Sichern Sie Ihr AD
Lassen Sie uns Risiken gemeinsam minimieren.
Sichern Sie Ihr AD
Lassen Sie uns Risiken gemeinsam minimieren.
Microsoft Active Directory (AD) ist das zentrale Verzeichnis- und Identitätsmanagementsystem in nahezu jeder Windows-basierten Unternehmensumgebung. Es verwaltet User, Geräte, Anwendungen und Zugriffsrechte und bildet damit das Fundament für nahezu alle Geschäftsprozesse. Wird dieses Fundament beschädigt oder manipuliert, verliert ein Unternehmen schnell die Kontrolle über seine IT-Umgebung und damit über seine Sicherheit.
Wer das AD kompromittiert, kann Identitäten steuern, Server manipulieren, Anwendungen übernehmen und Ransomware-Angriffe massiv erleichtern. Genau deshalb lohnt sich ein fokussierter Blick auf die größten Schwachstellen und die Maßnahmen mit dem besten Wirkungsgrad.
Warum Active Directory-Lücken so gefährlich sind
Active Directory entscheidet über Identität und Zugriff oder einfacher ausgedrückt: AD legt fest, wer was darf. Schon ein einziges Fehlkonfigurationsdetail oder ein Patch-Rückstand genügt, um Unbefugten in Minuten Domänen-weite Rechte zu ermöglichen. Die Folgen sind Betriebsunterbrechungen, Datenabflüsse, Haftungsrisiken und teure Forensik. Historisch gewachsene Umgebungen mit Legacy-Protokollen, alten Konten und verwaisten Berechtigungen verstärken das Risiko.
Häufige Schwachstellen
In der Praxis sehen wir immer wieder die gleichen Angriffsvektoren:
Veraltete oder unsichere Protokolle:
NTLMv1, unsigniertes SMB oder LDAP schaffen Angriffsflächen für Relaying und Pass-the-Hash-Angriffe.
Kerberos-Roasting:
Schwach gesicherte Dienstkonten ermöglichen Offline-Angriffe (AS-REP/Kerberoast), die häufig unterschätzt werden.
Fehlkonfigurierte Delegation:
Unconstrained Delegation oder falsch gesetzte RBCD/Constrained Delegation machen es Angreifern leicht, Tickets zu missbrauchen.
Überprivilegierte und veraltete Konten:
Unnötige Admin-Mitgliedschaften und Dienstkonten mit statischen oder nie ablaufenden Passwörtern sind häufige Einfallstore.
Unsichere ACLs und GPOs:
Zu breite Rechte auf OUs, Gruppen oder GPOs, alte GPP-Passwörter oder ungeschützte SYSVOL-Skripte ermöglichen unautorisierten Zugriff.
Ungehärtete Domain Controller und schwaches Monitoring:
Fehlende Patches, unklare Baselines und ein Mangel an Audit-Signalen verschleiern Angriffe, bis es zu spät ist.
Was wirklich wirkt: Maßnahmen mit dem höchsten Impact
Die gute Nachricht: Einige Maßnahmen bieten einen sehr schnellen und sehr hohen Sicherheitsgewinn.
Protokolle modernisieren:
NTLMv1 deaktivieren, NTLM generell reduzieren, LDAP-/SMB-Signierung erzwingen und Kerberos bevorzugen.
Domain Controller härten und patchen:
DFL/FFL auf mindestens 2016, nur notwendige Rollen auf DCs, Credential Guard und LSA Protection nutzen.
Privilegien sauber trennen (Tiering & PAWs):
Admins arbeiten ausschließlich von Privileged Access Workstations; kein Browsing oder E-Mail auf Tier-0-Systemen.
Just-in-Time statt Dauerrechte:
Admin- und LAPS-Zugriffe zeitlich befristen, Break-Glass streng regeln und konsequent auditieren.
Dienstkonten auf gMSA umstellen:
Schluss mit statischen Passwörtern – minimale Rechte und automatisierte Geheimnisrotation sind Pflicht.
Delegation & ACLs gezielt aufräumen:
Keine unconstrained Delegation; RBCD/Constrained Delegation, kritische Rechte wie GenericAll oder WriteDACL prüfen und bereinigen.
GPO/SYSVOL sichern:
GPP-Passwörter entfernen, Skripte signieren und den Central Store pflegen.
Überwachung aktivieren:
DCSync- oder Golden-Ticket-Muster, verdächtige Logons oder Ticket-Auffälligkeiten (4624/4688/4769/4672) sichtbar machen; Honey Tokens einsetzen.
Backups & Recovery üben:
System-State offline und immutable sichern; Forest-Recovery-Prozesse dokumentieren und regelmäßig testen.
Wichtige Gegenmaßnahmen im Überblick
Der Einstieg gelingt am besten über grundlegende AD-Hygiene und mehr Sichtbarkeit. Dazu gehören:
1. DCs patchen, NTLMv1/LLMNR/NBNS deaktivieren und LDAP/SMB signieren
2. Basis-Audits aktivieren
3. Erste PAWs für Tier-0-Administratoren einführen
Anschließend folgen strukturelle Verbesserungen:
4. Delegations- und ACL-Review, GPP-Cleanup
5. gMSA für kritische Dienste
6. Kerberos-Härtung (AES only, starke Passphrasen, kürzere Ticket-Laufzeiten)
7. JIT/JEA für privilegierte Zugriffe
8. EDR-Regeln für DCSync/Golden-Ticket
9. DC-Baselines finalisieren
10. Forest-Recovery üben und dem Management transparent machen, welche Risiken reduziert wurden
Kurz-Checkliste für den schnellen Start
Sind LDAP- und SMB-Signierung aktiv und NTLMv1 deaktiviert?
Gibt es unconstrained Delegation oder zu breite RBCD-Konfigurationen?
Liegen GPP-Passwörter im SYSVOL?
Nutzen Dienstkonten gMSA und minimale Rechte?
Existiert ein JIT-Prozess für Admin- und LAPS-Zugriffe inkl. Audit?
Sind System-State-Backups vollständig, offline und wurde Recovery geübt?
Fazit
Microsoft Active Directory ist kein Relikt aus alten Windows-Zeiten, sondern der Single Point of Trust. Wer hier schlampt, bietet Angreifern eine komfortable Einflugschneise in die eigene Infrastruktur. Doch mit wenigen, zielgerichteten Schritten lässt sich das Risiko drastisch reduzieren. Starten Sie bei Sichtbarkeit und Hygiene, beseitigen Sie die großen Fehlkonfigurationen und etablieren Sie Just-in-Time-Mechanismen. So bleibt Ihr AD belastbar und Ihr Geschäft handlungsfähig.
Author
