Was Sind Veraltete und Überprivilegierte Konten?
Active Directory-Umgebungen häufen im Laufe der Zeit Konten an. Mitarbeiter verlassen das Unternehmen, Auftragnehmer beenden ihre Tätigkeiten, Service-Konten werden für Projekte erstellt, die enden — und die Konten bleiben. Diese veralteten Konten sind von der IT vergessen, aber voll funktionsfähig: gültige Credentials, gültige Gruppenmitgliedschaften, gültiger Zugriff auf Ressourcen.
Veraltete und überprivilegierte Konten gehören zu den zuverlässigsten initialen Zugriffs- und lateralen Bewegungsvektoren in realen Einbrüchen.
Die Angriffskette
Schritt 1 - Veraltete und Hochwertige Konten Aufzählen
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter {Enabled -eq $true -and LastLogonDate -lt $cutoff} `
-Properties LastLogonDate, PasswordLastSet |
Select-Object SamAccountName, LastLogonDate, PasswordLastSet |
Sort-Object LastLogonDate
# Mitglieder privilegierter Gruppen
$gruppen = @("Domain Admins","Enterprise Admins","Schema Admins","Backup Operators")
foreach ($gruppe in $gruppen) {
Get-ADGroupMember -Identity $gruppe -Recursive |
Get-ADUser -Properties LastLogonDate |
Select-Object @{N="Gruppe";E={$gruppe}}, SamAccountName, LastLogonDate
}
Schritt 2 - Konten mit Alten Passwörtern Anvisieren
kerbrute passwordspray --dc 10.10.0.1 --domain corp.local veraltete_benutzer.txt "Winter2020!"
Erkennung
Windows Event IDs
| Event ID | Quelle | Worauf zu achten |
|---|---|---|
| 4624 | DC/Workstation | Erfolgreiche Anmeldung von Konto ohne kürzliche Aktivität |
| 4768 | DC - Security | TGT für ein seit 90+ Tagen inaktives Konto angefordert |
Behebung
💡 Schnelle Massnahme: Erstellen Sie eine Liste aller aktiven Konten mit
LastLogonDateälter als 90 Tage und deaktivieren Sie diese sofort.
1. Veraltete Konten Deaktivieren
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter {Enabled -eq $true -and LastLogonDate -lt $cutoff} `
-SearchBase "OU=Benutzer,DC=corp,DC=local" `
-Properties LastLogonDate | ForEach-Object {
Disable-ADAccount -Identity $_
Write-Host "Deaktiviert: $($_.SamAccountName)"
}
2. Privilegierte Gruppenmitgliedschaften Prüfen und Reduzieren
$gruppen = @("Domain Admins","Enterprise Admins","Schema Admins")
$gruppen | ForEach-Object {
Get-ADGroupMember -Identity $_ -Recursive |
Select-Object @{N="Gruppe";E={$_}}, SamAccountName
} | Export-Csv privilegierte_mitglieder.csv -NoTypeInformation
3. Fine-Grained Password Policies für Privilegierte Konten Konfigurieren
New-ADFineGrainedPasswordPolicy -Name "PSO-PrivilegiertKonten" `
-Precedence 10 -MinPasswordLength 20 -ComplexityEnabled $true `
-MaxPasswordAge (New-TimeSpan -Days 60)
Add-ADFineGrainedPasswordPolicySubject -Identity "PSO-PrivilegiertKonten" `
-Subjects "Domain Admins"
So Erkennt EtcSec Dies
EXCESSIVE_PRIVILEGED_ACCOUNTS kennzeichnet Umgebungen mit mehr privilegierten Konten als für die Organisationsgröße typisch.
PASSWORD_VERY_OLD identifiziert Konten, deren Passwort seit über einem Jahr nicht geändert wurde, priorisiert nach Privilegierungsebene.
FGPP_NOT_CONFIGURED erkennt Umgebungen ohne Fine-Grained Password Policies.
ℹ️ Hinweis: EtcSec prüft Konto-Lebenszyklus und Privilege-Posture automatisch. Starten Sie ein kostenloses Audit.
