{"id":289016,"date":"2023-12-09T00:22:00","date_gmt":"2023-12-08T23:22:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289016"},"modified":"2023-12-06T15:54:11","modified_gmt":"2023-12-06T14:54:11","slug":"risiko-active-directory-die-hufigsten-fehlkonfigurationen-standardkonfigurationen-forest-druid-zur-analyse","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/09\/risiko-active-directory-die-hufigsten-fehlkonfigurationen-standardkonfigurationen-forest-druid-zur-analyse\/","title":{"rendered":"Risiko Active Directory-Fehlkonfigurationen; Forest Druid zur Analyse"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/12\/09\/risk-of-active-directory-misconfigurations-forest-druid-for-analysis\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Heute noch ein Sammelbeitrag zur IT-Sicherheit. Fehlkonfigurationen und Standardeinstellungen des Active Directory k\u00f6nnen die IT-Sicherheit von Unternehmen gef\u00e4hrden. Bastien Bossiroy von den NVISO Labs hat sich Gedanken um dieses Thema gemacht und bereits Ende Oktober 2023 einen Beitrag zu den h\u00e4ufigsten Fehlkonfigurationen\/Standardkonfigurationen des Active Directory, die Unternehmen gef\u00e4hrden, ver\u00f6ffentlicht. Zudem ist mir k\u00fcrzlich ein Hinweis auf \"Forest Druid\" untergekommen, ein kostenloses Attack-Path-Management-Tool von Semperis.<\/p>\n<p><!--more--><\/p>\n<h2>Risiko Active Directory-Fehlkonfigurierungen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/fd3846ddc159402b868064cbe13e217a\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin die Tage \u00fcber nachfolgenden Tweet auf diese Information gesto\u00dfen. Die Details lassen sich im NVISO Labs-Blog im Beitrag <a href=\"https:\/\/blog.nviso.eu\/2023\/10\/26\/most-common-active-directory-misconfigurations-and-default-settings-that-put-your-organization-at-risk\/\" target=\"_blank\" rel=\"noopener\">Most common Active Directory misconfigurations and default settings that put your organization at risk<\/a> nachlesen.<\/p>\n<p><a href=\"https:\/\/blog.nviso.eu\/2023\/10\/26\/most-common-active-directory-misconfigurations-and-default-settings-that-put-your-organization-at-risk\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Most common Active Directory misconfigurations and default settings that put your organization at risk\" src=\"https:\/\/i.postimg.cc\/VkQv3F5h\/image.png\" alt=\"Most common Active Directory misconfigurations and default settings that put your organization at risk\" \/><\/a><\/p>\n<p>Der Beitrag geht von Administratorkonten, die f\u00fcr die Delegation zugelassen sind (Standardvorgabe im AD), \u00fcber fehlende AES-Verschl\u00fcsselung bei Dienstkonten, die nicht nicht erzwungen wird, bis hin zum Druckspooler, der auf Dom\u00e4nencontrollern aktiviert ist. Auch die M\u00f6glichkeit, dass Benutzer Maschinenkonten erstellen k\u00f6nnen, wird angesprochen. Vielleicht sind ja hilfreiche Hinweise f\u00fcr AD-Administratoren dabei.<\/p>\n<blockquote><p>Weil es Gerade passt: Mir ist vor einigen Tagen der Beitrag \"<a href=\"https:\/\/www.golem.de\/news\/microsoft-netzwerke-das-grosse-security-desaster-in-der-it-2311-179535.html\" target=\"_blank\" rel=\"noopener\">Microsoft-Netzwerke: Das gro\u00dfe Security-Desaster in der IT<\/a>\" von Holger Voges bei den Kollegen von Golem untergekommen. Voges nimmt sich Microsofts Netzwerke vor und zeigt, dass da vieles sicherer sein k\u00f6nnte, wenn Microsoft da bestimmte Funktionen, die an Bord sind, breiter vorstellen und ggf. aktivieren w\u00fcrde. Neben dem Thema LAPS (hatten wir schon mal hier im Blog) kommt auch der Stichpunkt Managed Service Account im Artikel vor. Mit dieser Funktion lassen sich Kerberoasting-Attacken verhindern. Der Artikel d\u00fcrfte f\u00fcr Admins im Firmenumfeld ganz lesenswert sein (ich hatte dieses Thema bereits <a href=\"https:\/\/borncity.com\/blog\/2023\/12\/02\/2024-sollen-windows-11-24h2-sowie-windows-12-erscheinen\/\">hier<\/a> erw\u00e4hnt).<\/p><\/blockquote>\n<h2>Forest Druid: Attack-Path-Management-Tool<\/h2>\n<p>An dieser Stelle noch ein weiteres Thema f\u00fcr die Absicherung von Verzeichnisdiensten. Mir liegt bereits seit einigen Wochen eine Meldung von Semperis zu deren Tool Forest Druid vor. Forest Druid ist ein vom Active Directory-Sicherheitsanbieter Semperis kostenlos bereit gestelltes Attack-Path- Analysetool. Dieses unterst\u00fctzt nun auch Microsoft Entra ID.<\/p>\n<p>Im Gegensatz zu herk\u00f6mmlichen AD-Attack-Path-Management-Tools, bei denen Security-Fachkr\u00e4fte eine Vielzahl m\u00f6glicher Angriffspfade untersuchen m\u00fcssen, beschleunigt Forest Druid die Analyse, schreibt Semperis. Dies geschieht, indem sich das Tool auf \"Tier-0-Assets\" \u2013 also auf Konten, Gruppen und andere Assets, die direkte oder indirekte administrative Kontrolle \u00fcber eine AD- oder Entra ID-Umgebung haben &#8211; konzentriert. So wird verhindert, dass Angreifer \u00fcber den Zugriff auf Tier-0-Assets die Kontrolle \u00fcber das gesamte Netzwerk erlangen.<\/p>\n<p>Zu den neuen Erweiterungen von Forest Druid geh\u00f6ren Einstellungen zur Kontrolle der Datenerfassung von On-Prem- und Cloud-Identit\u00e4tssystemen sowie neue Steuerungsm\u00f6glichkeiten zur Verbesserung des \"Defense Perimeter Relationship Graph\". Dies ist eine Karte aller Objekte mit privilegierten Beziehungen zu Tier-0-Assets.<\/p>\n<p>Weitere Informationen zu den Tier-0-Angriffspfad-Erkennungsfunktionen von Forest Druid finden sich <a href=\"https:\/\/www.purple-knight.com\/forest-druid\/\" target=\"_blank\" rel=\"nofollow noopener\">hier<\/a>. Forest Druid ist kostenlos <a href=\"https:\/\/www.purple-knight.com\/forest-druid\/request-form\/\" target=\"_blank\" rel=\"nofollow noopener\">zum Download<\/a> erh\u00e4ltlich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Heute noch ein Sammelbeitrag zur IT-Sicherheit. Fehlkonfigurationen und Standardeinstellungen des Active Directory k\u00f6nnen die IT-Sicherheit von Unternehmen gef\u00e4hrden. Bastien Bossiroy von den NVISO Labs hat sich Gedanken um dieses Thema gemacht und bereits Ende Oktober 2023 einen Beitrag zu den &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/12\/09\/risiko-active-directory-die-hufigsten-fehlkonfigurationen-standardkonfigurationen-forest-druid-zur-analyse\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,4364],"class_list":["post-289016","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289016"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289016\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}