[German]Heute noch ein Sammelbeitrag zur IT-Sicherheit. Fehlkonfigurationen und Standardeinstellungen des Active Directory können die IT-Sicherheit von Unternehmen gefährden. Bastien Bossiroy von den NVISO Labs hat sich Gedanken um dieses Thema gemacht und bereits Ende Oktober 2023 einen Beitrag zu den häufigsten Fehlkonfigurationen/Standardkonfigurationen des Active Directory, die Unternehmen gefährden, veröffentlicht. Zudem ist mir kürzlich ein Hinweis auf "Forest Druid" untergekommen, ein kostenloses Attack-Path-Management-Tool von Semperis.
Advertising
Risiko Active Directory-Fehlkonfigurierungen
Ich bin die Tage über nachfolgenden Tweet auf diese Information gestoßen. Die Details lassen sich im NVISO Labs-Blog im Beitrag Most common Active Directory misconfigurations and default settings that put your organization at risk nachlesen.
Der Beitrag geht von Administratorkonten, die für die Delegation zugelassen sind (Standardvorgabe im AD), über fehlende AES-Verschlüsselung bei Dienstkonten, die nicht nicht erzwungen wird, bis hin zum Druckspooler, der auf Domänencontrollern aktiviert ist. Auch die Möglichkeit, dass Benutzer Maschinenkonten erstellen können, wird angesprochen. Vielleicht sind ja hilfreiche Hinweise für AD-Administratoren dabei.
Weil es Gerade passt: Mir ist vor einigen Tagen der Beitrag "Microsoft-Netzwerke: Das große Security-Desaster in der IT" von Holger Voges bei den Kollegen von Golem untergekommen. Voges nimmt sich Microsofts Netzwerke vor und zeigt, dass da vieles sicherer sein könnte, wenn Microsoft da bestimmte Funktionen, die an Bord sind, breiter vorstellen und ggf. aktivieren würde. Neben dem Thema LAPS (hatten wir schon mal hier im Blog) kommt auch der Stichpunkt Managed Service Account im Artikel vor. Mit dieser Funktion lassen sich Kerberoasting-Attacken verhindern. Der Artikel dürfte für Admins im Firmenumfeld ganz lesenswert sein (ich hatte dieses Thema bereits hier erwähnt).
Forest Druid: Attack-Path-Management-Tool
An dieser Stelle noch ein weiteres Thema für die Absicherung von Verzeichnisdiensten. Mir liegt bereits seit einigen Wochen eine Meldung von Semperis zu deren Tool Forest Druid vor. Forest Druid ist ein vom Active Directory-Sicherheitsanbieter Semperis kostenlos bereit gestelltes Attack-Path- Analysetool. Dieses unterstützt nun auch Microsoft Entra ID.
Im Gegensatz zu herkömmlichen AD-Attack-Path-Management-Tools, bei denen Security-Fachkräfte eine Vielzahl möglicher Angriffspfade untersuchen müssen, beschleunigt Forest Druid die Analyse, schreibt Semperis. Dies geschieht, indem sich das Tool auf "Tier-0-Assets" – also auf Konten, Gruppen und andere Assets, die direkte oder indirekte administrative Kontrolle über eine AD- oder Entra ID-Umgebung haben – konzentriert. So wird verhindert, dass Angreifer über den Zugriff auf Tier-0-Assets die Kontrolle über das gesamte Netzwerk erlangen.
Advertising
Zu den neuen Erweiterungen von Forest Druid gehören Einstellungen zur Kontrolle der Datenerfassung von On-Prem- und Cloud-Identitätssystemen sowie neue Steuerungsmöglichkeiten zur Verbesserung des "Defense Perimeter Relationship Graph". Dies ist eine Karte aller Objekte mit privilegierten Beziehungen zu Tier-0-Assets.
Weitere Informationen zu den Tier-0-Angriffspfad-Erkennungsfunktionen von Forest Druid finden sich hier. Forest Druid ist kostenlos zum Download erhältlich.
Advertising
