Sensible Anmeldedaten sollten nicht weitergeleitet werden dürfen

Zur Sicherung bzw. zur weiteren Härtung des Environments gehört es auch, sensible also hochprivilegierte Konten so einzustellen, das deren Anmeldedaten (Kerberos Delegation) nicht weitergeleitet werden dürfen. Die Maßnahme gehört in die Kategorie “Schutz hochsensibler Konten”.

Als Beispiel habe ich hier 2 Konten in der OU Admins, bei denen das Flag (this account is sensitive and cannot be delegated) zum Schutz fehlt. Das holen wir jetzt nach. Zusätzlich sollten die beiden Accounts Mitglied der Gruppe “Protected users” werden.

Mitglieder dieser Gruppe erhalten zusätzlichen Schutz vor Sicherheitsbedrohungen. Weitere Informationen finden Sie unter “http://go.microsoft.com/fwlink/?LinkId=298939”.

Account is sensitive and can be delegated

Get-ADUser -Filter {AccountNotDelegated -eq $false} | Format-Table
Get-ADUser -Filter {AccountNotDelegated -eq $true} | Format-Table

Get-ADUser -Filter {(AdminCount -eq 1) -and (AccountNotDelegated -eq $false)} | Format-Table sAMAccountName,DistinguishedName,AccountNotDelegated

Get-ADUser -Filter {AccountNotDelegated -eq $false} -SearchBase “OU=Admins,OU=User,OU=DWP,DC=dwp,DC=local” | ForEach-Object {
Set-ADUser -Identity $_ -AccountNotDelegated $true
}

Get-ADUser -SearchBase “OU=Admins,OU=User,OU=DWP,DC=dwp,DC=local” -Filter * | % { Add-ADGroupMember ‘Protected Users’ -Members $_}

Wer mit PingCastle arbeitet und seine Bewertung auf Vordermann bringen möchte, setzt diese Maßnahme um.