{"id":311747,"date":"2025-05-22T00:05:55","date_gmt":"2025-05-21T22:05:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311747"},"modified":"2025-05-22T23:42:12","modified_gmt":"2025-05-22T21:42:12","slug":"sicherheitsrisiko-ad-verwaltung-und-gruppe-authenticated-users","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/22\/sicherheitsrisiko-ad-verwaltung-und-gruppe-authenticated-users\/","title":{"rendered":"Sicherheitsrisiko AD-Verwaltung und Gruppe Authenticated Users"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[English]Ein Blog-Leser hat mich die Tage auf ein m\u00f6glicherweise bei einigen Active Directory-Systemen bestehende Sicherheitsrisiko hingewiesen. Sind in der Active-Directory-Gruppe <em>Authenticated Users <\/em>externe Konten enthalten, k\u00f6nnten Freigaben interner Dienste (Drucker etc.) ungewollt externen Nutzern offen stehen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/f919702b990244ad8fff5855761cf600\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser mmx24816 hat mich in einer E-Mail auf eine latente Sicherheitsl\u00fccke in der Active Directory-Konfigurierung hingewiesen, die wohl nicht breit bekannt ist (danke daf\u00fcr). Ich stelle es mal als Information hier im Blog ein, vielleicht hilft es dem einen oder anderen Blog-Leser.<\/p>\n<h2>Problem Authenticated Users<\/h2>\n<p>Der Leser schrieb, dass er mich auf ein weit verbreitetes, aber kaum kommuniziertes Sicherheitsrisiko im Microsoft-\u00d6kosystem aufmerksam machen m\u00f6chte, das insbesondere \u00e4ltere Active-Directory-Infrastrukturen betrifft. Hier die Ausgangssituation bzw. Annahme des Blog-Lesers:<\/p>\n<ul>\n<li>Die Gruppe <em>Authenticated Users<\/em>\u00a0wurde fr\u00fcher \u2013 wie viele Admins noch heute annehmen \u2013 als Sammlung aller Benutzer der eigenen AD-Dom\u00e4ne verstanden.<\/li>\n<li>Seit Jahren umfasst diese Gruppe \u2013 durch die Integration von Azure AD, f\u00f6derierten Identit\u00e4ten und Microsoft-Cloud-Diensten \u2013\u00a0 auch externe Konten. Dies k\u00f6nnen z.\u202fB.\u00a0 Konten von Partnerunternehmen oder Microsoft-Diensten (Outlook.com, Azure AD B2B etc.) sein.<\/li>\n<\/ul>\n<p>Diese Erweiterung wurde, so der Blog-Leser, nie von Microsoft klar kommuniziert und sei in vielen Umgebungen bis heute unbekannt.<\/p>\n<h2>Wo liegt das Problem?<\/h2>\n<p>Der Leser schrieb, dass in etlichen Unternehmensnetzwerken Fileserver-Freigaben, Drucker oder Anwendungen seit Jahren f\u00fcr <em>Authenticated Users<\/em> freigegeben sind. Die zust\u00e4ndigen Administratoren w\u00e4hnen sich in der Annahme, dass damit nur eigene Dom\u00e4nenbenutzer gemeint sind, auf der sicheren Seite.<\/p>\n<p>In Wirklichkeit, so schreibt der Leser, k\u00f6nnten diese Freigaben seit Jahren externen Benutzern offenstehen, sobald diese Nutzer sich erfolgreich \u00fcber f\u00f6derierte Microsoft-Dienste authentifizieren. Das hat zur Folge, dass ein\u00a0externer Benutzer mit Azure AD-F\u00f6deration oder Microsoft-Konto potenziell Zugriff auf sensible Dateifreigaben erhalten k\u00f6nnte \u2013 und dies ganz ohne klassische Einladung oder Gruppenmitgliedschaft im AD.<\/p>\n<p>Als besonders\u00a0kritisch betrachtet der Blog-Leser, dass diese Art von Zugriff in vielen Audits nicht gesondert auftaucht, weil technisch gesehen ein \"authentifizierter Benutzer\" zugreift.<\/p>\n<p>Der Leser zieht das Fazit, dass es sich bei obiger Konstellation sicherheitstechnisch um eine Zeitbombe handelt. Was viele Administratoren einst als internen Zugriff konfiguriert haben, \u00f6ffnet unter den heutigen Rahmenbedingungen unter Umst\u00e4nden T\u00fcr und Tor f\u00fcr externe Identit\u00e4ten \u2013 ohne dass dies jemals offiziell kommuniziert wurde. Der Leser meinte: \"Ich w\u00fcrde mich freuen, wenn dieses Thema \u00fcber Ihren Blog weitere Aufmerksamkeit erf\u00e4hrt.\"<\/p>\n<h2>Empfohlene Ma\u00dfnahmen<\/h2>\n<p>Der Blog-Leser hat mir in seiner E-Mail einige schnellstm\u00f6glich durchzuf\u00fchrende Ma\u00dfnahmen zum Absicherung des Active Directory vorgeschlagen. Hier die betreffenden Ma\u00dfnahmenliste im Telegramm-Stil:<\/p>\n<ul>\n<li><strong>Sofortige \u00dcberpr\u00fcfung<\/strong> aller Ressourcenberechtigungen, die f\u00fcr <em>Authenticated Users<\/em>\u00a0gesetzt wurden.<\/li>\n<li><strong>Austausch durch spezifische Gruppen<\/strong> wie <em>Domain Users<\/em>\u00a0oder eigene Sicherheitsgruppen, die ausschlie\u00dflich interne Konten enthalten.<\/li>\n<li><strong>Einf\u00fchrung von Conditional Access Policies<\/strong> (bei Azure AD), um Zugriff aus unsicheren Quellen auszuschlie\u00dfen.<\/li>\n<li><strong>Kommunikation und Sensibilisierung<\/strong> innerhalb der IT-Teams \u2013 viele Admins sind sich dieser stillen Ausweitung nicht bewusst.<\/li>\n<\/ul>\n<p>Vom Leser wurden mir noch folgende Quellen zur weiteren Recherche geschickt, die ich hier einfach verlinke<strong>:<\/strong><\/p>\n<ul>\n<li>Microsoft Learn: <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/ad-ds\/manage\/understand-special-identities-groups\" target=\"_blank\" rel=\"nofollow noopener\">Special identity groups<\/a><\/li>\n<li>Microsoft Learn: <a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/external-id\/authentication-conditional-access\" target=\"_blank\" rel=\"nofollow noopener\">Authentication and Conditional Access for External ID<\/a><\/li>\n<li>Microsoft Docs: <a href=\"https:\/\/learn.microsoft.com\/en-us\/microsoft-365\/troubleshoot\/access-management\/grant-everyone-claim-to-external-users\" target=\"_blank\" rel=\"nofollow noopener\">Grant Everyone claim to external users<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Blog-Leser hat mich die Tage auf ein m\u00f6glicherweise bei einigen Active Directory-Systemen bestehende Sicherheitsrisiko hingewiesen. Sind in der Active-Directory-Gruppe Authenticated Users externe Konten enthalten, k\u00f6nnten Freigaben interner Dienste (Drucker etc.) ungewollt externen Nutzern offen stehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,2557],"tags":[6712,24,4328,4364],"class_list":["post-311747","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-windows-server","tag-active-directory","tag-problem","tag-sicherheit","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311747","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311747"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311747\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}