Active-Directory-Tipp: Fehlerhafte Systemkonfigurationen von Servern und Endpoints erkennen und die Angriffsfläche reduzieren

Fehlerhafte oder unsichere Systemkonfigurationen zählen zu den häufigsten Ursachen für erfolgreiche Angriffe auf Windows-Server und Endpoints. In dynamischen AD-Umgebungen können sich Fehlkonfigurationen jedoch schnell einschleichen – etwa durch geänderte Gruppenrichtlinien, veraltete Einstellungen oder lokale Abweichungen auf einzelnen Systemen.

Mit dem Attack Surface Analyzer für Server und Endpoints in ADAudit Plus von ManageEngine lassen sich fehlerhafte System- und Sicherheitskonfigurationen im gesamten Netzwerk zuverlässig erkennen. Die Lösung analysiert die angewendeten Gruppenrichtlinieneinstellungen (GPOs) und vergleicht sie mit branchenüblichen Sicherheits-Benchmarks. So lassen sich Einstellungen, die die Angriffsfläche Ihres Netzwerks vergrößern (Indicators of Exposure, IoE) erkennen und gezielt beheben. 

In diesem Tipp erfahren Sie, wie Sie gezielt Profile für den Scan Ihrer Systeme anlegen und Berichte zu fehlerhaften Systemkonfigurationen abrufen – inklusive konkreter Empfehlungen, wie Sie die erkannten Schwachstellen beheben können. So schaffen Sie eine belastbare Grundlage, um Risiken zu reduzieren und die Sicherheit Ihrer AD-Umgebung zu stärken.

Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

Wie es zu fehlerhaften Systemkonfigurationen kommt

Fehlerhafte Systemkonfigurationen auf Windows-Servern und Endpoints entstehen häufig schleichend. In Active-Directory-Umgebungen wirken mehrere Gruppenrichtlinien (GPOs) gleichzeitig auf ein System – teils zentral über die Organisationseinheit (Organizational Unit, OU) vorgegeben, teilweise lokal definiert. 

Da GPOs in einer bestimmten Reihenfolge angewendet werden, kann es beispielsweise durch unklare oder komplexe Richtlinienvererbung dazu kommen, dass Richtlinien einander überschreiben und zu unerwünschten Einstellungen führen. 

Auch manuelle Änderungen durch Administratoren, Tools von Drittanbietern oder Initialkonfigurationen können zu Abweichungen von den zentralen Sicherheitsvorgaben führen. Oder Systeme werden lange nicht überprüft, sodass veraltete / inkonsistente Gruppenrichtlinien bestehen bleiben, die modernen Sicherheitsstandards nicht mehr entsprechen oder sogar neue Angriffspunkte eröffnen. 

Fehlerhafte Systemkonfigurationen können dazu führen, dass unnötige Dienste aktiv bleiben, unsichere Protokolle oder Authentifizierungsmechanismen zugelassen oder Berechtigungen weiter gefasst sind als notwendig. Solche Abweichungen erhöhen die Angriffsfläche und werden von Angreifern gezielt ausgenutzt. 

Der Attack Surface Analyzer für Server und Endpoints in ADAudit Plus setzt genau hier an: Er analysiert das „Resultant Set of Policy (RSoP)“ – also die effektiv auf einen Endpoint angewendeten Gruppenrichtlinien – und vergleicht sie mit anerkannten Sicherheits-Benchmarks. Dadurch lassen sich Konfigurationsabweichungen, die die Sicherheit eines Systems beeinträchtigen können, gezielt identifizieren, priorisieren und beheben.

Was bedeutet „Resultant Set of Policy (RSoP)“? 

Das „Resultant Set of Policy (RSoP)“ beschreibt, welche Gruppenrichtlinien tatsächlich auf einen Computer oder Benutzer angewendet werden – also das Ergebnis aller zentralen und lokalen GPOs inklusive Vererbung, Prioritäten und Filtern. Diese Informationen sind entscheidend, um Abweichungen, Sicherheitslücken oder unerwartete Einstellungen zuverlässig zu erkennen.

Voraussetzungen für die Analyse von Systemkonfigurationen in ADAudit Plus

Damit ADAudit Plus die tatsächlich angewendeten Gruppenrichtlinien (RSoP) korrekt auslesen und mit Sicherheits-Benchmarks vergleichen kann, müssen einige technische Voraussetzungen erfüllt sein:

  • Group Policy Management Console (GPMC) 
    Auf dem Server, auf dem ADAudit Plus installiert ist, muss die GPMC vorhanden sein. Sie stellt die Schnittstellen bereit, um GPO-Informationen abzurufen.
     
  • Ausreichende Berechtigungen
    Der für die Scans genutzte ADAudit-Plus-Account benötigt Domain-Admin- oder lokale Administratorrechte auf allen Systemen, die ausgewertet werden sollen. Nur so lassen sich die RSoP-Daten vollständig auslesen.
     
  • Aktuelle ADMX- und ADML-Dateien 
    Einige ADMX-/ADML-Dateien müssen installiert oder aktualisiert werden, damit alle Richtlinieneinstellungen korrekt ausgelesen werden können. Nur dann lassen sich die Konfigurationen mit Benchmarks wie den MS Security Baselines oder CIS-Empfehlungen zuverlässig vergleichen.
     

Hinweis: 
Eine Anleitung zur Installation der GPMC finden Sie hier auf der englischen Website des Herstellers.

Weitere Informationen: 
Eine Übersicht über die erforderlichen ADMX-Dateien finden Sie im englischen Hilfedokument zu ADAudit Plus

So legen Sie ein Profil zum Scan der Systemkonfigurationen in ADAudit Plus an und wählen Systeme aus

Ein Profil definiert, welche Server oder Endpoints gescannt werden, und mit welchen Benchmarks die erfassten Einstellungen verglichen werden sollen.

  • Melden Sie sich bei ADAudit Plus an und gehen Sie zu Server Audit > Attack Surface Analyzer.
  • Unter „System Security Misconfigurations“ zu „Profile Management“ navigieren und auf „+ Create Profile“ klicken.  
  • Geben Sie einen Profilnamen sowie eine Beschreibung ein und wählen Sie die Domäne aus.
  • Wählen Sie bei „Select Template“ eine Benchmark-Vorlage aus der Liste aus.
  • Auf den Tabs „DC“, „Member Server“ und „Workstation“ die gewünschten Systeme auswählen.
  • Speichern Sie das Profil mit „Create Profile“. 

Hinweis zu AD360: 
Falls Sie AD360 nutzen, klicken Sie nach der Anmeldung auf „ADAudit“ und navigieren dann zu Active Directory > Attack Surface Analyzer.

Beim nächsten Scan ruft ADAudit Plus die RSoP-Daten dieser Systeme ab und gleicht sie mit den gewählten Benchmark-Vorgaben ab.

Verfügbare Benchmarks 
Aktuell stehen folgende Benchmark-Vorlagen in ADAudit Plus zur Verfügung: 

  • CIS Microsoft Windows Server 2022 Benchmark v2.0.0
  • CIS Microsoft Windows Server 2019 Benchmark v2.0.0
  • CIS Microsoft Windows Server 2016 Benchmark v2.0.0
  • CIS Microsoft Windows Server 2012 R2 Benchmark v2.0.0
  • CIS Microsoft Windows 11 Enterprise Benchmark v2.0.0
  • CIS Microsoft Windows 10 Enterprise Benchmark v2.0.0
Screenshot ADAudit Plus: Sicherheits-Benchmarks für Scan-Profil im Attack Surface Analyzer
Screenshot ADAudit Plus: Auswahl der Sicherheits-Benchmarks für das Scan-Profil im Attack Surface Analyzer.

So rufen Sie die Misconfiguration Reports in ADAudit Plus auf

Die Misconfiguration Reports in ADAudit Plus zeigen, welche Einstellungen von den Benchmark-Empfehlungen abweichen und welchen Einfluss das auf die Sicherheit Ihrer Systeme hat. 

  • Gehen Sie auf dem Tab „Server Audit“ zu Attack Surface Analyzer > System Misconfiguration > Scan Overview.
  • Wählen Sie bei „Domain“ die gewünschte Domäne aus.
  • Über das Drop-Down-Menü bei „Last Scanned at“ wählen Sie den Scan-Zeitpunkt, für den die Ergebnisse angezeigt werden sollen.
  • Anschließend wird eine Liste der gescannten Profile in der ausgewählten Domäne zum gewählten Scan-Zeitpunkt angezeigt. Für jedes Profil werden folgende Informationen angezeigt:
    • Scanned Computers – alle gescannten Systeme
    • Highly Exposed Computers – Systeme mit stark abweichenden oder kritischen GPO-Einstellungen
    • Moderately Exposed Computers – Systeme mit mittleren Abweichungen
    • Mildly Exposed Computers – Systeme mit geringfügigen Abweichungen
    • Scan Failed Computers – Systeme, bei denen kein RSoP ermittelt werden konnte

Hinweis: 
Die Einstufung in „Highly“, „Moderately“ und „Mildly Exposed Computers“ basieren auf mehreren Faktoren, unter anderem auf der Anzahl der GPO-Einstellungen, die nicht den Benchmark-Vorgaben entsprechen, sowie auf deren Einfluss auf die Systemsicherheit.

  • Bericht als PDF exportieren: Bewegen Sie die Maus über den Profilnamen und klicken Sie auf das Export-Symbol oben rechts, um den Misconfiguration Report für das gesamte Profil zu exportieren.
  • Detailinformationen anzeigen lassen: Alternativ können Sie einzelne Systeme auswählen, um zur Seite „Misconfiguration Insights“ zu gelangen. Diese enthält u. a. folgende Informationen:
    • Gesamtzahl korrekt konfigurierter und fehlerhafter Einstellungen
    • Vergleichsansicht (Baum- oder Tabellenansicht)
    • Empfohlene Werte aus dem jeweiligen Benchmark
    • Detailinformationen zu Risiken und empfohlenen Abhilfemaßnahmen
    • Exportmöglichkeiten auf Profil- und Systemebene
Screenshot ADAudit Plus: Misconfiguration Scan Overview
Screenshot ADAudit Plus: Die Seite „Misconfiguration Scan Overview“ unterstützt Sie dabei, riskante Systemkonfigurationen zu erkennen und zu beheben.

RSoP-Methoden verstehen – Planning Mode vs. Logging Mode 

In ADAudit Plus stehen zwei verschiedene Methoden zur Verfügung, um das „Resultant Set of Policy (RSoP)“ zu ermitteln: 

  • Im Planning Mode werden die GPO-Einstellungen für einzelne Computer berechnet, indem die wirksamen Richtlinien direkt vom Primary Domain Controller analysiert werden. Die Zielsysteme müssen dafür nicht aktiv sein. Lokal auf den Computern gesetzte Richtlinien werden in diesem Modus jedoch nicht berücksichtigt.
  • Der Logging Mode ermittelt die tatsächlich angewendeten GPO-Einstellungen durch eine direkte Abfrage der Zielsysteme. Damit die RSoP-Daten gesammelt werden können, müssen die jeweiligen Computer eingeschaltet und erreichbar sein. 

Welcher Modus für den Scan verwendet wurde, sehen Sie oben links unter „Machine Name“ auf der Seite „Misconfiguration Insights“.

Screenshot ADAudit Plus: Misconfiguration Insights
Screenshot ADAudit Plus: Die Seite „Misconfiguration Insights“ enthält detaillierte Informationen, welche Gruppenrichtlinieneinstellungen eines Geräts von den Benchmarks abweichen.

Screenshot ADAudit Plus: Empfohlene Maßnahmen bei Abweichungen von Sicherheits-Benchmarks Bildunterschrift:
Screenshot ADAudit Plus: In den „Misconfiguration Insights“ können Sie sich Empfehlungen zu Abweichungen von Sicherheits-Benchmarks anzeigen lassen, indem Sie in der Spalte „Recommended Value“ auf „Details“ klicken.

Über ADAudit Plus

Mit dem Change-Auditing-Tool ADAudit Plus können sich IT-Administratoren ein umfassendes Bild von allen Aktivitäten machen, die im Netzwerk ihres Unternehmens stattfinden. Das Echtzeit-Auditing und die sofort einsatzbereiten Berichte von ADAudit Plus erleichtern es, kritische Änderungen in DNS-Einträgen zu überwachen und Fehler schneller zu erkennen bzw. ganz zu vermeiden.

Darüber hinaus können Sie mit ADAudit Plus z. B. folgende Änderungen überwachen:

  • Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
  • Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
  • Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
  • Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
  • Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.
Demo-Version ansehen
Kostenlos 30 Tage Tage testen!

Weitere Active-Directory-Tipps:

Änderungen an DNS-Berechtigungen
überwachen
Geplante Aufgaben im
Windows Task Scheduler überwachen
Auditing für die Prozessnachverfolgung
aktivieren (Audit Process Tracking)
mehr Tipps zu
ADAudit Plus

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren