenden. LAPS speichert das Kennwort für das lokale Administratorkonto jedes Computers in AD, das in einem vertraulichen Attribut im entsprechenden AD-Objekt des Computers geschützt ist. Der Computer kann seine eigenen Kennwortdaten in AD aktualisieren, und Domänenadministratoren können autorisierten Benutzern oder Gruppen, z. B. Helpdeskadministratoren der Arbeitsstation, Lesezugriff gewähren.

Hinweis

In einigen Fällen werden Microsoft Entra hybrid eingebundene Computer möglicherweise weiterhin in der Sicherheitsstatusbewertung angezeigt, auch wenn LAPS in Microsoft Entra ID konfiguriert ist. Dies kann darauf zurückzuführen sein, wie die Richtlinie angewendet wird oder wie das Gerät seinen Zustand meldet. In diesem Fall wird empfohlen, die LAPS-Konfiguration in Microsoft Entra ID zu überprüfen, um sicherzustellen, dass alles wie erwartet eingerichtet ist. Weitere Informationen finden Sie hier.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer Domänen über einige (oder alle) kompatiblen Windows-Geräte verfügen, die nicht durch LAPS geschützt sind oder bei denen das von LAPS verwaltete Kennwort in den letzten 60 Tagen nicht geändert wurde.

    Screenshot, der zeigt, in welchen Domänen Geräte nicht durch LAPS geschützt sind.

  2. Wählen Sie für Domänen, die teilweise geschützt sind, die relevante Zeile aus, um die Liste der Geräte anzuzeigen, die nicht durch LAPS in dieser Domäne geschützt sind.

    Screenshot: Liste der Geräte, die nicht durch LAPS in einer ausgewählten Domäne geschützt sind

  3. Ergreifen Sie geeignete Maßnahmen auf diesen Geräten, indem Sie Microsoft LAPS oder Windows LAPS herunterladen, installieren und konfigurieren oder eine Problembehandlung durchführen.

    Screenshot: Korrekturschritte für Geräte, die von LAPS nicht geschützt sind

Entfernen von auffindbaren Kennwörtern in Active Directory-Kontoattributen (Vorschau)

Beschreibung

Bestimmte Freitextattribute werden beim Härten häufig übersehen, sind aber für jeden authentifizierten Benutzer in der Domäne lesbar. Wenn Anmeldeinformationen oder Hinweise versehentlich in diesen Attributen gespeichert werden, können Angreifer sie missbrauchen, um sich seitlich in der Umgebung zu bewegen oder Berechtigungen zu eskalieren.

Angreifer suchen nach reibungsarmen Pfaden, um den Zugriff zu erweitern. Verfügbar gemachte Kennwörter in diesen Attributen stellen aus folgenden Gründen einen einfachen Gewinn dar:

  • Die Attribute sind nicht auf zugriffseinschränkt.

  • Sie werden standardmäßig nicht überwacht.

  • Sie stellen Kontext-Angreifer bereit, die für laterale Bewegungen und Rechteausweitung ausnutzen können.

Das Entfernen verfügbar gemachter Anmeldeinformationen aus diesen Attributen verringert das Risiko einer Identitätsgefährdung und stärkt den Sicherheitsstatus Ihrer organization.

Hinweis

Ergebnisse können falsch positive Ergebnisse enthalten. Überprüfen Sie die Ergebnisse immer, bevor Sie Maßnahmen ergreifen.

Microsoft Defender for Identity erkennt eine potenzielle Offenlegung von Anmeldeinformationen in Active Directory, indem häufig verwendete Freitextattribute analysiert werden. Dies umfasst die Suche nach gängigen Kennwortformaten, Hinweisen, 'description''info'Feldern und 'adminComment' anderen kontextbezogenen Hinweisen, die auf den Missbrauch von Anmeldeinformationen hindeuten könnten. Diese Empfehlung verwendet genAI-gestützte Analysen von Active Directory-Attributen, um Folgendes zu erkennen:

  • Klartextkennwörter oder -variationen. Beispiel:Password=Summer2025!'

  • Anmeldeinformationsmuster, Zurücksetzungshinweise oder vertrauliche Kontoinformationen.

  • Andere Indikatoren, die auf betrieblichen Missbrauch von Verzeichnisfeldern hindeuten.

Erkannte Übereinstimmungen werden in der Sicherheitsbewertung und im Bericht zur Sicherheitsbewertung zur Überprüfung und Korrektur angezeigt.

Implementierung

Führen Sie die folgenden Schritte aus, um diese Sicherheitsbewertung zu behandeln:

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions für Entfernen von auffindbaren Kennwörtern in Active Directory-Kontoattributen.

  2. Überprüfen Sie die verfügbar gemachten Einträge im Sicherheitsbericht. Identifizieren Sie alle Feldinhalte, die Folgendes enthalten:

    • Klartextkennwörter

    • Anweisungen zum Zurücksetzen oder Hinweise zu Anmeldeinformationen

    • Vertrauliche Geschäfts- oder Systeminformationen

  3. Entfernen Sie vertrauliche Informationen aus den aufgeführten Attributfeldern mithilfe von Standard-Verzeichnisverwaltungstools (z. B. PowerShell oder ADSI-Bearbeitung).

  4. Entfernen Sie die vertraulichen Informationen vollständig. Masken Sie nicht nur den Wert. Eine teilweise Verschleierung (z. B. P@ssw***) kann Angreifern dennoch nützliche Hinweise bieten.

Entfernen veralteter Dienstkonten (Vorschau)

Beschreibung

Diese Empfehlung listet Active Directory-Dienstkonten auf, die innerhalb der letzten 90 Tage als veraltet erkannt wurden.

Benutzerauswirkungen

Nicht verwendete Dienstkonten stellen erhebliche Sicherheitsrisiken dar, da einige von ihnen erhöhte Berechtigungen besitzen können. Wenn Angreifer Zugriff erhalten, kann dies zu einem erheblichen Schaden führen. Veraltete Dienstkonten behalten möglicherweise hohe oder ältere Berechtigungen. Wenn sie kompromittiert werden, bieten sie Angreifern diskrete Einstiegspunkte in kritische Systeme und gewähren weit mehr Zugriff als ein Standardbenutzerkonto.

Diese Exposition birgt mehrere Risiken:

  • Nicht autorisierter Zugriff auf vertrauliche Anwendungen und Daten.

  • Seitliche Bewegung über das Netzwerk ohne Erkennung.

Implementierung

Führen Sie die folgenden Schritte aus, um diese Sicherheitsbewertung effektiv zu nutzen:

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions  für Veraltetes Dienstkonto entfernen.

  2. Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um herauszufinden, welche Ihrer Dienstkonten veraltet sind und in den letzten 90 Tagen keine Anmeldeaktivitäten ausgeführt haben.

  3. Ergreifen Sie geeignete Aktionen für diese Entitäten, indem Sie das Dienstkonto entfernen. Zum Beispiel:

    • Deaktivieren Sie das Konto: Verhindern Sie die Verwendung, indem Sie das als verfügbar gemacht identifizierte Konto deaktivieren.

    • Überwachen auf Auswirkungen: Warten Sie mehrere Wochen, und überwachen Sie betriebsbezogene Probleme, z. B. Dienstunterbrechungen oder Fehler.

    • Löschen Sie das Konto: Wenn keine Probleme auftreten, löschen Sie das Konto, und entfernen Sie den Zugriff vollständig.

Riskanteste Lateral Movement-Pfade (LMP)

Beschreibung

Microsoft Defender for Identity ihre Umgebung kontinuierlich überwachen, um vertrauliche Konten mit den riskantesten Lateral Movement-Pfaden zu identifizieren, die ein Sicherheitsrisiko darstellen, und berichte über diese Konten, um Sie bei der Verwaltung Ihrer Umgebung zu unterstützen. Pfade gelten als riskant, wenn sie über drei oder mehr nicht sensible Konten verfügen, die das sensible Konto dem Diebstahl von Anmeldeinformationen durch böswillige Akteure aussetzen können.

Weitere Informationen zu Lateral Movement-Pfaden finden Sie unter:

Benutzerauswirkungen

Organisationen, die ihre sensiblen Konten nicht schützen können, lassen die Tür für böswillige Akteure frei.

Böswillige Akteure, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Sensible Konten mit riskanten Lateral Movement-Pfaden sind Fenster mit Chancen für Angreifer und können Risiken aufdecken.

Beispielsweise sind die risikoreichsten Pfade für Angreifer leichter sichtbar und können einem Angreifer im Falle einer Kompromittierung Zugriff auf die vertraulichsten Entitäten Ihrer organization gewähren.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer vertraulichen Konten riskante LMPs aufweisen.

    Screenshot, der die betroffenen Entitäten und die Aktionen zeigt, die ausgeführt werden müssen, um das Risiko von Lateral Movement-Pfaden für sensible Entitäten zu verringern.

  2. Ergreifen Sie geeignete Maßnahmen:

    • Entfernen Sie die Entität aus der Gruppe, wie in der Empfehlung angegeben.
    • Entfernen Sie die lokalen Administratorberechtigungen für die Entität von dem in der Empfehlung angegebenen Gerät.

Unsichere Kerberos-Delegierung

Beschreibung

Die Kerberos-Delegierung ist eine Delegierungseinstellung, mit der Anwendungen Anmeldeinformationen für den Endbenutzerzugriff anfordern können, um im Namen des ursprünglichen Benutzers auf Ressourcen zuzugreifen.

Benutzerauswirkungen

Die unsichere Kerberos-Delegierung bietet einer Entität die Möglichkeit, Ihre Identität für einen anderen ausgewählten Dienst anzugeben. Angenommen, Sie verfügen über eine IIS-Website, und das Anwendungspoolkonto ist mit uneingeschränkter Delegierung konfiguriert. Auf der IIS-Website ist auch die Windows-Authentifizierung aktiviert, sodass die native Kerberos-Authentifizierung möglich ist, und der Standort verwendet eine Back-End-SQL Server für Geschäftsdaten. Mit Ihrem Domänen-Admin-Konto navigieren Sie zur IIS-Website und authentifizieren sich bei dieser. Die Website, die die uneingeschränkte Delegierung verwendet, kann ein Dienstticket von einem Domänencontroller zum SQL-Dienst abrufen und dies in Ihrem Namen tun.

Das Hauptproblem bei der Kerberos-Delegierung besteht darin, dass Sie der Anwendung vertrauen müssen, um immer das Richtige zu tun. Böswillige Akteure können stattdessen die Anwendung zwingen, das Falsche zu tun. Wenn Sie als Domänenadministrator angemeldet sind, kann die Website ein Ticket für alle anderen Dienste erstellen, die sie als Domänenadministrator verwenden möchte. Beispielsweise kann der Standort einen Domänencontroller auswählen und Änderungen an der Unternehmensadministratorgruppe vornehmen. Ebenso könnte die Website den Hash des KRBTGT-Kontos abrufen oder eine interessante Datei aus Ihrer Personalabteilung herunterladen. Das Risiko ist klar und die Möglichkeiten mit unsicherer Delegierung sind schier endlos.

Im Folgenden finden Sie eine Beschreibung des Risikos, das von verschiedenen Delegierungstypen ausgeht:

  • Uneingeschränkte Delegierung: Jeder Dienst kann missbraucht werden, wenn einer seiner Delegierungseinträge vertraulich ist.
  • Eingeschränkte Delegierung: Eingeschränkte Entitäten können missbraucht werden, wenn einer ihrer Delegierungseinträge vertraulich ist.
  • Ressourcenbasierte eingeschränkte Delegierung (Resource-Based Constrained Delegation, RBCD): Ressourcenbasierte eingeschränkte Entitäten können missbraucht werden, wenn die Entität selbst vertraulich ist.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer Nicht-Domänencontrollerentitäten für die unsichere Kerberos-Delegierung konfiguriert sind.

    Screenshot: Sicherheitsbewertung der unsicheren Kerberos-Delegierung

  2. Ergreifen Sie geeignete Maßnahmen für die gefährdeten Benutzer, z. B. entfernen Sie ihr uneingeschränktes Attribut oder ändern Sie es in eine sicherere eingeschränkte Delegierung.

  3. Verwenden Sie die für Ihren Delegierungstyp geeignete Korrektur.

  4. Deaktivieren Sie die Delegierung, oder verwenden Sie einen der folgenden KCD-Typen (Eingeschränkte Kerberos-Delegierung):

Uneingeschränkte Delegierung

  1. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen aus. Screenshot, der die Option zeigt, diesem Computer nur für die Delegierung an angegebene Dienste zu vertrauen.

  2. Geben Sie die Dienste an, für die dieses Konto delegierte Anmeldeinformationen präsentieren kann.

Eingeschränkte Delegierung

Schränkt ein, welche Dienste dieses Konto annehmen kann.

  1. Überprüfen Sie die in den Empfehlungen aufgeführten vertraulichen Benutzer, und entfernen Sie sie aus den Diensten, für die das betroffene Konto delegierte Anmeldeinformationen präsentieren kann.

    Screenshot: Liste der verfügbar gemachten Entitäten mit der Empfehlung, die unsichere Kerberos-Delegierung zu ändern, um einen Identitätswechsel zu verhindern.

Ressourcenbasierte eingeschränkte Delegierung (RBCD)

Die ressourcenbasierte eingeschränkte Delegierung schränkt ein, welche Entitäten die Identität dieses Kontos annehmen können. Die ressourcenbasierte KCD wird mithilfe von PowerShell konfiguriert.

  1. Sie können die Cmdlets Set-ADComputer oder Set-ADUser verwenden, je nachdem, ob es sich bei dem Identitätswechselkonto um ein Computerkonto oder ein Benutzerkonto bzw. ein Dienstkonto handelt.

  2. Überprüfen Sie die in den Empfehlungen aufgeführten vertraulichen Benutzer, und entfernen Sie sie aus der Ressource. Weitere Informationen zum Konfigurieren von RBCD finden Sie unter Konfigurieren der eingeschränkten Kerberos-Delegierung (KCD) in Microsoft Entra Domain Services.

Unsichere SID-Verlaufsattribute

Beschreibung

DER SID-Verlauf ist ein Attribut, das Migrationsszenarien unterstützt. Jedem Benutzerkonto ist ein Security IDentifier (SID) zugeordnet, der zum Nachverfolgen des Sicherheitsprinzipals und des Zugriffs verwendet wird, den das Konto beim Herstellen einer Verbindung mit Ressourcen hat. Der SID-Verlauf ermöglicht es, den Zugriff für ein anderes Konto effektiv zu klonen, und ist nützlich, um sicherzustellen, dass Benutzer den Zugriff behalten, wenn sie von einer Domäne in eine andere verschoben (migriert) werden.

Die Bewertung sucht nach Konten mit SID-Verlaufsattributen, die Microsoft Defender for Identity Profile riskant sind.

Benutzerauswirkungen

Organisationen, die ihre Kontoattribute nicht schützen können, lassen die Tür für böswillige Akteure entsperrt.

Böswillige Akteure, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Konten, die mit einem unsicheren SID-Verlaufsattribut konfiguriert sind, sind Fenster mit Chancen für Angreifer und können Risiken offenlegen.

Beispielsweise kann ein nicht sensibles Konto in einer Domäne die Enterprise Admin SID in seinem SID-Verlauf von einer anderen Domäne in der Active Directory-Gesamtstruktur enthalten, wodurch der Zugriff für das Benutzerkonto auf eine effektive Domänen-Admin in allen Domänen in der Gesamtstruktur erhöht wird. Wenn Sie eine Gesamtstruktur-Vertrauensstellung ohne aktivierte SID-Filterung (auch als Quarantäne bezeichnet) haben, ist es auch möglich, eine SID aus einer anderen Gesamtstruktur einzuschleusen, die dem Benutzertoken hinzugefügt wird, wenn es authentifiziert und für Zugriffsauswertungen verwendet wird.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welches Ihrer Konten über ein unsicheres SID-Verlaufsattribut verfügt.

    Screenshot: Verbesserungsaktionen für

  2. Führen Sie mithilfe der folgenden Schritte geeignete Maßnahmen aus, um das SID-Verlaufsattribut mithilfe von PowerShell aus den Konten zu entfernen:

    1. Identifizieren Sie die SID im SIDHistory-Attribut für das Konto.

      Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory

    2. Entfernen Sie das SIDHistory-Attribut mithilfe der zuvor identifizierten SID.

      Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}

Unsichere Kontoattribute

Beschreibung

Microsoft Defender for Identity ihre Umgebung kontinuierlich überwachen, um Konten mit Attributwerten zu identifizieren, die ein Sicherheitsrisiko darstellen, und berichte über diese Konten, um Sie beim Schutz Ihrer Umgebung zu unterstützen.

Benutzerauswirkungen

Organisationen, die ihre Kontoattribute nicht schützen können, lassen die Tür für böswillige Akteure entsperrt.

Böswillige Akteure, ähnlich wie Diebe, suchen oft nach dem einfachsten und leisesten Weg in jede Umgebung. Konten, die mit unsicheren Attributen konfiguriert sind, sind Chancen für Angreifer und können Risiken offenlegen.

Wenn beispielsweise das PasswordNotRequired-Attribut aktiviert ist, kann ein Angreifer problemlos auf das Konto zugreifen. Dies ist besonders riskant, wenn das Konto über privilegierten Zugriff auf andere Ressourcen verfügt.

Implementierung

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer Konten unsichere Attribute aufweisen.

    Screenshot: Liste unsicherer Kontoattribute, die aufgelöst werden müssen

  2. Ergreifen Sie geeignete Maßnahmen für diese Benutzerkonten, indem Sie die relevanten Attribute ändern oder entfernen.

  3. Verwenden Sie die korrektur, die für das relevante Attribut geeignet ist, wie in der folgenden Tabelle beschrieben:

Empfohlenes Vorgehen Sanierung Grund
Entfernen Keine Kerberos-Vorauthentifizierung erforderlich Entfernen Sie diese Einstellung aus den Kontoeigenschaften in Active Directory (AD) Das Entfernen dieser Einstellung erfordert eine Kerberos-Vorauthentifizierung für das Konto, was zu einer verbesserten Sicherheit führt.
Entfernen des Speicherkennworts mit umkehrbarer Verschlüsselung Entfernen Sie diese Einstellung aus den Kontoeigenschaften in AD. Das Entfernen dieser Einstellung verhindert eine einfache Entschlüsselung des Kontokennworts.
Kennwort entfernen nicht erforderlich Entfernen Sie diese Einstellung aus den Kontoeigenschaften in AD. Um diese Einstellung zu entfernen, muss ein Kennwort mit dem Konto verwendet werden, und verhindert nicht autorisierten Zugriff auf Ressourcen.
Mit schwacher Verschlüsselung gespeichertes Kennwort entfernen Zurücksetzen des Kontokennworts Wenn Sie das Kennwort des Kontos ändern, können stärkere Verschlüsselungsalgorithmen zum Schutz des Kontos verwendet werden.
Aktivieren der Kerberos-AES-Verschlüsselungsunterstützung Aktivieren von AES-Features für die Kontoeigenschaften in AD Wenn Sie AES128_CTS_HMAC_SHA1_96 oder AES256_CTS_HMAC_SHA1_96 für das Konto aktivieren, können Sie die Verwendung schwächerer Verschlüsselungsverfahren für die Kerberos-Authentifizierung verhindern.
Entfernen Verwenden von Kerberos DES-Verschlüsselungstypen für dieses Konto Entfernen Sie diese Einstellung aus den Kontoeigenschaften in AD. Das Entfernen dieser Einstellung ermöglicht die Verwendung stärkerer Verschlüsselungsalgorithmen für das Kennwort des Kontos.
Entfernen eines Dienstprinzipalnamens (SPN) Entfernen Sie diese Einstellung aus den Kontoeigenschaften in AD. Wenn ein Benutzerkonto mit einem SPN-Satz konfiguriert ist, bedeutet dies, dass das Konto einem oder mehreren SPNs zugeordnet wurde. Dies tritt in der Regel auf, wenn ein Dienst für die Ausführung unter einem bestimmten Benutzerkonto installiert oder registriert ist und der SPN erstellt wird, um den Dienstarbeitsbereich für die Kerberos-Authentifizierung eindeutig zu identifizieren. Diese Empfehlung wurde nur für vertrauliche Konten angezeigt.
Kennwort zurücksetzen, da die SmartcardRequired-Einstellung entfernt wurde Zurücksetzen des Kontokennworts Wenn Sie das Kennwort des Kontos ändern, nachdem das UAC-Flag SmartcardRequired entfernt wurde, wird sichergestellt, dass es unter den aktuellen Sicherheitsrichtlinien festgelegt wurde. Dadurch wird verhindert, dass Kennwörter, die erstellt wurden, als die Smartcard-Erzwingung noch aktiv war, potenziell ausgesetzt werden.

  1. Verwenden Sie das UserAccountControl-Flag (UAC), um Benutzerkontenprofile zu bearbeiten. Weitere Informationen finden Sie unter:

Nächste Schritte

  • Last updated on