So finden Sie privilegierte Konten in Active Directory

Stellen Sie sich vor, der Compliance-Beauftragte Ihres Unternehmens sendet Ihnen eine E-Mail-Nachricht mit hoher Priorität, in der Sie aufgefordert werden, alle hochprivilegierten Identitäten in Ihrer Active Directory-Domänendienste-Domäne aufzulisten. Wie üblich war Ihr Fälligkeitsdatum für die Erledigung der Aufgabe gestern.

Um zu beginnen, müssen Sie die Arten der zu suchenden privilegierten Konten und die verfügbaren Tools zum Durchsuchen der Domäne nach jedem Konto kennen.

Lernen Sie die Grundlagen privilegierter Konten

In einer Active Directory-DomäneEin privilegiertes Konto ist ein Sicherheitsprinzipal mit erhöhten Rechten oder Berechtigungen. Benutzerkonten können Einzel- und Dienstkontenidentitäten zugeordnet werden, in denen Branchenanwendungen ausgeführt werden.
Active Directory Füllt die lokale Administratorgruppe, die jeden Mitgliedsserver oder jedes Clientgerät enthält, mit der Gruppe “Domänenadministratoren”. Das Sichern der Mitgliedschaft bei Domain-Administratoren ist entscheidend für die Aufrechterhaltung einer effektiven Sicherheitslage.
Die leistungsstärkste Gruppe in einer Active Directory-Gesamtstruktur ist die universelle Gruppe “Unternehmensadministratoren”, gefolgt von “Schemaadministratoren”, mit der die zugrunde liegenden Attribute eines Active Directory-Objekts geändert werden können. Active Directory enthält mehrere Unteradministratoren Gruppen, die erstellt werden Als Ergebnis der Installation bestimmter Serverrollen, einschließlich Kontobetreibern, Sicherungsbetreibern, Administratoren des Dynamic Host Configuration Protocol und Administratoren von Domänennamensystemen.
Suchen Sie nach direkten Zuweisungen eines Domänenbenutzerkontos innerhalb einer Gruppe mit hohen Berechtigungen, verschachtelten Gruppenmitgliedschaften und Zuweisungen wichtiger Benutzerrechte. Wenn der Benutzer Joe beispielsweise Mitglied der globalen Gruppe der Manager-Mitarbeiter mit niedrigen Berechtigungen ist, die Gruppe der Manager-Mitarbeiter jedoch einer Gruppe mit hohen Berechtigungen zugeordnet wurde, verfügt Joe über größere Berechtigungen, unabhängig davon, ob dies beabsichtigt war oder nicht.
Active Directory kann normalen Benutzerkonten Benutzerrechte gewähren, z. B. einem Dienstkonto, das Mitglied der globalen Gruppe der Domänenadministratoren ist. Durch die Zuweisung des Dienstkontos zu wichtigen Windows-Diensten fügt das Betriebssystem einen oder mehrere hinzu Benutzerrechte für das Konto. Fügen Sie globalen Administratoren keine Dienstkonto-Identitäten hinzu, um ein höheres Sicherheitsrisiko zu vermeiden.
Um sicherzustellen, dass die Benutzerrechte korrekt sind, müssen Sie privilegierte Gruppenmitgliedschaften, delegierte Benutzerrechte, delegierte Berechtigungen für Active Directory selbst oder Gruppenrichtlinienobjekte sowie die Standardberechtigungen für freigegebene Ordner oder das Dateisystem für neue Technologien überprüfen.

Starten eines effektiven Berechtigungsscans.
Das Freeware-Tool startet den Scan, um effektive Berechtigungen für die globale Gruppe der Domänenadministratoren zu ermitteln.

Probieren Sie das Netwrix-Tool für Benutzerberechtigungsberichte aus

Das Netwrix-Tool zur Berichterstellung für effektive Berechtigungen Sie können Ihre Domain scannen und über effektive Berechtigungen für einen bestimmten Benutzer oder ein bestimmtes Gruppenkonto berichten. Starten Sie den Scan, indem Sie sich bei Active Directory authentifizieren und sich auf ein Gruppenkonto mit hohen Berechtigungen konzentrieren.
Das Netwrix Effective Permissions Reporting Tool generiert einen formatierten HTML-Bericht, der anzeigt, zu welchen Gruppen der Zielbenutzer oder die Zielgruppe gehört. Der Bericht befasst sich sowohl mit direkt zugewiesenen als auch mit geerbten Berechtigungen für die ausgewählte Identität in der gesamten Domäne.
Sie müssen das Netwrix-Tool für jede Identität manuell erneut ausführen, das Tool ist jedoch kostenlos und die Berichte sind grundsätzlich präsentationsbereit.

Ein Berechtigungsbericht.
Das Netwrix Effective Permissions Reporting Tool generiert einen formatierten HTML-Bericht.

Community-Skripte können die Arbeit für Sie erledigen

Wenden Sie sich an Windows PowerShell, um maximale Flexibilität bei der Suche nach Konten mit hohen Berechtigungen zu erhalten. In der PowerShell-Galerie wird die AD Account Audit Das Community-Skript von Contributor ASabale identifiziert vier Kontotypen in Ihrer Active Directory-Domäne:

  • Konten mit hohen Berechtigungen: Benutzer, die zu den Gruppen Administratoren, Domänenadministratoren, Unternehmensadministratoren oder Schemaadministratoren gehören.
  • Konten mit eingeschränkten Berechtigungen: Benutzer, die zu den Active Directory-Gruppen der integrierten Server- oder Sicherungsoperatoren gehören.
  • Systemkonten: Integrierte Identitäten, die Windows intern verwendet.
  • Nicht privilegierte Konten: Gewöhnliche Domänenbenutzerkonten, die möglicherweise zu einer Gruppe mit hohen Berechtigungen gehören.

Die Standardregeln gelten für alle PowerShell-Skripte, die Sie von einer Community-Site herunterladen. Microsoft führt Tierarztcode in der PowerShell-Skriptgalerie durch. GitHub führt keine Qualitätssicherungs- oder Sicherheitstests für seinen gehosteten Code durch. Führen Sie niemals Code auf einem System aus, es sei denn, Sie verstehen, was unter der Haube vor sich geht. Möglicherweise müssen Sie die Skriptausführungsrichtlinie auf Ihrem System lockern, bevor Sie Skripts ausführen können.
Das AD Account Audit-Skript generiert einen durch Kommas getrennten Wertebericht, in dem aufgeführt ist, über welche Berechtigungen diese Konten in Ihrer Domäne verfügen. In der folgenden Abbildung zeigt Zeile 6 des Berichts Melissa, ein normales Benutzerkonto, das für erhöhte Berechtigungen gekennzeichnet ist. In dem Bericht wird eine Überprüfung der Eigenschaften des Active Directory-Benutzerkontos von Melissa veranlasst, bei der festgestellt wird, dass sie versehentlich zur globalen Gruppe der Domänenadministratoren gehört.

Community-Skriptausgabe.
Das AD Account Audit-Skript erstellt einen Bericht, der Konten für erhöhte Berechtigungen kennzeichnet.

Cyberarks ACLight Das PowerShell-Skript führt einen umfassenderen Sicherheitsscan mit der Fähigkeit durch, Schattenadministratoren zu erkennen. Schattenadministratoren sind Benutzer, die nicht zu Verwaltungsgruppen gehören, jedoch über erhöhte Berechtigungen durch direkte Zuweisung von Berechtigungen in Active Directory oder im Dateisystem des Servers verfügen.
ACLight bietet eine Ebenenanalyse, einen Abschlussbericht und eine Liste unregelmäßiger Konten. In der Ebenenanalyse werden privilegierte Konten und Gruppenmitgliedschaften aufgelistet. Der Abschlussbericht enthält eine detaillierte Berechtigungsliste. In der Liste der unregelmäßigen Konten werden Konten angezeigt, die über Berechtigungen für Zugriffssteuerungslisten und nicht über Gruppenmitgliedschaften privilegiert sind.

ACLight-Abschlussbericht.
Das ACLight-Skript veröffentlicht einen Abschlussbericht mit detaillierten Berechtigungen.

Nachdem Sie diese Sicherheitsprinzipale identifiziert haben, besteht Ihre nächste Aufgabe darin, eine Zugriffsüberprüfung durchzuführen, um zu entscheiden, welche Konten privilegiert bleiben sollen und welche Konten Sie in Standardbenutzerkonten konvertieren oder außer Betrieb nehmen können.

Similar Posts

Leave a Reply