Windows AD Zugriffsrisiko Heatmap

Oiner der größten ungarischen Hersteller von Automobilteilen, beauftragte uns mit der Durchführung einer umfassenden Überprüfung seines vor Ort installierten Windows Active Directory (AD) Umgebung vor einer behördlichen Prüfung.
Bei diesem Auftrag handelte es sich um eine einmalige Bewertung, die eine punktuelle Überprüfung der AD-Zugriffsrechte beinhaltete.
Das Hauptziel war es, ein klareres Verständnis der Risiken beim Benutzerzugriff zu erlangen.
Der Kunde begann sofort mit der Behebung der Schwachstellen, um seine Sorgfaltspflicht gegenüber der Aufsichtsbehörde zu erfüllen.

Das Engagement umfasste:

  • 1000 von Win AD-Benutzern.
  • Der Zugriff auf Ordner und Dateien basierte auf AD-Gruppenmitgliedschaften.
  • Zahlreiche externe Auftragnehmer als risikoreiche Domänenbenutzer aufgrund verschiedener Projekte.
  • Hoher Anteil an Mitarbeitern, die aus der Ferne arbeiten.
  • Ein Kunde, der eine IDM (Identitätsmanagement)-Lösung einführen möchte, die er bisher noch nicht hatte.
  • Sie haben eine PIM/PAM-Lösung verwendet.
  • Diese Aufgabe schien viel Handarbeit zu erfordern, aber es fehlte an Personal.

Das Ziel war es, die risikoreichsten Nutzer, ihre Gruppenzugehörigkeit und die risikoreichsten AD-Gruppen zu identifizieren.

Ein Powershell-Skript wurde mit dem Kunden geteilt, um die Benutzer- und Zugriffsrechtsdaten zu sammeln.

Um die Ergebnisse der Risikobewertung zu verbessern, wurden Interviews mit dem Chief Information Security Officer (CISO) und dem Identity & Access Management-Team über die Zugriffsrechte und die Art ihrer aktuellen AD-Gruppen geführt.
Die Interviews machten die Bewertung kompetenter, während die Ergebnisse dem Kunden ein besseres Verständnis der Bedrohungslandschaft verschafften
.

Durch die Anwendung des einzigartigen Risikobewertungs- und Analysemechanismus von THEFENCE auf die gemeinsamen Zugriffsdaten haben wir einen umfassenden Bericht erstellt.
Indem wir die risikoreichsten Benutzer und Gruppen identifizierten und einstuften, erleichterten wir die Bereinigung von AD-Zugriffsproblemen (indem wir Empfehlungen für vorrangige Maßnahmen gaben).

Bereitgestellte Berichtselemente:

  • AD-Benutzer, die sich seit mehr als 3 Monaten nicht mehr angemeldet haben.
  • AD-Benutzer, die sich seit mehr als 6 Monaten nicht mehr angemeldet haben.
  • AD-Benutzer, die sich seit mehr als 12 Monaten nicht mehr angemeldet haben.
  • AD-Benutzer, die sich noch nie angemeldet haben.
  • AD-Benutzer, deren Kennwörter nie ablaufen (oder die ihre ursprünglich zugewiesenen Kennwörter nicht geändert haben).
  • AD-Gruppen, die nach der Anzahl der Benutzer und dem Risiko priorisiert sind. (z.B. Benutzer mit hohem Risiko, die Zugang zu Fernverbindungen haben).
  • AD-Benutzer werden aufgrund ihrer Gruppenmitgliedschaft(en) als Risiko eingestuft.
  • AD Admin-Benutzer werden nach ihrem Risiko priorisiert.
  • Aktive AD-Benutzer, die nicht mehr mit der Organisation verbunden sind (gekündigt).
  • TOP 40 AD-Benutzer mit privilegierter(n) Gruppenmitgliedschaft(en).

Unser Service ist in seiner Gesamtheit präventiv, d.h. wir überwachen oder berichten nicht über vergangene oder aktuelle Benutzeraktivitäten.
Stattdessen liegt unser Schwerpunkt auf der proaktiven Identifizierung und Abschwächung von Risiken innerhalb der Windows Active Directory-Umgebung auf der Grundlage von zugewiesenen Gruppenmitgliedschaften

Im Anschluss an unsere Bewertung erhielt der Kunde eine Reihe von sofort umsetzbaren Aufgaben in Bezug auf seine AD-Umgebung.
Anhand der Informationen über die risikoreichsten Benutzer und Gruppen leitete der Kunde umgehend die notwendigen Abhilfemaßnahmen ein.
Das gesamte Projekt erstreckte sich über drei Wochen und umfasste insgesamt 4 Stunden Beratung.

Highlights – reduzierte Anzahl von Benutzern:

  • In Hochrisikogruppen (Domain- /Enterprise- /Schema-Admins).
  • Die Möglichkeit des Fernzugriffs.
  • Das hatte nicht ablaufende Passwörter um 37,5%.
  • die sich seit mehr als 6 Monaten nicht mehr angemeldet haben, um 64,5%.
  • die sich seit mehr als einem Jahr nicht mehr angemeldet haben, um 13,5%.
  • die sich noch nie eingeloggt haben, um 28,2%.
2 min read

Teilen Sie diesen Beitrag:

Nach oben scrollen