PingCastle Domain Risk Level

Account is sensitive and can be delegated

Sensible Anmeldedaten sollten nicht weitergeleitet werden dürfen

Zur Sicherung bzw. zur weiteren Härtung des Environments gehört es auch, sensible also hochprivilegierte Konten so einzustellen, das deren Anmeldedaten (Kerberos Delegation) nicht weitergeleitet werden dürfen. Die Maßnahme gehört in die Kategorie “Schutz hochsensibler Konten”.

Als Beispiel habe ich hier 2 Konten in der OU Admins, bei denen das Flag (this account is sensitive and cannot be delegated) zum Schutz fehlt. Das holen wir jetzt nach. Zusätzlich sollten die beiden Accounts Mitglied der Gruppe “Protected users” werden.

Mitglieder dieser Gruppe erhalten zusätzlichen Schutz vor Sicherheitsbedrohungen. Weitere Informationen finden Sie unter “http://go.microsoft.com/fwlink/?LinkId=298939”.

Sensible Anmeldedaten sollten nicht weitergeleitet werden dürfen

Get-ADUser -Filter {AccountNotDelegated -eq $false} | Format-Table
Get-ADUser -Filter {AccountNotDelegated -eq $true} | Format-Table

Get-ADUser -Filter {(AdminCount -eq 1) -and (AccountNotDelegated -eq $false)} | Format-Table sAMAccountName,DistinguishedName,AccountNotDelegated

Get-ADUser -Filter {AccountNotDelegated -eq $false} -SearchBase “OU=Admins,OU=User,OU=DWP,DC=dwp,DC=local” | ForEach-Object {
Set-ADUser -Identity $_ -AccountNotDelegated $true
}

Get-ADUser -SearchBase “OU=Admins,OU=User,OU=DWP,DC=dwp,DC=local” -Filter * | % { Add-ADGroupMember ‘Protected Users’ -Members $_}

AccountNotDelegated

Wer mit PingCastle arbeitet und seine Bewertung auf Vordermann bringen möchte, setzt diese Maßnahme um.

At least one Administrator Account can be delegated

Dienstprogramme, Tools und Helferlein