Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Inaktive (Stale) Benutzerkonten in Active Directory
Stale (inaktive) Benutzerkonten in Active Directory können Angreifern (und ehemaligen Mitarbeitern) einen einfachen Weg in Ihr Unternehmensnetzwerk bieten. Selbst wenn es sich bei dem inaktiven Benutzerkonto nicht um ein privilegiertes Konto handelt, kann es für Angriffe zur Eskalation der Privilegien, wie z. B. Kerberoasting, verwendet werden. Unternehmen müssen angemessene technische Prozesse und Kommunikation zwischen den Abteilungen etablieren, um sicherzustellen , dass das Risiko veralteter Konten in Active Directory minimiert wird.
Welche Active Directory-Housekeeping-Prozesse helfen, das Risiko inaktiver Benutzerkonten zu beseitigen?
- Deaktivieren von Benutzerkonten, die entweder überhaupt nicht oder erst nach einer bestimmten Zeit genutzt wurden
- Entfernen Sie die Gruppenzugehörigkeit von deaktivierten Konten und verschieben Sie diese in spezielle Container in Active Directory, z. B. in eine “deaktivierte” OU, um eine bessere Sichtbarkeit zu gewährleisten und um Berechtigungen für Ressourcen zu sperren
- Löschen von inaktiven Benutzerkonten
PowerShell-Queries zum Aufspüren inaktiver (Stale) Benutzerkonten in Active Directory
Mit PowerShell können Administratoren inaktive Benutzerkonten in Active Directory finden, indem sie den Verzeichnisdienst nach bestimmten Schwellenwerten abfragen. Microsoft dokumentiert die Verwendung von PowerShell, um Konten zu finden, die über einen bestimmten Zeitraum nicht angemeldet wurden.
Das folgende Skript sucht nach Benutzerkonten, bei denen das Kennwort in den letzten sechs Monaten nicht geändert wurde:
$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter ‘(PasswordLastSet -lt $d) -or (LastLogonTimestamp -lt $d)’ -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N=”LastLogonTimestamp”;E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}
Obwohl PowerShell ein leistungsfähiges Tool für die Arbeit mit Benutzerkonten und die Automatisierung von Active Directory ist, kann es mühsam sein, sich auf Skripte zu verlassen, um Gefahren von Active Directory-Konten, wie z. B. inaktive Benutzerkonten, konsequent zu überwachen.
Specops Password Auditor Report über Stale-Benutzerkonten
Der kostenlose Specops Password Auditor bietet hervorragende Möglichkeiten zur Überwachung inaktiver Benutzerkonten sowie weiterer konto- und passwortbezogener Schwachstellen. Im Folgenden haben wir Specops Password Auditor auf einer Testdomäne unter Verwendung der Option für anonymisierte Daten ausgeführt. Wie Sie sehen können, bietet SPA einen schnellen und einfachen Einblick in Sicherheitsrisiken von Active Directory-Konten, einschließlich leerer, kompromittierter, identischer Passwörter, inaktiver Admin- und Benutzerkonten.
Die inaktiven Benutzerkonten zeigen die Konten an, bei denen in letzter Zeit keine Anmeldung erfolgt ist. Darüber hinaus können Sie auf die einzelnen Kacheln klicken, um weitere Informationen über die jeweilige Kategorie anzuzeigen.
Wenn wir auf die Kachel “Stale User Accounts” klicken, werden wir zu einer detaillierteren Ansicht der “Stale User Accounts” weitergeleitet, die die komplette Liste der Benutzer und einen einfachen Schieberegler zur Definition der Tage seit der letzten Anmeldung anzeigt. Im Vergleich zur Verwendung von PowerShell-Skripten auf unterster Ebene können Sie so Ihre Abfrage viel einfacher anzeigen und konfigurieren. Sie können die Ergebnisse auch problemlos in eine CSV-Datei exportieren, um sie mit anderen Tools zu verwenden.
Specops Password Auditor bietet auch exzellente Berichte, die inaktive Accounts und weitere Informationen für Compliance-Beauftragte, C-Level-Führungskräfte, etc. erfassen
Zusammenfassung
Der Überblick über inaktive Benutzerkonten ist äußerst wichtig, da diese die Cybersicherheit eines Unternehmens schwächen können. Darüber hinaus hilft es, die richtigen Prozesse und Verfahren für das On- und Offboarding von Mitarbeitern zu unterstützen, und stellt sicher, dass eine ordnungsgemäße Verwaltung des Active Directory stattfindet. Während Sie PowerShell und andere Skripte verwenden können, um Stale-Benutzerkonten in Active Directory zu finden, bietet Specops Password Auditor eine viel einfachere und robustere Möglichkeit, inaktive Benutzerkonten zu finden und Berichte darüber zu erstellen. Erfahren Sie mehr über Specops Password Auditor hier:
Kostenloses Active Directory Passwort Audit Tool – Specops Password Auditor
(Zuletzt aktualisiert am 04/04/2023)