Für viele Unternehmen ist Active Directory das technische Herzstück der IT. Benutzer, Rechner, Berechtigungen und oft auch der Zugriff auf Cloud‑Dienste hängen direkt daran. Genau deshalb ist Active Directory seit Jahren ein bevorzugtes Ziel für Angreifer.
Spannend dabei: Die größten Risiken entstehen häufig nicht durch hochkomplexe Zero‑Day‑Angriffe, sondern durch alltägliche Versäumnisse bei Betrieb und Konfiguration. Microsoft hat diese Risiken in einem aktuellen Leitfaden klar benannt. Dieser Beitrag fasst die wichtigsten Punkte praxisnah zusammen.
Warum Active Directory so attraktiv für Angreifer ist
Wer ein privilegiertes Konto im Active Directory übernimmt, erhält in der Regel Zugriff auf große Teile der IT‑Umgebung. Produktionssysteme, Dateiablagen, E‑Mail, teilweise auch Cloud‑Anwendungen sind dann nicht mehr geschützt.
Gerade in hybriden Umgebungen – also Active Directory vor Ort plus Cloud‑Dienste – wirkt sich ein kompromittiertes Konto besonders stark aus.
Drei strukturelle Schwachstellen, die häufig unterschätzt werden
1. Fehlendes oder verzögertes Patch‑Management
Ein relevanter Teil erfolgreicher Angriffe nutzt bekannte Sicherheitslücken. Das ist keine neue Erkenntnis – in der Praxis hapert es dennoch oft an der konsequenten Umsetzung.
Wichtig ist:
Updates müssen regelmäßig und automatisiert installiert werden.
Der Patch‑Status der Domänencontroller muss überwacht werden.
Abweichungen von sicheren Standardkonfigurationen sollten erkannt und korrigiert werden.
Ungepatchte Systeme sind kein Restrisiko, sondern ein Einladungsbrief.
2. Zu viele Rechte für Benutzer und Dienste
Überprivilegierte Konten sind eines der größten Sicherheitsprobleme im Active Directory. Wer ein solches Konto kompromittiert, kann Schutzmechanismen deaktivieren oder sich dauerhaft festsetzen.
Typische Ursachen:
Historisch gewachsene Gruppen
„Das brauchen wir vielleicht irgendwann noch“
Dienstkonten mit weitreichenden Rechten
Bewährte Gegenmaßnahmen:
Regelmäßige Prüfung von Gruppenmitgliedschaften
Konsequente Umsetzung des Minimal‑Rechte‑Prinzips
Trennung von Benutzer‑ und Administrationskonten
Zeitlich begrenzte administrative Berechtigungen
Weniger Rechte bedeuten nicht weniger Produktivität, sondern weniger Schaden im Ernstfall.
3. Veraltete Kerberos‑Delegierung
Die uneingeschränkte Kerberos‑Delegierung erlaubt es Systemen, Anmeldeinformationen weiterzureichen. Das gilt heute als nicht mehr zeitgemäß und stellt ein erhebliches Risiko dar.
Empfehlungen:
Uneingeschränkte Delegierung vollständig abschalten
Sensible Konten als nicht delegierbar markieren
Besonders schützenswerte Benutzer in spezielle Schutzgruppen aufnehmen
Die lokalen Anmeldeinformationen auf Endgeräten absichern
Hier lassen sich Risiken oft mit wenigen gezielten Einstellungen deutlich reduzieren.
Drei typische Angriffe auf das Active Directory
4. Authentication‑Relay‑Angriffe
Bei diesen Angriffen wird eine Anmeldung abgefangen und weitergeleitet. Besonders anfällig ist die ältere NTLM‑Authentifizierung.
Sinnvolle Schutzmaßnahmen:
NTLM nach Möglichkeit abschalten
Signierte Verbindungen erzwingen
Anmeldeereignisse überwachen
Starke Anmeldungsmethoden einsetzen
Je weniger alte Protokolle im Einsatz sind, desto besser.
5. Kerberoasting
Kerberoasting richtet sich gegen Dienstkonten. Angreifer fordern reguläre Tickets an und versuchen anschließend, die Passwörter offline zu knacken.
Was hilft:
Starke, zufällige Kennwörter für Dienstkonten
Verwaltete Service‑Konten statt klassischer Benutzerkonten
Veraltete Verschlüsselungsverfahren deaktivieren
Nutzung moderner Serverversionen mit sicheren Standards
Besonders ältere Dienstkonten sind hier ein häufiger Schwachpunkt.
6. Golden‑Ticket‑Angriffe
Golden‑Ticket‑Angriffe sind besonders gefährlich, da sie kaum auffallen. Angreifer fälschen gültige Kerberos‑Tickets und erhalten damit dauerhaft Zugriff auf die Domäne.
Zentrale Maßnahmen:
Regelmäßiger Passwortwechsel besonders sensibler Konten
Entfernen unnötiger Synchronisations‑ und Replikationsrechte
Kontinuierliche Überwachung verdächtiger Aktivitäten
Diese Angriffe sind selten – aber im Schadensfall existenziell.
Fazit: Wenige Maßnahmen, große Wirkung
Die gute Nachricht ist: Active Directory lässt sich mit vergleichsweise klaren Grundprinzipien deutlich besser absichern.
Die wichtigsten davon sind:
Konsequentes Patch‑Management
Strikte Begrenzung von Rechten
Abschaltung veralteter Mechanismen
Wer diese Punkte ernst nimmt, reduziert nicht nur die Angriffsfläche, sondern auch die Auswirkungen eines erfolgreichen Angriffs erheblich.
Active Directory ist kein Relikt – aber es braucht einen zeitgemäßen Betrieb.
