Erkunden Sie die Purple Knight Sicherheitsindikatoren

Filter
Kategorie
  • Kontensicherheit
  • AD-Delegation
  • AD-Infrastruktur
  • Azure AD
  • Gruppenrichtlinien-Sicherheit
  • Hybride Sicherheit
  • Kerberos-Sicherheit
  • Okta
Indikator Name
Beschreibung
Schweregrad
  • Alle
  • Warnung
  • Informativ
  • Kritisch
Framework
IOE/IOC

Keine Ergebnisse

AAD Connect Sync-Kontopasswort zurücksetzen
Sucht nach Richtlinien für bedingten Zugriff, bei denen die Funktion "Kontinuierliche Zugriffsbewertung" deaktiviert ist. Die Funktion Continuous Access Evaluation ermöglicht es Ihnen, das Zugriffstoken für Microsoft-Anwendungen zu widerrufen und die Zeit zu begrenzen, in der ein Angreifer Zugriff auf Unternehmensdaten hat. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOE
AAD-berechtigte Benutzer, die auch in AD privilegiert sind
Überprüft auf privilegierte Azure AD-Benutzer, die auch privilegierte Benutzer im lokalen AD sind. Eine Kompromittierung eines Kontos, das sowohl in AD als auch in AAD privilegiert ist, kann dazu führen, dass beide Umgebungen gefährdet sind. Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
Ungewöhnliche Passwortaktualisierung
Sucht nach Benutzerkonten mit einer kürzlichen pwdLastSet-Änderung ohne entsprechende Kennwortreplikation. Wenn die Option "Benutzer muss Passwort bei nächster Anmeldung ändern" aktiviert und später wieder deaktiviert wird, könnte dies auf einen Verwaltungsfehler oder einen Versuch hinweisen, die Passwortrichtlinie der Organisation zu umgehen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
  • IOC
Konten mit konfigurierten altSecurityIdentities
Prüft auf Konten, für die das Attribut altSecurityIdentities konfiguriert ist. Das Attribut altSecurityIdentities ist ein mehrwertiges Attribut, das zur Erstellung von Zuordnungen für X.509-Zertifikate und externe Kerberos-Konten verwendet wird. Wenn es konfiguriert ist, ist es möglich, Werte hinzuzufügen, die im Wesentlichen dieses Konto verkörpern. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
Konten mit eingeschränkter Delegation, die auf Ghost-SPN konfiguriert sind
Sucht nach Konten, für die eingeschränkte Delegation auf Ghost-SPNs konfiguriert ist. Wenn Computer außer Betrieb genommen werden, wird ihre Delegationskonfiguration nicht immer bereinigt. Eine solche Delegation könnte es einem Angreifer, der über die Berechtigung verfügt, in das ServicePrincipalName-Attribut eines anderen Dienstkontos zu schreiben, ermöglichen, seine Berechtigungen für diese Dienste zu erweitern. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
Konten mit eingeschränkter Delegation, die für krbtgt konfiguriert sind
Sucht nach Konten, die eine eingeschränkte Delegation für den krbtgt-Dienst konfiguriert haben. Das Erstellen einer Kerberos-Delegation für das krbtgt-Konto selbst ermöglicht es diesem Prinzipal (Benutzer oder Computer), eine Ticket Granting Service (TGS)-Anfrage an das krbtgt-Konto als beliebiger Benutzer zu stellen, was zur Folge hat, dass ein Ticket Granting Ticket (TGT) ähnlich einem Golden Ticket erzeugt wird. Kritisch
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_delegation_a2d2

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
AD-Zertifizierungsstelle mit Webregistrierung (PetitPotam und ESC8)
Identifiziert AD CS-Server in der Domäne, die NTLM-Authentifizierung für Web Enrollment akzeptieren. Angreifer können eine Schwachstelle in AD CS Web Enrollment ausnutzen, die NTLM-Relay-Angriffe ermöglicht, um sich als privilegierter Benutzer zu authentifizieren. Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
AD-Objekte, die innerhalb der letzten 10 Tage erstellt wurden
Sucht nach allen AD-Objekten, die kürzlich erstellt wurden. Ermöglicht es Ihnen, unbekannte oder unrechtmäßige Konten zu erkennen. Für die Suche nach Bedrohungen, die Untersuchung nach einem Einbruch oder die Validierung von Kompromissen. Informativ
  • MITRE ATT&CK:

    Seitliche Bewegung

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
  • IOC
AD-berechtigte Benutzer, die mit AAD synchronisiert werden
Prüft auf privilegierte AD-Benutzer, die mit AAD synchronisiert sind. Wenn ein privilegierter AD-Benutzer mit AAD synchronisiert wird, kann eine Kompromittierung des AAD-Benutzers dazu führen, dass auch die lokale Umgebung kompromittiert wird. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
Die Verwaltungseinheiten werden nicht genutzt
Überprüft das Vorhandensein von Verwaltungseinheiten. Administrative Einheiten helfen dabei, den Umfang der Befugnisse eines Sicherheitsprinzips zu begrenzen. Angreifer, die ein administratives Konto kompromittieren, könnten weitreichenden Zugriff auf alle Ressourcen haben. Durch die Verwendung von administrativen Einheiten ist es möglich, die Reichweite bestimmter Administratoren zu begrenzen und sicherzustellen, dass eine einzelne Kompromittierung von Anmeldeinformationen begrenzt ist und nicht die gesamte Umgebung betrifft. Informativ
  • MITRE ATT&CK:

    Seitliche Bewegung

  • IOE
Admins mit alten Passwörtern
Sucht nach Administratorkonten, deren Kennwort seit über 180 Tagen nicht geändert wurde. Wenn die Kennwörter von Administratorkonten nicht regelmäßig geändert werden, könnten diese Konten ein gefundenes Fressen für Angriffe zum Erraten von Kennwörtern sein. Warnung
  • MITRE ATT&CK:

    Entdeckung

  • ANSSI:

    vuln1_password_ change_priv

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Anonymer Zugriff auf Active Directory aktiviert
Sucht nach dem Vorhandensein des Flags, das den anonymen Zugriff ermöglicht. Anonymer Zugriff würde es nicht authentifizierten Benutzern ermöglichen, AD abzufragen. Kritisch
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Erster Zugang

    Persistenz

    Privilegieneskalation

  • ANSSI:

    vuln2_kompatibel_2000_anonym

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Anonymer NSPI-Zugriff auf AD aktiviert
Erkennt, ob der anonyme Zugang zum Name Service Provider Interface (NSPI) aktiviert ist. Erlaubt anonyme RPC-basierte Bindungen an AD. NSPI wird nur selten aktiviert, wenn es also aktiviert ist, sollte dies Anlass zur Sorge geben. Warnung
  • MITRE ATT&CK:

    Erster Zugang

  • ANSSI:

    vuln1_dsheuristics_bad

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Die zusätzlichen Kontexte Anwendungsname und geografischer Standort sind bei MFA deaktiviert.
Überprüft, ob die zusätzlichen Kontexte Anwendungsname und geografischer Standort bei der Multi-Faktor-Authentifizierung (MFA) deaktiviert sind. Die Aktivierung der zusätzlichen Kontexte für den Anwendungsnamen und den geografischen Standort bei MFA bietet eine zusätzliche Sicherheitsebene für die Anmeldung eines Benutzers. Warnung
  • MITRE ATT&CK:

    Erster Zugang

  • IOE
Eingebautes Domänenadministratorkonto, das innerhalb der letzten zwei Wochen verwendet wurde
Überprüft, ob der lastLogonTimestamp für das integrierte Domänenadministratorkonto kürzlich aktualisiert wurde. Könnte darauf hinweisen, dass der Benutzer kompromittiert wurde. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

  • MITRE D3FEND:

    Erkennen - Analyse des Umfangs der Kompromittierung von Anmeldeinformationen

    Harden - Richtlinie für sichere Passwörter

  • IOE
  • IOC
Eingebautes Domänenadministratorkonto mit altem Passwort (180 Tage)
Überprüft, ob das Attribut pwdLastSet des integrierten Domänenadministratorkontos innerhalb der letzten 180 Tage geändert wurde. Wenn dieses Kennwort nicht regelmäßig geändert wird, kann dieses Konto für Brute-Force-Kennwortangriffe anfällig sein. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Integriertes Gästekonto ist aktiviert
Überprüft, ob das integrierte AD-"Gast"-Konto deaktiviert ist. Ein aktiviertes Gastkonto ermöglicht den passwortlosen Zugriff auf die Domäne, was ein Sicherheitsrisiko darstellen kann. Informativ
  • MITRE ATT&CK:

    Entdeckung

    Aufklärungsarbeit

  • MITRE D3FEND:

    Evict - Kontosperrung

  • IOE
Zertifikatsvorlagen, die es Antragstellern erlauben, einen subjectAltName anzugeben
Überprüft, ob Zertifikatsvorlagen es Antragstellern ermöglichen, einen subjectAltName in der CSR anzugeben. Wenn Zertifikatsvorlagen es Antragstellern erlauben, einen subjectAltName in der CSR anzugeben, hat dies zur Folge, dass sie ein Zertifikat als jedermann (z. B. als Domänenadministrator) anfordern können. Wenn dies mit einer in der Zertifikatsvorlage vorhandenen Authentifizierungs-EKU kombiniert wird, kann dies äußerst gefährlich werden. Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • MITRE D3FEND:

    Erkennen - Zertifikatsanalyse

  • IOE
Zertifikatsvorlagen mit drei oder mehr unsicheren Konfigurationen
Überprüft, ob die Zertifikatsvorlagen in der Gesamtstruktur mindestens drei unsichere Konfigurationen aufweisen: Genehmigung des Managers ist deaktiviert. Keine autorisierten Signaturen sind erforderlich, SAN aktiviert, Authentifizierungs-EKU vorhanden. Jede dieser Konfigurationen kann von Angreifern ausgenutzt werden, um Zugang zu erhalten. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • MITRE D3FEND:

    Erkennen - Zertifikatsanalyse

  • IOE
Persistenz der zertifikatsbasierten Authentifizierung
Bewertet das Vorhandensein spezifischer Azure AD MSFT Graph App-Rollen und Berechtigungen, die in Kombination einem Benutzer ermöglichen können, Persistenz durch zertifikatsbasierte Authentifizierung (CBA) herzustellen. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOE
Änderungen an AD-Anzeigespezifikationen in den letzten 90 Tagen
Sucht nach kürzlich vorgenommenen Änderungen am adminContextMenu-Attribut auf AD-Anzeigespezifizierern. Die Änderung dieses Attributs kann es Angreifern ermöglichen, Kontextmenüs zu nutzen, um Benutzer zur Ausführung von beliebigem Code zu veranlassen. Informativ
  • MITRE ATT&CK:

    Verteidigung Umgehung

  • IOE
  • IOC
Änderungen an der Standarddomänenrichtlinie oder der Standarddomänencontrollerrichtlinie in den letzten 7 Tagen
Sucht nach aktuellen Änderungen an den Standard-Domänenrichtlinien und Standard-Domänencontroller-Richtlinien-GPOs. Diese GPOs steuern domänenweite und domänencontrollerweite Sicherheitseinstellungen und können missbraucht werden, um privilegierten Zugriff auf AD zu erhalten. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

    Privilegieneskalation

  • IOE
  • IOC
Änderungen am Standard-Sicherheitsbeschreibungsschema in den letzten 90 Tagen
Erkennt die jüngsten Änderungen von Schema-Attributen, die am Standard-Sicherheitsdeskriptor vorgenommen wurden. Wenn ein Angreifer Zugriff auf die Schema-Instanz in einem Forest erhält, können sich alle vorgenommenen Änderungen auf neu erstellte Objekte im AD ausbreiten und so möglicherweise die AD-Sicherheitslage schwächen. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Privilegieneskalation

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
  • IOC
Änderungen der MS LAPS-Leseberechtigungen
Sucht nach Berechtigungen für Computerkonten, die eine unbeabsichtigte Offenlegung lokaler Administratorkonten in Umgebungen, die Microsoft LAPS verwenden, ermöglichen könnten. Angreifer können diese Fähigkeit nutzen, um sich mit kompromittierten lokalen Administratorkonten seitlich durch eine Domäne zu bewegen. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Änderungen an der Mitgliedschaft in der PreWindows 2000 kompatiblen Zugriffsgruppe
Sucht nach Änderungen an der integrierten Gruppe "Pre-Windows 2000 Compatible Access". Achten Sie darauf, dass diese Gruppe nicht die Gruppen "Anonyme Anmeldung" oder "Jeder" enthält. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
  • IOC
Änderungen der Mitgliedschaft in privilegierten Gruppen in den letzten 7 Tagen
Sucht nach Administratorkonten, deren Kennwort seit über 180 Tagen nicht geändert wurde. Wenn die Kennwörter von Administratorkonten nicht regelmäßig geändert werden, könnten diese Konten ein gefundenes Fressen für Angriffe zum Erraten von Kennwörtern sein. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOE
  • IOC
Prüfung auf riskante API-Berechtigungen, die den Principals der Anwendungsdienste gewährt wurden
Überprüft auf API-Berechtigungen, die riskant sein könnten, wenn sie nicht ordnungsgemäß geplant und genehmigt werden. Böswillige Anwendungsadministratoren könnten diese Berechtigungen nutzen, um sich selbst oder anderen administrative Privilegien zu gewähren. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
Prüfung auf Benutzer mit schwacher oder fehlender MFA
Überprüft alle Benutzer auf die Registrierung für die Multi-Faktor-Authentifizierung (MFA) und die konfigurierten Methoden. Aufgrund des Mangels an einheitlichen Sicherheitsmaßnahmen in Mobilfunknetzen gelten SMS und Voice als weniger sicher als mobile Anwendungen und FIDO. Ein böswilliger Benutzer kann Codes fälschen/verfälschen und Benutzer zur Authentifizierung verleiten. Warnung
  • MITRE ATT&CK:

    Erster Zugang

    Seitliche Bewegung

  • IOE
Prüfen, ob Legacy-Authentifizierung erlaubt ist
Überprüft, ob die Legacy-Authentifizierung blockiert ist, entweder durch Richtlinien für bedingten Zugriff oder durch Sicherheitsvorgaben. Wenn die Legacy-Authentifizierung zugelassen wird, erhöht sich das Risiko, dass sich ein Angreifer mit zuvor kompromittierten Anmeldedaten anmeldet. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Kontrolle, ob die Gäste die Erlaubnis haben, andere Gäste einzuladen
Überprüft die Berechtigungen für Gasteinladungen. Es wird nicht empfohlen, Gästen das Senden von Einladungen zu gestatten. Warnung
  • MITRE ATT&CK:

    Seitliche Bewegung

  • IOE
Übernahme von Computerkonten durch Kerberos Resource-Based Constrained Delegation (RBCD)
Sucht nach dem Attribut msDS-Allowed-ToActOnBehalfOfOtherIdentity auf Computerobjekten. Angreifer könnten die Kerberos-RBCD-Konfiguration verwenden, um die Privilegien über einen von ihnen kontrollierten Computer zu erweitern, wenn dieser Computer über eine Delegation für das Zielsystem verfügt. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

    Privilegieneskalation

  • IOE
  • IOC
Computerkonten in privilegierten Gruppen
Sucht nach Computerkonten, die Mitglied einer privilegierten Gruppe der Domäne sind. Wenn ein Computerkonto Mitglied der privilegierten Gruppe der Domäne ist, kann jeder, der dieses Computerkonto kompromittiert, als Mitglied dieser Gruppe agieren. Warnung
  • MITRE ATT&CK:

    Seitliche Bewegung

    Persistenz

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
Computer- oder Benutzerkonten mit uneingeschränkter Delegation
Sucht nach Computer- oder Benutzerkonten, die für eine uneingeschränkte Kerberos-Delegation vertrauenswürdig sind. Konten mit uneingeschränkter Delegation sind ein leichtes Ziel für Kerberos-basierte Angriffe. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Seitliche Bewegung

  • ANSSI:

    vuln2_delegation_t4d

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
Computer mit älteren Betriebssystemversionen
Sucht nach Computerkonten, auf denen ältere Windows-Versionen als Windows Server 2012 R2 und Windows 8.1 ausgeführt werden. Computer, auf denen ältere und nicht unterstützte Betriebssystemversionen ausgeführt werden, könnten mit bekannten oder ungepatchten Exploits angegriffen werden. Informativ
  • MITRE ATT&CK:

    Seitliche Bewegung

    Persistenz

  • MITRE D3FEND:

    Harden - Software-Aktualisierung

  • IOE
Computer, deren Passwort zuletzt vor mehr als 90 Tagen festgelegt wurde
"Sucht nach Computerkonten, die ihre Kennwörter nicht automatisch erneuert haben. Computerkonten sollten ihre Passwörter automatisch alle 30 Tage ändern; Objekte, die dies nicht tun, könnten Anzeichen für Manipulationen aufweisen." Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln2_Passwort_ändern_Server_nicht_ändern_90

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Richtlinien für bedingten Zugang enthalten private IP-Adressen
Überprüft, ob Richtlinien für bedingten Zugriff benannte Standorte mit privaten IP-Adressen enthalten. Private IP-Adressen in benannten Standorten, die mit Richtlinien für bedingten Zugriff verbunden sind, können zu einer unerwünschten Sicherheitslage führen. Warnung
  • MITRE ATT&CK:

    Erster Zugang

  • IOE
Richtlinie für bedingten Zugriff, die die Aufrechterhaltung von Admin-Token deaktiviert
Sucht nach Richtlinien für den bedingten Zugriff, die die Token-Persistenz für Benutzer mit Administratorrollen deaktivieren und eine Anmeldefrequenz von höchstens neun Stunden haben. Wenn das Token eines angemeldeten Administrators auf dem Client zwischengespeichert ist, ist er anfällig für einen Angriff im Zusammenhang mit dem Primary Refresh Token. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Richtlinie für bedingten Zugriff, die die Aufrechterhaltung von Admin-Token deaktiviert
Sucht nach Richtlinien für den bedingten Zugriff, die die Token-Persistenz für Benutzer mit Administratorrollen deaktivieren und eine Anmeldefrequenz von höchstens neun Stunden haben. Wenn das Token eines angemeldeten Administrators auf dem Client zwischengespeichert ist, ist er anfällig für einen Angriff im Zusammenhang mit dem Primary Refresh Token. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Zugangsbeschränkungsrichtlinie, die von Benutzern mit hohem Risiko keine Passwortänderung verlangt
Überprüft, ob eine Richtlinie für bedingten Zugriff vorhanden ist, die eine Passwortänderung erfordert, wenn der Benutzer von der Azure AD Identity Protection-API für Benutzerrisiken als hoch eingestuft wird. Ein hohes Benutzerrisiko steht für eine hohe Wahrscheinlichkeit, dass ein Konto kompromittiert wurde. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Richtlinien für den bedingten Zugang, die keine MFA erfordern, wenn ein Anmeldungsrisiko festgestellt wurde
Überprüft, ob eine Richtlinie für bedingten Zugriff vorhanden ist, die MFA erfordert, wenn das Risiko einer Authentifizierungsanfrage von der Azure AD Identity Protection-API für das Anmeldungsrisiko als mittel oder hoch eingestuft wird. Ein mittleres oder hohes Anmeldungsrisiko steht für eine mittlere bis hohe Wahrscheinlichkeit, dass eine nicht autorisierte Authentifizierungsanfrage gestellt wurde. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Richtlinie für bedingten Zugang mit deaktivierter kontinuierlicher Zugangsbewertung
Sucht nach Richtlinien für bedingten Zugriff, bei denen die Funktion "Kontinuierliche Zugriffsbewertung" deaktiviert ist. Die Funktion Continuous Access Evaluation ermöglicht es Ihnen, das Zugriffstoken für Microsoft-Anwendungen zu widerrufen und die Zeit zu begrenzen, in der ein Angreifer Zugriff auf Unternehmensdaten hat. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOC
Gefährliche Kontrollpfade legen Zertifikatsvorlagen offen
Sucht nach nicht standardmäßigen Auftraggebern mit der Fähigkeit, Eigenschaften auf eine Zertifikatsvorlage zu schreiben. Unberechtigte Benutzer mit Schreibberechtigung für Zertifikatsvorlagen können ihre Zugriffsrechte erweitern und anfällige Zertifikate erstellen, um sich zu registrieren. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln1_adcs_template_steuerung

  • MITRE D3FEND:

    Erkennen - Zertifikatsanalyse

  • IOE
  • IOC
Gefährlicher GPO-Anmeldeskriptpfad
Sucht nach Pfaden von Anmeldeskripten zu Skripten, die nicht existieren und bei denen ein Benutzer mit geringen Rechten Zugriffsrechte auf den übergeordneten Ordner hat. Es wird auch nach Anmeldeskriptpfaden zu vorhandenen Skripten gesucht, die weniger privilegierten Benutzern die Berechtigung zum Ändern des Skripts geben. Durch das Einfügen eines neuen Skripts oder das Ändern eines vorhandenen Skripts, das einem normalen Benutzer die Berechtigung zum Ändern des Skripts oder den Zugriff auf den übergeordneten Ordner gibt, kann ein Angreifer aus der Ferne Code in einem größeren Teil des Netzwerks ohne besondere Berechtigungen ausführen. Warnung
  • MITRE ATT&CK:

    Seitliche Bewegung

    Privilegieneskalation

  • MITRE D3FEND:

    Erkennen - Datei-Analyse

  • IOE
Gefährliches Vertrauens-Attribut-Set
Identifiziert Trusts, bei denen eines der folgenden Attribute gesetzt ist: TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION oder TRUST_ATTRIBUTE_ PIM_TRUST. Das Setzen dieser Attribute ermöglicht entweder die Delegierung eines Kerberos-Tickets oder verringert den Schutz, den die SID-Filterung bietet. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Domain Trust Policy

  • IOE
  • IOC
Gefährliche Benutzerrechte, die durch GPO gewährt werden
Sucht nach nicht privilegierten Benutzern, denen über ein GPO erhöhte Berechtigungen gewährt werden. Ein Angreifer kann möglicherweise die durch ein GPO gewährten Benutzerrechte ausnutzen, um sich Zugang zu Systemen zu verschaffen, vertrauliche Informationen zu stehlen oder andere Arten von Schaden zu verursachen. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

    Harden - Richtlinie für sichere Passwörter

  • IOE
Der Besitzer des Domänencontrollers ist kein Administrator
Sucht nach Domänencontroller-Computerkonten, deren Besitzer kein Domänenadministrator, Unternehmensadministrator oder integriertes Administratorkonto ist. Die Erlangung der Kontrolle über DC-Computerkonten ermöglicht einen einfachen Weg zur Kompromittierung der Domäne. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • ANSSI:

    vuln1_erlaubnisse_dc

  • MITRE D3FEND:

    Härten - Berechtigungen für die Systemkonfiguration

  • IOE
Domänencontroller in einem inkonsistenten Zustand
Sucht nach Domänencontrollern, die sich in einem inkonsistenten Zustand befinden, was auf einen möglicherweise abtrünnigen oder anderweitig nicht funktionsfähigen DC hinweist. Illegitime Maschinen, die als DCs agieren, könnten darauf hinweisen, dass jemand die Umgebung kompromittiert hat (z. B. mit DCShadow oder einem ähnlichen DC-Spoofing-Angriff). Informativ
  • MITRE ATT&CK:

    Privilegieneskalation

    Entwicklung der Ressourcen

  • ANSSI:

    vuln1_dc_inkonsistent_ uac

  • IOE
Domänencontroller, die sich seit mehr als 45 Tagen nicht mehr bei der Domäne authentifiziert haben
Sucht nach Domänencontrollern, die sich seit über 45 Tagen nicht mehr bei der Domäne authentifiziert haben. Fehlende Domänenauthentifizierung verrät unsynchronisierte Rechner. Wenn ein Angreifer einen Offline-DC kompromittiert und die Anmeldeinformationen knackt oder sich erneut mit der Domäne verbindet, kann er möglicherweise unerwünschte Änderungen an Active Directory vornehmen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • ANSSI:

    vuln1_passwort_änderung_inaktiv_dc

  • MITRE D3FEND:

    Isolieren - Isolierung der Ausführung

  • IOE
Domänencontroller mit alten Passwörtern
Sucht nach Domänencontroller-Maschinenkonten, deren Kennwort seit über 45 Tagen nicht zurückgesetzt wurde. Maschinenkonten mit älteren Passwörtern könnten auf einen DC hinweisen, der in der Domäne nicht mehr funktioniert. Außerdem könnten DCs mit älteren Maschinenkontenpasswörtern leichter übernommen werden. Informativ
  • MITRE ATT&CK:

    Privilegieneskalation

    Entwicklung der Ressourcen

  • IOE
Domänencontroller mit aktivierter ressourcenbasierter eingeschränkter Delegation (RBCD)
Erkennt eine Konfiguration, die bestimmte Konten mit vollständiger Delegation an Domänencontroller gewährt. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Seitliche Bewegung

    Privilegieneskalation

  • ANSSI:

    vuln1_delegation_sour- cedeleg

  • IOE
  • IOC
Domänenvertrauen zu einer fremden Domäne ohne Quarantäne
Sucht nach ausgehenden Forest Trusts, bei denen das Quarantäne-Flag auf false gesetzt ist. Ein Angreifer, der die entfernte Domäne kompromittiert hat, kann ein "fälschbares" Konto erstellen, um Zugriff auf alle Ressourcen der lokalen Domäne zu erhalten. Wenn ein gefährlicher Kontrollpfad offengelegt wird, kann jedes "fälschbare" Konto seine Privilegien bis zu Domänenadministratoren ausweiten und die gesamte Gesamtstruktur gefährden. Warnung
  • MITRE ATT&CK:

    Seitliche Bewegung

  • ANSSI:

    vuln1_trusts_domain_ notfiltered

  • MITRE D3FEND:

    Harden - Domain Trust Policy

  • IOE
Domänen mit veralteten Funktionsebenen
Sucht nach AD-Domänen, deren Domänenfunktionsstufe auf Windows Server 2012 oder niedriger eingestellt ist. Niedrigere Funktionsstufen bedeuten, dass neuere in AD verfügbare Sicherheitsfunktionen nicht genutzt werden können. Informativ
  • MITRE ATT&CK:

    Aufklärungsarbeit

  • MITRE D3FEND:

    Harden - Software-Aktualisierung

  • IOE
Aktivierte Administratorkonten, die inaktiv sind
Sucht nach Administratorkonten, die zwar aktiviert sind, sich aber in den letzten 90 Tagen nicht angemeldet haben. Angreifer, die diese Konten kompromittieren können, können unbemerkt operieren. Warnung
  • MITRE ATT&CK:

    Entdeckung

  • ANSSI:

    vuln1_password_ change_priv

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Enterprise Key Admins mit vollem Zugriff auf die Domäne
Sucht nach Hinweisen auf einen Fehler in bestimmten Versionen von Windows Server 2016 Adprep, der der Gruppe "Enterprise Key Admins" unzulässigen Zugriff gewährt. Dieses Problem wurde in einer späteren Version von Windows 2016 behoben; wenn dieser Fix jedoch nicht angewendet wurde, gewährt dieser Fehler dieser Gruppe die Fähigkeit, alle Änderungen aus AD zu replizieren (DCSync-Angriff). Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

  • ANSSI:

    vuln2_adupdate_bad

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Kurzlebige Admins
Sucht nach Benutzern, die innerhalb eines Zeitraums von 48 Stunden zu einer Administratorgruppe hinzugefügt und wieder entfernt wurden. Solche kurzlebigen Konten können auf bösartige Aktivitäten hinweisen. Informativ
  • MITRE ATT&CK:

    Verteidigung Umgehung

  • MITRE D3FEND:

    Erkennen - Analyse des Umfangs der Kompromittierung von Anmeldeinformationen

    Harden - Richtlinie für sichere Passwörter

  • IOE
  • IOC
Beweise für den Mimikatz DCShadow-Angriff
Sucht nach Beweisen dafür, dass ein Rechner benutzt wurde, um mit einem "gefälschten" Domänencontroller willkürliche Änderungen im AD vorzunehmen. Diese Änderungen umgehen das Sicherheitsereignisprotokoll und können mit Standard-Überwachungstools nicht entdeckt werden. Kritisch
  • MITRE ATT&CK:

    Verteidigung Umgehung

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

    Isolieren - Isolierung der Ausführung

  • IOE
  • IOC
FGPP nicht auf die Gruppe angewandt
Sucht nach feinkörnigen Kennwortrichtlinien (FGPP), die auf eine universelle oder domänenlokale Gruppe ausgerichtet sind. Wenn Sie den Geltungsbereich einer Gruppe von Global auf Universal oder Domänenlokal ändern, gelten die FGPP-Einstellungen nicht mehr für diese Gruppe, wodurch die Kennwortsicherheitskontrollen verringert werden. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Persistenz

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Ausländische Sicherheitsbehörden in der privilegierten Gruppe
Sucht nach Mitgliedern integrierter geschützter Gruppen, die ausländische Sicherheitsprinzipale sind. Besondere Vorsicht ist geboten, wenn Sie Konten aus anderen Domänen als Mitglieder von privilegierten Gruppen aufnehmen. Fremde Sicherheitsprinzipale verfügen nicht über das Attribut adminCount und werden daher von einigen Sicherheitsüberwachungsprogrammen möglicherweise nicht erkannt. Außerdem könnte ein Angreifer ein privilegiertes Konto hinzufügen und versuchen, es mit dieser Methode zu verbergen. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Persistenz

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
Wald enthält mehr als 50 privilegierte Konten
Zählt die Anzahl der in der Gesamtstruktur definierten privilegierten Konten. Im Allgemeinen gilt: Je mehr privilegierte Konten Sie haben, desto mehr Möglichkeiten haben Angreifer, eines dieser Konten zu kompromittieren. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

    Aufklärungsarbeit

  • ANSSI:

    vuln1_privilegierte_Mitglieder

  • IOE
gMSA nicht verwendet
Prüft auf aktivierte gMSA-Objekte (Group Managed Service Accounts) in der Domäne. Die gMSA-Funktion in Windows Server 2016 ermöglicht die automatische Rotation von Passwörtern für Dienstkonten, wodurch es für Angreifer viel schwieriger wird, diese zu kompromittieren. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
gMSA-Objekte mit alten Passwörtern
Sucht nach Konten für gruppenverwaltete Dienste (gMSA), die ihre Kennwörter nicht automatisch geändert haben. Objekte, die ihre Passwörter nicht regelmäßig ändern, könnten Anzeichen für Manipulationen aufweisen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
GPO-Verknüpfungsdelegation auf der Ebene der AD-Site
Sucht nach nicht privilegierten Principals, die Schreibrechte auf das GPLink-Attribut oder Write DACL/Write Owner auf dem Objekt haben. Wenn nicht privilegierte Benutzer GPOs auf der AD-Site-Ebene verknüpfen können, sind sie in der Lage, Änderungen an Domänencontrollern vorzunehmen. Sie können potenziell den Zugriff erhöhen und die domänenweite Sicherheitslage ändern. Warnung
  • MITRE ATT&CK:

    Ausführung

    Privilegieneskalation

  • ANSSI:

    vuln1_Zulassungen_gpo_ priv

  • IOE
GPO-Verknüpfungsdelegation auf der OU-Ebene des Domänencontrollers
Sucht nach nicht privilegierten Principals, die Schreibrechte auf das GPLink-Attribut oder Write DAC/Write Owner auf dem Objekt haben. Wenn nicht privilegierte Benutzer GPOs auf der OU-Ebene des Domänencontrollers verknüpfen können, haben sie die Möglichkeit, Änderungen auf den Domänencontrollern vorzunehmen. Sie können potenziell den Zugriff erhöhen und die domänenweite Sicherheitslage ändern. Warnung
  • MITRE ATT&CK:

    Ausführung

    Privilegieneskalation

  • ANSSI:

    vuln1_Zulassungen_gpo_ priv

  • IOE
GPO-Verknüpfungsdelegation auf Domänenebene
Sucht nach nicht privilegierten Principals, die Schreibrechte auf das GPLink-Attribut oder Write DACL/Write Owner auf dem Objekt haben. Wenn nicht privilegierte Benutzer GPOs auf Domänenebene verknüpfen können, haben sie die Möglichkeit, Änderungen für alle Benutzer und Computer in der Domäne vorzunehmen. Sie können potenziell den Zugriff erhöhen und die domänenweite Sicherheitslage ändern. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Privilegieneskalation

  • ANSSI:

    vuln1_Zulassungen_gpo_ priv

  • IOE
Gastkonten, die seit mehr als 30 Tagen inaktiv waren
Prüft auf Gastkonten, die sich in den letzten 30 Tagen weder interaktiv noch nicht interaktiv angemeldet haben. Inaktive Gastkonten lassen ein offenes Tor zu Ihrem Azure-Mieter. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOE
In den letzten 30 Tagen nicht angenommene Gasteinladungen
Prüft, ob Einladungen von Gästen vorliegen, die nicht innerhalb von 30 Tagen nach der Einladung angenommen wurden. Veraltete Gasteinladungen stellen ein Sicherheitsrisiko dar und sollten gelöscht werden. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
Gastbenutzer sind nicht eingeschränkt
Überprüft, ob Gastbenutzer im Mandanten eingeschränkt sind. Angreifer können nicht eingeschränkte Gastbenutzer verwenden, um eine Aufzählung von Benutzern und Gruppen im Mandanten durchzuführen. Informativ
  • MITRE ATT&CK:

    Aufklärungsarbeit

  • IOE
Benutzerdefinierte Rollen mit hohen Privilegien
Überprüft auf benutzerdefinierte Rollen, die erhöhte Berechtigungen gewähren, damit ein Benutzer Aktionen mit den Passwörtern anderer Benutzer und MFA durchführen kann. Benutzerdefinierte Rollen gewähren erhöhte Berechtigungen und stellen möglicherweise ein erhebliches Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Vererbung auf AdminSDHolder-Objekt aktiviert
Überprüft, ob die Vererbung in der Zugriffskontrollliste (ACL) des AdminSDHolder-Objekts aktiviert ist, was auf einen Versuch hindeuten könnte, Berechtigungen für privilegierte Objekte zu ändern, die AdminSDHolder unterliegen (z. B. Benutzer oder Gruppen mit adminCount=1). Änderungen am AdminSDHolder-Objekt sind sehr selten. Administratoren sollten wissen, dass eine Änderung vorgenommen wurde, und in der Lage sein, den Grund für die Änderung zu erläutern. Wenn die Änderung nicht beabsichtigt war, ist die Wahrscheinlichkeit einer Kompromittierung sehr hoch. Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Verteidigung Umgehung

  • IOE
  • IOC
Kerberos krbtgt-Konto mit altem Passwort
Sucht nach einem krbtgt-Benutzerkonto, dessen Kennwort in den letzten 180 Tagen nicht geändert wurde. Wenn das Kennwort des krbtgt-Kontos kompromittiert ist, können Golden-Ticket-Angriffe durchgeführt werden, um Zugang zu jeder Ressource in einer AD-Domäne zu erhalten. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln2_krbtgt

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Kerberos-Protokoll-Übergangsdelegation konfiguriert
Sucht nach Diensten, die so konfiguriert wurden, dass sie den Übergang zum Kerberos-Protokoll zulassen, was im Grunde bedeutet, dass ein delegierter Dienst jedes verfügbare Authentifizierungsprotokoll verwenden kann. Kompromittierte Dienste können die Qualität ihres Authentifizierungsprotokolls verringern, das leichter kompromittiert werden kann (z. B. NTLM). Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

    Privilegieneskalation

  • IOE
  • IOC
krbtgt-Konto mit aktivierter ressourcenbasierter eingeschränkter Delegation (RBCD)
Sucht nach einem krbtgt-Konto, für das eine ressourcenbasierte eingeschränkte Delegation (RBCD) definiert ist. Normalerweise sollten für das krbtgt-Konto keine Delegationen erstellt werden; wenn sie gefunden werden, könnten sie ein erhebliches Risiko darstellen und sollten schnell entschärft werden. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
  • IOC
LDAP-Signierung ist auf Domänencontrollern nicht erforderlich
Sucht nach Domänencontrollern, bei denen eine LDAP-Signierung nicht erforderlich ist. Unsignierter Netzwerkverkehr ist anfällig für MITM-Angriffe (Man-in-the-Middle), bei denen Angreifer Pakete verändern und an den LDAP-Server weiterleiten, so dass der Server Entscheidungen auf der Grundlage gefälschter Anfragen des LDAP-Clients trifft. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
MFA nicht für privilegierte Konten konfiguriert
Überprüft, ob die Multi-Faktor-Authentifizierung (MFA) für Benutzer mit Administratorrechten aktiviert ist. Konten mit privilegiertem Zugriff sind anfälligere Ziele für Angreifer. Eine Kompromittierung eines privilegierten Benutzers stellt ein erhebliches Risiko dar und erfordert daher zusätzlichen Schutz. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Es gibt mehr als 5 globale Administratoren
Überprüft das Vorhandensein von fünf oder mehr globalen Administratoren. Globale Administratoren kontrollieren Ihre Azure AD-Umgebung und haben Zugriff auf alle Verwaltungsfunktionen und die volle Kontrolle über Azure AD. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
Neues API-Token wurde erstellt
Prüft, ob in den letzten 7 Tagen ein neues API-Token erstellt wurde. API-Tokens mit hohen Berechtigungen ermöglichen unbefugten Zugriff und Aktionen in Okta. Wenn ein Angreifer Zugriff auf das Kennwort des Tokens erhält, kann er es nutzen, um Abfragen und Aktionen durchzuführen, die möglicherweise zur Persistenz und zur Kompromittierung der Umgebung führen. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Eine neue Genehmigung wurde einer Gruppe erteilt
Überprüft, ob einer Gruppe in den letzten 7 Tagen irgendwelche Berechtigungen gewährt wurden. Mitglieder einer Gruppe mit hohen Berechtigungen können wichtige Aktionen in Okta durchführen. Daher ist es wichtig zu wissen, welche Gruppen starke Berechtigungen gewähren. Informativ
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Dem Benutzer wurde eine neue Berechtigung erteilt
Überprüft, ob einem Benutzer in den letzten 7 Tagen irgendwelche Berechtigungen gewährt wurden. Benutzer mit hohen Berechtigungen können wichtige Aktionen in Okta durchführen. Daher ist es wichtig, Benutzer zu identifizieren und zu überwachen, denen erhöhte Berechtigungen gewährt wurden, um das Risiko eines unbefugten Zugriffs und eines potenziellen Missbrauchs sensibler Daten zu mindern. Informativ
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Dem Benutzer wurde die neue Berechtigung Super Admin erteilt
Sucht nach Benutzern, denen in den letzten 7 Tagen "Super Admin"-Berechtigungen gewährt wurden. Benutzer mit "Super Admin"-Rechten haben weitreichende Privilegien und Kontrolle über kritische Aspekte der Okta-Umgebung. Die unbefugte oder übermäßige Erteilung der "Super Admin"-Berechtigung kann das Risiko einer Kompromittierung und eines unbefugten Zugriffs auf Okta erheblich erhöhen. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Neue Super-Admin-Berechtigungen wurden einer Gruppe gewährt
Prüft auf Gruppen, für die in den letzten 7 Tagen "Super Admin"-Rechte erteilt wurden. Mitglieder in einer Gruppe mit "Super Admin"-Rechten haben umfassenden Zugriff und können wichtige Aktionen in Okta durchführen. Daher ist es wichtig, genau zu überwachen und zu kontrollieren, welchen Gruppen diese starken Privilegien gewährt werden, um unbefugten Zugriff und eine mögliche Gefährdung der Okta-Umgebung zu verhindern. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Nicht-Administrator-Benutzer können benutzerdefinierte Anwendungen registrieren
Überprüft, ob es eine Autorisierungsrichtlinie gibt, die es Nicht-Administratoren ermöglicht, benutzerdefinierte Anwendungen zu registrieren. Wenn Nicht-Administrator-Benutzer benutzerdefinierte Unternehmensanwendungen registrieren dürfen, könnten Angreifer dieses Schlupfloch nutzen, um schädliche Anwendungen zu registrieren, die sie dann nutzen können, um zusätzliche Berechtigungen zu erhalten. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOE
Nicht standardmäßiger Zugang zum DPAPI-Schlüssel
Überprüft Domänencontroller auf Nicht-Standard-Principals, die berechtigt sind, den Domänen-DPAPI-Backup-Schlüssel abzurufen. Mit diesen Berechtigungen könnte ein Angreifer alle über DPAPI verschlüsselten Domänendaten wiederherstellen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln1_erlaubnisse_dpapi

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Nicht standardmäßiger Zugriff auf den gMSA-Root-Schlüssel
Sucht nach Nicht-Standard-Principals mit der Berechtigung, das Attribut msKds-RootKeyData auf dem KDS-Root-Schlüssel zu lesen. Benutzer mit Leseberechtigungen für diese Eigenschaft könnten jedes gMSA-Konto in der Gesamtstruktur gefährden. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln1_Zulassungen_ gmsa_Schlüssel

    vuln2_Zulassungen_ gmsa_Schlüssel

  • IOE
  • IOC
Nicht standardmäßige Prinzipale mit DC-Synchronisierungsrechten in der Domäne
Sucht nach Sicherheitsprinzipalen mit den Berechtigungen Replicating Changes All oder Replicating Directory Changes für das Domänenbenennungskontextobjekt. Sicherheits Grundsätze mit diesen Berechtigungen für das Domänenbenennungskontextobjekt können potenziell Passwort-Hashes für Benutzer in einer AD-Domäne abrufen (DCSync-Angriff). Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln1_erlaubnisse_benennen_kontext

  • IOE
Nicht standardmäßiger Wert für ms-Mcs-AdmPwd SearchFlags
Sucht nach Änderungen an den standardmäßigen searchFlags im Schema ms-Mcs-AdmPwd. Einige Flags können versehentlich dazu führen, dass das Kennwort für unbeabsichtigte Benutzer sichtbar ist, so dass ein Angreifer es als heimliche Hintertür verwenden kann. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
  • IOC
Nicht privilegierte Benutzer mit Zugang zu gMSA-Passwörtern
Sucht nach Principals, die in der MSDS-groupMSAmembership aufgeführt sind und nicht zu den integrierten Admin-Gruppen gehören. Ein Angreifer, der den Zugriff auf das gMSA-Konto kontrolliert, kann Passwörter für mit gMSA verwaltete Ressourcen abrufen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
  • IOC
Nicht standardmäßige Schema-Berechtigungen
Sucht nach zusätzlichen Principals mit einer Berechtigung, die über die allgemeine Leseberechtigung für die Schemapartitionen hinausgeht. Standardmäßig sind die Änderungsberechtigungen für das Schema auf Schema-Admins beschränkt. Diese Berechtigungen gewähren dem vertrauenswürdigen Prinzipal die vollständige Kontrolle über das Active Directory. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • MITRE D3FEND:

    Härten - Berechtigungen für die Systemkonfiguration

  • IOE
  • IOC
Nicht-synchronisierter AAD-Benutzer, der für eine privilegierte Rolle berechtigt ist
Sucht nach Azure AD-Benutzern, die für eine Rolle mit hohen Rechten in Frage kommen und das proxyAddress-Attribut haben, aber nicht mit einem AD-Konto synchronisiert sind. Ein Angreifer könnte den SMTP-Abgleich verwenden, um kontrollierte AD-Benutzer mit AAD-Benutzern zu synchronisieren, die für Rollen mit hohen Rechten in Frage kommen. Dieser Prozess überschreibt das AAD-Passwort und könnte zu einer Privilegienerweiterung über AAD führen. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
NTFRS SYSVOL-Replikation
Sucht nach Hinweisen auf die Verwendung von FRS für die SYSVOL-Replikation. NTFRS ist ein älteres Protokoll, das durch DFSR ersetzt wurde. Angreifer, die NTFRS-Schwachstellen manipulieren können, um SYSVOL zu kompromittieren, können möglicherweise GPOs und Anmeldeskripte ändern, um Malware zu verbreiten und sich seitlich in der Umgebung zu bewegen. Warnung
  • MITRE ATT&CK:

    Sammlung

  • ANSSI:

    vuln2_sysvol_ntfrs

  • IOE
Nummernabgleich in MFA aktiviert
Überprüft, ob der Nummernabgleich in der MFA-Microsoft-Authentifizierung aktiviert ist. Wenn der Nummernabgleich in MFA aktiviert ist, sind Benutzer anfällig für MFA-Bombing-Angriffe. MFA-Bombing ist eine Taktik, bei der ein Angreifer den Benutzer mit MFA-Anfragen überschüttet und der Benutzer die Anfrage unwissentlich oder unfreiwillig akzeptiert. Warnung
  • MITRE ATT&CK:

    Erster Zugang

  • IOE
Objekte in integrierten geschützten Gruppen ohne adminCount=1 (SDProp)
Sucht nach Objekten in eingebauten geschützten Gruppen, deren adminCount-Attribut nicht auf 1 gesetzt ist. Wenn ein Objekt in diesen Gruppen einen adminCount ungleich 1 hat, könnte dies bedeuten, dass die DACLs manuell gesetzt wurden (keine Vererbung) oder dass es ein Problem mit SDProp gibt. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Persistenz

  • IOE
  • IOC
Objekte mit eingeschränkter Delegation konfiguriert
Sucht nach allen Objekten, die Werte im Attribut msDS-AllowedToDelegateTo haben (d. h. eingeschränkte Delegation) und bei denen das UserAccountControl-Bit für den Protokollübergang nicht gesetzt ist. Angreifer können Delegationen verwenden, um sich seitlich zu bewegen oder ihre Privilegien zu erweitern, wenn sie einen Dienst kompromittieren, dem die Delegierung vertraut wird. Informativ
  • MITRE ATT&CK:

    Seitliche Bewegung

    Privilegieneskalation

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
  • IOC
Bedienergruppen nicht mehr durch AdminSDHolder und SDProp geschützt
Überprüft, ob dwAdminSDExMask auf dsHeurstics gesetzt wurde, was auf eine Änderung des SDProp-Verhaltens hinweist, die die Sicherheit beeinträchtigen könnte. Eine Änderung des AdminSDHolder-SDProp-Verhaltens könnte auf einen Versuch hinweisen, die Verteidigung zu umgehen. Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Operatorgruppen, die nicht leer sind
Sucht nach Operatorgruppen (Account Operators, Server Operators, Backup Operators, Print Operators), die Mitglieder enthalten. Diese Gruppen haben Schreibzugriff auf wichtige Ressourcen in der Domäne; Angreifer, die Mitglieder dieser Gruppen sind, können indirekt die Kontrolle über die Domäne übernehmen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Ausgehendes Waldvertrauen mit aktivierter SID-Historie
Sucht nach ausgehenden Forest-Trusts, bei denen das Flag TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL auf true gesetzt ist. Wenn dieses Flag gesetzt ist, wird eine forstübergreifende Vertrauensstellung zu einer Domäne für die Zwecke der SID-Filterung als externe Vertrauensstellung behandelt. Dieses Attribut lockert die strengere Filterung, die bei forstübergreifenden Trusts durchgeführt wird. Warnung
  • MITRE ATT&CK:

    Seitliche Bewegung

  • ANSSI:

    vuln1_trusts_forest_sid- Geschichte

  • MITRE D3FEND:

    Harden - Domain Trust Policy

  • IOE
Überprüfung der Passwortrichtlinien
Bewertet alle Passwortrichtlinien und überprüft, ob sie den Empfehlungen von Okta entsprechen. Eine starke Passwortrichtlinie ist entscheidend, um unbefugten Zugriff auf die Umgebung durch Brute-Force-Angriffe zu verhindern. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Berechtigungsänderungen am AdminSDHolder-Objekt
Sucht nach Änderungen der Zugriffskontrollliste (ACL) für das Objekt AdminSDHolder. Könnte auf einen Versuch hinweisen, Berechtigungen für privilegierte Objekte zu ändern, die AdminSDHolder unterliegen. Kritisch
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Privilegieneskalation

  • ANSSI:

    vuln1_Zulassungen_ adminsdholder

    vuln1_privilegiert_mem- bers_perm

  • IOE
  • IOC
Primäre Benutzer mit SPN unterstützen keine AES-Verschlüsselung bei Kerberos
Zeigt alle primären Benutzer mit servicePrincipalNames (SPNs) an, die den Verschlüsselungstyp AES-128 oder AES-256 nicht unterstützen. Die AES-Verschlüsselung ist stärker als die RC4-Verschlüsselung. Wenn Sie primäre Benutzer mit SPNs konfigurieren, die AES-Verschlüsselung unterstützen, werden Angriffe wie Kerberoasting nicht abgeschwächt. Es erzwingt jedoch standardmäßig die AES-Verschlüsselung, was bedeutet, dass es möglich ist, Angriffe auf die RC4-Verschlüsselung (Kerberoasting-Angriffe) zu überwachen. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
Prinzipale mit aktivierter eingeschränkter Authentifizierungsdelegation für einen DC-Dienst
Sucht nach Computern und Benutzern, bei denen die eingeschränkte Delegation für einen auf einem DC ausgeführten Dienst aktiviert ist. Wenn ein Angreifer eine solche Delegation erstellen kann, kann er sich bei diesem Dienst mit einem beliebigen Benutzer authentifizieren, der nicht gegen Delegation geschützt ist. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
  • IOC
Auftraggeber mit eingeschränkter Delegation und aktiviertem Protokollübergang für einen DC-Dienst
Sucht nach Computern und Benutzern, die eine eingeschränkte Delegation mittels Protokollübergang für einen auf einem DC laufenden Dienst definiert haben. Wenn ein Angreifer eine solche Delegation für einen Dienst erstellen kann, den er kontrollieren kann, oder einen bestehenden Dienst kompromittieren kann, kann er effektiv eine TGS für jeden Benutzer mit Berechtigungen für den DC erlangen. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_delegation_t2a4d

  • IOE
  • IOC
Der Druckspooler-Dienst ist auf einem DC aktiviert
Sucht nach Domänencontrollern, auf denen der Druckspooler-Dienst läuft, der standardmäßig aktiviert ist. Es wurden mehrere kritische Schwachstellen in Windows Print Spooler-Diensten gefunden, die sich direkt auf die auf Domänencontrollern installierten Druckspooler auswirken und Remotecodeausführung ermöglichen. Kritisch
  • MITRE ATT&CK:

    Ausführung

    Seitliche Bewegung

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Software-Aktualisierung

  • IOE
Privilegierte Konten mit einem Passwort, das nie abläuft
Identifiziert privilegierte Konten (adminCount = 1), bei denen das Kennzeichen "Passwort läuft nie ab" gesetzt ist. Benutzerkonten, deren Kennwörter nie ablaufen, sind ein ideales Ziel für das Erraten von Kennwörtern mit roher Gewalt. Wenn es sich bei diesen Konten auch um administrative oder privilegierte Konten handelt, sind sie ein noch größeres Ziel. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • ANSSI:

    vuln1_dont_expire_priv

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Privilegierte Gruppe enthält Gastkonto
Überprüft, ob Gastkonten irgendwelche privilegierten Rollen zugewiesen wurden. Externe Angreifer haben es auf privilegierte Konten abgesehen, da sie einen schnellen Zugang zu den kritischsten Systemen eines Unternehmens ermöglichen. Gastkonten stellen eine externe Entität dar, für die nicht dieselben Sicherheitsvorkehrungen gelten wie für Benutzer in Ihrem Tenant; daher stellt die Zuweisung privilegierter Rollen an sie ein erhöhtes Risiko dar. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
Privilegierte Objekte mit unprivilegierten Eigentümern
Sucht nach privilegierten Objekten (adminCount =1), die im Besitz eines unprivilegierten Kontos sind. Jede Kompromittierung eines unprivilegierten Kontos könnte dazu führen, dass die Delegation eines privilegierten Objekts geändert wird. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_Zulassungen_ adminsdholder

  • IOE
Berechtigungsnachweise für privilegierte Benutzer auf RODC zwischengespeichert
Sucht nach privilegierten Benutzern mit Anmeldeinformationen, die auf RODCs zwischengespeichert sind. Auch wenn dies nicht unmittelbar auf einen Angriff hindeutet, sind privilegierte Benutzerkonten sensibel und sollten nicht auf RODCs zwischengespeichert werden, da ihre physische Sicherheit nicht so robust ist wie die eines vollständigen DC. Informativ
  • MITRE ATT&CK:

    Seitliche Bewegung

    Privilegieneskalation

  • IOE
Privilegierte Benutzer, die deaktiviert sind
Sucht nach privilegierten Benutzerkonten, die deaktiviert sind. Wenn ein privilegiertes Konto deaktiviert ist, sollte es aus seiner/ihren privilegierten Gruppe(n) entfernt werden, um versehentlichen Missbrauch zu verhindern. Informativ
  • MITRE ATT&CK:

    Privilegieneskalation

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Privilegierte Benutzer mit definierten ServicePrincipalNames
Sucht nach Konten, bei denen das adminCount-Attribut auf 1 gesetzt ist UND ServicePrincipalNames (SPNs) für das Konto definiert sind. Privilegierte Konten, für die ein SPN definiert ist, sind Ziele für Kerberos-basierte Angriffe, die die Berechtigungen dieser Konten erhöhen können. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • ANSSI:

    vuln1_spn_priv

  • IOE
  • IOC
Privilegierte Benutzer mit schwacher Passwortpolitik
Sucht in jeder Domäne nach privilegierten Benutzern, für die keine strenge Kennwortrichtlinie gemäß dem ANSSI-Rahmenwerk durchgesetzt wurde. Dabei werden sowohl die Fine-Grained Password Policy (FGPP) als auch die für die Domäne geltende Kennwortrichtlinie überprüft. Ein von ANSSI definiertes sicheres Passwort ist mindestens acht Zeichen lang und wird spätestens alle drei Jahre aktualisiert. Schwache Passwörter sind durch Brute-Force-Angriffe leichter zu knacken und können Angreifern die Möglichkeit bieten, sich seitlich zu bewegen oder ihre Privilegien zu erweitern. Das Risiko ist bei privilegierten Konten sogar noch höher, denn wenn sie kompromittiert werden, verbessern sie die Chancen des Angreifers, schnell innerhalb des Netzwerks vorzudringen. Kritisch
  • MITRE ATT&CK:

    Entdeckung

  • ANSSI:

    vuln2_privileged_mem- bers_password

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
  • IOC
Gruppe "Geschützte Benutzer" nicht in Gebrauch
Erkennt, wenn privilegierte Benutzer nicht Mitglied der Gruppe "Geschützte Benutzer" sind. Die Gruppe "Geschützte Benutzer" bietet privilegierten Benutzern einen zusätzlichen Schutz vor direkten Angriffen zum Diebstahl von Anmeldeinformationen. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln3_geschützte_Benutzer

  • IOE
Der Verschlüsselungstyp RC4 oder DES wird von Domain Controllern unterstützt
Überprüft, ob die RC4- oder DES-Verschlüsselung von den Domänencontrollern unterstützt wird. RC4 und DES gelten als eine unsichere Form der Verschlüsselung, die für verschiedene kryptografische Angriffe anfällig ist. Mehrere Schwachstellen im RC4- oder DES-Algorithmus ermöglichen MITM- (Man-in-the-Middle) und Entschlüsselungsangriffe. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
Jüngste Aktivitäten zur Erstellung von privilegierten Konten
Sucht nach privilegierten Benutzern oder Gruppen (adminCount = 1), die kürzlich erstellt wurden. Ermöglicht es Ihnen, privilegierte Konten und Gruppen zu erkennen, die ohne vorherige Kenntnis erstellt wurden. Informativ Informativ
  • MITRE ATT&CK:

    Persistenz

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
  • IOC
Jüngste sIDHistory-Änderungen an Objekten
Erkennt alle kürzlichen Änderungen an der sIDHistory von Objekten, einschließlich Änderungen an nicht privilegierten Konten, bei denen privilegierte SIDs hinzugefügt werden. Angreifer benötigen privilegierten Zugriff auf AD, um in die sIDHistory schreiben zu können. Wenn diese Rechte jedoch vorhanden sind, ist das Schreiben von privilegierten SIDs in reguläre Benutzerkonten eine heimliche Methode zur Erstellung von Backdoor-Konten. Informativ
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
  • IOC
Ressourcenbasierte eingeschränkte Delegation auf das AZUREADSSOACC-Konto angewendet
Sucht nach ressourcenbasierter eingeschränkter Delegation, die für das Azure SSO-Konto AZUREADSSOACC konfiguriert ist. Ein Konto mit ressourcenbasierter eingeschränkter Delegation würde diesem Principal erlauben, eine Ticket Granting Service (TGS)-Anfrage an den Azure-Tenant im Namen des AZUREADSSOACC-Kontos als beliebiger Benutzer zu erstellen und sich als dieser Benutzer auszugeben. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

  • IOE
Umkehrbare Passwörter in GPOs gefunden
Sucht im SYSVOL nach GPOs, die Passwörter enthalten, die von einem Angreifer leicht entschlüsselt werden können (sogenannte "Cpassword"-Einträge). Dieser Bereich ist eines der ersten Dinge, nach denen Angreifer suchen, wenn sie sich Zugang zu einer AD-Umgebung verschafft haben. Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • MITRE D3FEND:

    Detect - Emulierte Datei-Analyse

  • IOE
Riskante RODC-Zwischenspeicherung von Anmeldeinformationen
Sucht nach einer Kennwortreplikationsrichtlinie, die privilegierte Objekte zulässt. Wenn privilegierte Benutzer in der Zulassungsliste enthalten sind, können sie dem Diebstahl von Anmeldeinformationen auf einer RODC ausgesetzt sein. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln2_rodc_priv_ enthüllt

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Sicherheitsvorgaben nicht aktiviert
Wenn keine Richtlinien für den bedingten Zugriff konfiguriert sind, prüft dieser Indikator, ob die Sicherheitsvorgaben aktiviert sind. Es wird empfohlen, Sicherheitsvorgaben für Tenants zu verwenden, die keine Richtlinien für bedingten Zugriff konfiguriert haben. Die Sicherheitsvorgaben erfordern MFA, blockieren die Legacy-Authentifizierung und erfordern eine zusätzliche Authentifizierung beim Zugriff auf das Azure-Portal, die Azure PowerShell und die Azure-CLI. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Erster Zugang

  • IOE
SMBv1 ist auf Domänencontrollern aktiviert
Sucht nach Domänencontrollern, bei denen das SMBv1-Protokoll aktiviert ist. SMBv1 ist ein altes Protokoll (von Microsoft im Jahr 2014 abgelehnt), das als unsicher und anfällig für alle Arten von Angriffen gilt. Kritisch
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Privilegieneskalation

  • IOE
SSO-Computerkonto mit Passwort, das zuletzt vor mehr als 90 Tagen festgelegt wurde
Überprüft das Azure SSO-Computerkonto (AZUREADSSOACC), um festzustellen, ob das Kennwort in den letzten 90 Tagen geändert wurde. Das Kennwort für das Azure SSO-Computerkonto wird nicht automatisch alle 30 Tage geändert. Wenn das Kennwort für dieses Konto kompromittiert ist, könnte ein Angreifer eine Ticket Granting Service (TGS)-Anforderung an das AZUREADSSOACC-Konto als beliebiger Benutzer generieren, was zur Folge hat, dass ein Ticket für Azure generiert wird und sich dieser Benutzer ausgibt. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln2_Passwort_ändern_Server_nicht_ändern_90

  • IOE
SYSVOL Ausführbare Änderungen
Sucht nach Änderungen an ausführbaren Dateien innerhalb von SYSVOL. Änderungen an den ausführbaren Dateien innerhalb von SYSVOL sollten berücksichtigt oder untersucht werden, um eine mögliche Schwächung der Sicherheitslage festzustellen. Warnung
  • MITRE ATT&CK:

    Persistenz der Ausführung

    Privilegieneskalation

  • MITRE D3FEND:

    Erkennen - Datei-Analyse

  • IOE
  • IOC
Konten mit alten Passwörtern vertrauen
Sucht nach Vertrauenskonten, deren Kennwort im letzten Jahr nicht geändert wurde. Vertrauenskonten erleichtern die Authentifizierung über Vertrauensstellungen hinweg und sollten wie privilegierte Benutzerkonten geschützt werden. Normalerweise werden die Passwörter von Treuhandkonten automatisch geändert, so dass ein Treuhandkonto ohne aktuelle Passwortänderung auf ein verwaistes Treuhandkonto hinweisen könnte. Informativ
  • MITRE ATT&CK:

    Erster Zugang

  • ANSSI:

    vuln2_trusts_accounts

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Unprivilegierte Prinzipale als DNS-Administratoren
Sucht nach jedem Mitglied der Gruppe DNS-Admins, das kein privilegierter Benutzer ist. Mitglieder dieser Gruppe können an Nicht-AD-Administratoren delegiert werden (z. B. Admins mit Netzwerkverantwortung, wie DNS, DHCP usw.), was dazu führen kann, dass diese Konten Hauptziele für Kompromisse sind. Warnung
  • MITRE ATT&CK:

    Ausführung

  • ANSSI:

    vuln1_dnsadmins

    vuln1_erlaubnisse_msdn

  • IOE
Unprivilegierte Benutzer können der Domäne Computerkonten hinzufügen
Überprüft, ob unprivilegierte Domänenmitglieder Computerkonten zu einer Domäne hinzufügen dürfen. Die Möglichkeit, Computerkonten zu einer Domäne hinzuzufügen, kann durch Kerberos-basierte Angriffe missbraucht werden. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Seitliche Bewegung

  • IOE
Ungeschützte Konten mit adminCount=1
Sucht nach Benutzern oder Gruppen, die möglicherweise unter der Kontrolle von SDProp stehen (adminCount=1), aber nicht mehr Mitglied einer privilegierten Gruppe sind. Dies könnte ein Hinweis auf einen Angreifer sein, der versucht hat, seine Spuren zu verwischen und einen Benutzer zu entfernen, den er zur Kompromittierung verwendet hat. Informativ
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
  • IOC
Uneingeschränkte Zustimmung der Nutzer erlaubt
Überprüft, ob Benutzer Anwendungen von ungeprüften Herausgebern hinzufügen dürfen. Wenn Benutzer Anwendungen von Drittanbietern zustimmen dürfen, besteht ein erhebliches Risiko, dass eine zugelassene Anwendung aufdringliche oder riskante Aktionen durchführt. Warnung
  • MITRE ATT&CK:

    Seitliche Bewegung

    Persistenz

  • IOE
Ungesicherte DNS-Konfiguration
Sucht nach DNS-Zonen, die mit ZONE_UPDATE_UNSECURE konfiguriert sind, was eine anonyme Aktualisierung eines DSN-Eintrags ermöglicht. Ein Angreifer könnte diese Schwachstelle ausnutzen, um einen neuen DSN-Eintrag hinzuzufügen oder einen bestehenden DNS-Eintrag zu ersetzen, um eine Verwaltungsschnittstelle zu fälschen und dann auf eingehende Verbindungen zu warten, um Anmeldeinformationen zu stehlen. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_dnszone_schlecht_ prop

  • IOE
Benutzerkonten, die Kennwörter mit umkehrbarer Verschlüsselung speichern
Identifiziert Konten, bei denen das Kennzeichen "ENCRYPTED_TEXT_PWD_ALLOWED" aktiviert ist. Angreifer können möglicherweise die Kennwörter dieser Benutzer aus dem Chiffretext ableiten und diese Konten übernehmen. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln3_reversibel_passwort

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Benutzerkonten, die DES-Verschlüsselung verwenden
Identifiziert Benutzerkonten, bei denen das Kennzeichen "Kerberos DES-Verschlüsselungstypen für dieses Konto verwenden" gesetzt ist. Angreifer können DES-Passwörter mit weit verbreiteten Tools leicht knacken, so dass diese Konten leicht übernommen werden können. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln2_kerberos_properties_deskey

  • IOE
Benutzerkonten mit Passwort nicht erforderlich
Identifiziert Benutzerkonten, für die kein Kennwort erforderlich ist. Konten mit schwachen Zugriffskontrollen werden oft gezielt eingesetzt, um sich seitlich zu bewegen oder in der Umgebung dauerhaft Fuß zu fassen. Informativ
  • MITRE ATT&CK:

    Seitliche Bewegung

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Benutzeraktivierung in den letzten 7 Tagen
Prüft auf Benutzer, die in den letzten 7 Tagen aktiviert wurden. Aktivierte Benutzer haben die Möglichkeit, sich zu authentifizieren und Aktionen innerhalb der Okta-Umgebung durchzuführen. Daher ist es wichtig, den Aktivierungsstatus von Benutzern zu überwachen und zu überprüfen, um sicherzustellen, dass nur autorisierte Personen Zugriff haben. Informativ
  • MITRE ATT&CK:

    Persistenz

  • MITRE D3FEND:

    Harden - Benutzerkonto-Berechtigungen

  • IOE
Benutzerdeaktivierung in den letzten 7 Tagen
Sucht nach Benutzern, die in den letzten 7 Tagen deaktiviert wurden. Deaktivierte Benutzer sind nicht mehr in der Lage, sich zu authentifizieren und Aktionen innerhalb der Okta-Umgebung durchzuführen. Ein Angreifer kann jedoch einen Benutzer absichtlich deaktivieren, um das Funktionieren der Umgebung zu stören oder um seine Aktivitäten zu verbergen. Es ist wichtig, den Deaktivierungsstatus von Benutzern zu überwachen und zu überprüfen, um sicherzustellen, dass er mit den beabsichtigten Zugriffskontrollen übereinstimmt. Informativ
  • IOE
Benutzer und Computer mit nicht standardmäßigen Primärgruppen-IDs
Gibt eine Liste aller Benutzer und Computer zurück, deren Primärgruppen-IDs (PGIDs) nicht den Standardwerten für Domänenbenutzer und Computer entsprechen. Das Ändern der primären Gruppen-ID ist für einen Angreifer eine heimliche Möglichkeit, seine Privilegien zu erweitern, ohne dass eine Prüfung der Mitgliederattribute für Änderungen der Gruppenmitgliedschaft ausgelöst wird. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_primäre_Gruppe_ id_1000

    vuln3_primäre_Gruppe_ id_noch Change

  • IOE
  • IOC
Benutzer und Computer ohne lesbare PGID
Findet Benutzer und Computer, die die Primärgruppen-ID (PGID) nicht lesen können. Kann durch das Entfernen der Standard-Leseberechtigung verursacht werden, was auf einen Versuch hinweisen könnte, den Benutzer zu verstecken (in Kombination mit dem Entfernen des Attributs memberOf). Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

  • IOE
  • IOC
Seit mindestens 90 Tagen inaktive Benutzer oder Geräte
Es wird nach Benutzern oder Geräten gesucht, die sich in den letzten 90 Tagen nicht angemeldet haben. Benutzer oder Geräte, die seit 90 Tagen oder länger inaktiv sind, werden wahrscheinlich nicht mehr verwendet und lassen ein offenes Tor zum Azure AD-Tenant. Warnung
  • MITRE ATT&CK:

    Persistenz

    Privilegieneskalation

  • IOE
Benutzer mit deaktivierter Kerberos-Vorabauthentifizierung
Sucht nach Benutzern mit deaktivierter Kerberos-Vorauthentifizierung. Diese Benutzer können Ziel von ASREP-Roasting-Angriffen (wie "Kerberoasting") sein. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln1_kerberos_prop- erties_preauth_priv

    vuln2_kerberos_prop- erties_preauth

  • IOE
Benutzer mit alten Passwörtern
Sucht nach Benutzerkonten, deren Kennwort seit über 180 Tagen nicht mehr geändert wurde. Diese Konten könnten ein gefundenes Fressen für Angriffe zum Erraten von Passwörtern sein. Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

    Persistenz

  • MITRE D3FEND:

    Harden - Richtlinie für sichere Passwörter

  • IOE
Benutzer mit gesetztem Kennzeichen "Passwort läuft nie ab
Identifiziert Benutzerkonten, bei denen das Kennzeichen "Kennwort läuft nie ab" gesetzt ist. Diese Konten können potenzielle Ziele für Brute-Force-Kennwortangriffe sein. Informativ
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • ANSSI:

    vuln2_dont_expire

  • IOE
Benutzer mit der Berechtigung zum Festlegen des Serververtrauenskontos
Überprüft die Domänen-NC-Kopf-Berechtigungen, um festzustellen, ob das Server_Trust_Account-Flag auf Computerobjekten gesetzt ist. Ein Angreifer, der authentifizierte Benutzer mit diesen Berechtigungen ausstatten kann, kann seinen Zugriff nutzen, um jeden Computer, den er kontrolliert, in den Status eines Domänencontrollers zu versetzen, was eine Privilegienerweiterung auf AD-Dienste und die Durchführung von Angriffen auf Anmeldeinformationen wie DCSync ermöglicht. Kritisch
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE
Benutzer mit ServicePrincipalName definiert
Bietet eine Möglichkeit zur visuellen Bestandsaufnahme aller Benutzerkonten, für die ServicePrincipalNames (SPNs) definiert sind. Im Allgemeinen werden SPNs nur für "kerberisierte" Dienste definiert; andere Konten mit einem SPN können Anlass zur Sorge sein. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • MITRE D3FEND:

    Detect - Überwachung von Domänenkonten

  • IOE
  • IOC
Benutzer ohne Multi-Faktor-Authentifizierung (MFA)
Überprüft alle Benutzer, um diejenigen zu identifizieren, die sich nicht für die Multi-Faktor-Authentifizierung (MFA) registriert haben. Für Benutzer, die nicht mit MFA konfiguriert sind, besteht ein hohes Risiko, kompromittiert zu werden. Dies stellt nicht nur für den Benutzer, sondern auch für die gesamte Umgebung eine erhebliche Gefahr dar. Warnung
  • MITRE ATT&CK:

    Erster Zugang

  • IOE
Schwache Zertifikatsverschlüsselung
Sucht nach in Active Directory gespeicherten Zertifikaten mit einer Schlüsselgröße von weniger als 2048 Bit oder mit DSA-Verschlüsselung. Schwache Zertifikate können von Angreifern missbraucht werden, um Zugriff auf Systeme zu erhalten, die eine Zertifikatsauthentifizierung verwenden. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • ANSSI:

    vuln1_zertifikate_vuln

  • MITRE D3FEND:

    Harden - Zertifikatsbasierte Authentifizierung

  • IOE
Wohlbekannte privilegierte SIDs in sIDHistory
Sucht nach Sicherheitsprinzipalen, die bestimmte SIDs von Konten aus integrierten privilegierten Gruppen im Attribut sIDHistory enthalten. Ermöglicht es diesen Sicherheitsprinzipalen, die gleichen Rechte wie diese privilegierten Konten zu haben, jedoch auf eine Weise, die für die Überwachung nicht offensichtlich ist (z. B. durch die Gruppenzugehörigkeit). Warnung
  • MITRE ATT&CK:

    Verteidigung Umgehung

    Privilegieneskalation

  • ANSSI:

    vuln2_sidhistory_dan- gerous vuln3_sidhistory_present

  • IOE
  • IOC
Schreibzugriff auf RBCD auf DC
Sucht nach Benutzern, die nicht in den Gruppen Domain Admins, Enterprise Admins oder Built-in Admins sind, die Schreibzugriff auf Resource-Based Constrained Delegation (RBCD) für Domain Controller haben. Angreifer, die sich Schreibzugriff auf RBCD für eine Ressource verschaffen können, können die Ressource dazu bringen, sich als ein beliebiger Benutzer auszugeben (außer in Fällen, in denen die Delegierung explizit verboten ist). Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Schreibzugriff auf RBCD auf krbtgt-Konto
Sucht nach Benutzern, die nicht in den Gruppen Domain Admins, Enterprise Admins oder Built-in Admins sind, die Schreibzugriff auf Resource-Based Constrained Delegation (RBCD) für das krbtgt-Konto haben. Angreifer, die sich Schreibzugriff auf RBCD für eine Ressource verschaffen können, können die Ressource dazu bringen, sich als ein beliebiger Benutzer auszugeben (es sei denn, die Delegation ist explizit nicht erlaubt). Warnung
  • MITRE ATT&CK:

    Zugang zu Anmeldeinformationen

  • IOE
Verwundbarkeit von Zerologon
Sucht nach einer Sicherheitslücke für CVE-2020-1472, die von Microsoft im August 2020 gepatcht wurde. Ohne diesen Patch kann ein nicht authentifizierter Angreifer die Sicherheitslücke CVE-2020-1472 ausnutzen, um seine Berechtigungen zu erhöhen und administrativen Zugriff auf die Domäne zu erhalten. Warnung
  • MITRE ATT&CK:

    Privilegieneskalation

  • IOE

Regelmäßig von unserem Bedrohungsforschungsteam aktualisierte Sicherheitsindikatoren

Purple Knight scannt Ihre Active Directory-Umgebung auf mehr als 150 Sicherheitsindikatoren, die auf eine Gefährdung oder Beeinträchtigung hindeuten, einschließlich riskanter Konfigurationen und ungepatchter Schwachstellen, die zu einem Angriff führen könnten.

Wer steckt dahinter?

Unter der Leitung von CTO und Microsoft MVP Guy Teverovsky untersucht unser Expertenteam kontinuierlich, wie Cyberkriminelle Active Directory ausnutzen und entwickelt Indikatoren, um Ihre AD-Schwachstellen aufzudecken, bevor es Angreifer tun.

100+ Jahre

kombinierte Microsoft-Erfahrung

Was sagen die Benutzer von Purple Knight ?

 

Purple Knight ist ein leistungsfähiges Tool mit einer Reihe von gut gemachten Skripten, die Ihnen auf fantastische Weise einige der versteckten Aspekte Ihrer AD zeigen, die nur darauf warten, von der falschen Person entdeckt zu werden.Patrick Emerick Leitender Systemingenieur | Schulbezirk Bethe l
Ich empfehle Purple Knight wegen seiner Benutzerfreundlichkeit - es ist GUI-basiert, gibt Ihnen einen schnellen Bericht und eine gute, einfache Checkliste mit Dingen, an denen Sie arbeiten sollten.Jim Shakespear Direktor für IT-Sicherheit | Southern Utah University 
Purple Knight ist das erste Tool, das ich verwendet habe, das so dermaßen tief in Active Directory eindringt. Es funktioniert so gut, dass ich nichts anderes finden musste. Micah Clark IT-Manager | Central Utah Notfallkommunikation
Der Purple Knight Bericht half uns dabei, sofortige Maßnahmen zu ergreifen, z. B. Active Directory-Konten, die nicht hätten aktiviert werden dürfen, abzuschalten oder zu deaktivieren. Und dann half er uns, einen langfristigen Wartungsplan zu entwickeln. CISO Kanadisches Fertigungsunternehmen