{"id":811,"date":"2025-07-03T11:54:24","date_gmt":"2025-07-03T09:54:24","guid":{"rendered":"https:\/\/home.g-lorenzen.de\/?p=811"},"modified":"2025-07-03T11:54:24","modified_gmt":"2025-07-03T09:54:24","slug":"einfache-massnahmen-fuer-mehr-sicherheit-im-active-directory-ein-umfassender-leitfaden","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/07\/03\/einfache-massnahmen-fuer-mehr-sicherheit-im-active-directory-ein-umfassender-leitfaden\/","title":{"rendered":"Einfache Ma\u00dfnahmen f\u00fcr mehr Sicherheit im Active Directory: Ein umfassender Leitfaden"},"content":{"rendered":"\n

<\/h2>\n\n\n\n

Die Sicherheit des Active Directory (AD) ist das R\u00fcckgrat vieler Unternehmensnetzwerke. Doch gerade hier lauern zahlreiche Gefahren, von automatisierten Schadprogrammen bis hin zu gezielten Cyberangriffen. Gl\u00fccklicherweise reichen oft schon einfache organisatorische Ma\u00dfnahmen<\/strong> in Verbindung mit kostenlosen Tools aus, um die Sicherheit deutlich zu erh\u00f6hen und Angreifern das Leben schwer zu machen. Dieser Beitrag beleuchtet grundlegende Konzepte und deren Umsetzung, um Ihr Active Directory besser zu sch\u00fctzen.<\/p>\n\n\n\n

Einfallstore f\u00fcr Angreifer<\/strong><\/h3>\n\n\n\n

Bevor wir in die Ma\u00dfnahmen eintauchen, ist es wichtig zu verstehen, wie Angreifer \u00fcberhaupt in ein Netzwerk gelangen. E-Mails sind das gr\u00f6\u00dfte Einfallstor<\/strong> f\u00fcr Viren, Trojaner und Phishing-Angriffe. Auch der Browser<\/strong> ist ein beliebtes Ziel, da bekannte Sicherheitsl\u00fccken \u00fcber manipulierte Webseiten ausgenutzt werden k\u00f6nnen. Ist ein einzelner Rechner erst einmal kompromittiert, nutzen Angreifer oft \u201eLateral Movement\u201c, um sich unauff\u00e4llig im Netzwerk auszubreiten und weitere Systeme unter ihre Kontrolle zu bringen.<\/p>\n\n\n\n

Besonders gef\u00e4hrlich wird es, wenn nach dem Lateral Movement \u201ePass the Hash (PTH)\u201c oder \u201ePass the Ticket (PTT)\u201c Angriffe zum Einsatz kommen. Hierbei warten Angreifer auf infizierten Clients darauf, dass sich ein privilegiertes Konto<\/strong> (z.B. ein Domain Administrator) anmeldet, um dessen Passwort-Hashes oder Kerberos-Tickets abzugreifen. Gelingt dies, k\u00f6nnen sich Angreifer als Domain Administrator an Servern und Domain Controllern anmelden und haben damit Zugriff auf nahezu alle Unternehmensdaten. Solche Angriffe erfordern oft kein gro\u00dfes Fachwissen und k\u00f6nnen sogar vollautomatisch durch Viren und Trojaner<\/strong> durchgef\u00fchrt werden. Es ist daher entscheidend, sich nicht allein auf Virenscanner und Spamfilter zu verlassen.<\/p>\n\n\n\n

Das Admin Tier Modell: Segmentierung f\u00fcr mehr Sicherheit<\/strong><\/h3>\n\n\n\n

Stellen Sie sich das Admin Tier Modell wie eine Segmentierung Ihres Netzwerks<\/strong> vor, aber angewendet auf Ihr Active Directory. Es teilt Server, Dienste und Clients in drei Hierarchiestufen, sogenannte \u201eTiers\u201c, ein:<\/p>\n\n\n\n

    \n
  • Tier 0:<\/strong> Enth\u00e4lt die kritischsten Systeme<\/strong>, die alle anderen kontrollieren, wie beispielsweise Domain Controller<\/strong>. Exchange Server<\/strong> geh\u00f6ren in der Standardinstallation (ohne \u201eSicherheitsmodell f\u00fcr geteilte Berechtigungen\u201c) ebenfalls zu Tier 0, da sie weitreichende Berechtigungen im Active Directory besitzen.<\/li>\n\n\n\n
  • Tier 1:<\/strong> Beinhaltet Server, die Dienste f\u00fcr Clients<\/strong> anbieten, wie File Server oder Web Server. Diese sind zwar wichtig, kontrollieren aber keine anderen Server, Clients oder Dienste.<\/li>\n\n\n\n
  • Tier 2:<\/strong> Umfasst alle Clients<\/strong>, also PCs, Notebooks und Drucker.<\/li>\n<\/ul>\n\n\n\n

    Das Ziel<\/strong> des Admin Tier Modells ist es, sicherzustellen, dass Systeme eines h\u00f6heren Tiers Systeme niedrigerer Tiers kontrollieren d\u00fcrfen<\/strong>, aber niemals umgekehrt<\/strong>. Ein Tier 1- oder Tier 2-System darf also keine Kontrolle \u00fcber ein Tier 0-System erlangen (\u201eHigher Tier Control\u201c). Dies schlie\u00dft auch die Ausf\u00fchrung von Diensten mit Domain-Admin-Berechtigungen auf niedrigeren Tiers ein, wie z.B. eine Backup-Software, die f\u00e4lschlicherweise als Domain Admin ausgef\u00fchrt wird. Tier 0 sollte so klein wie m\u00f6glich gehalten werden<\/strong>.<\/p>\n\n\n\n

    Zus\u00e4tzlich soll das Admin Tier Modell verhindern, dass Konten, die h\u00f6here Tier-Systeme verwalten, sich auf niedrigeren Tier-Systemen anmelden<\/strong> k\u00f6nnen. Ein Domain-Administrator (Tier 0) darf sich also nicht auf einem Webserver (Tier 1) oder einem Client (Tier 2) anmelden (\u201eLower Tier Logon\u201c).<\/p>\n\n\n\n

    Was bewirken die Admin Tiers?<\/strong> Durch diese strenge Trennung von Kontroll- und Zugriffsm\u00f6glichkeiten wird verhindert, dass ein infizierter Client oder ein kompromittiertes Konto eines niedrigeren Tiers die Kontrolle \u00fcber kritische Systeme h\u00f6herer Tiers erlangt. F\u00e4llt einem Angreifer beispielsweise ein Konto mit Tier 2-Admin-Rechten in die H\u00e4nde, kann er sich zwar innerhalb des Tier 2 bewegen, gelangt aber nur schwer an Tier 1- und Tier 0-Konten.<\/p>\n\n\n\n

    Einrichtung von Admin Tiers:<\/strong><\/h4>\n\n\n\n
      \n
    1. Benutzerkonten und Gruppen:<\/strong> Erstellen Sie f\u00fcr jeden Admin Tier (Tier 0, Tier 1, Tier 2) eine neue Gruppe und mindestens ein entsprechendes Benutzerkonto. Benennen Sie sie beispielsweise Tier0Admins<\/code>, Tier1Admins<\/code>, Tier2Admins<\/code>. Weisen Sie die Benutzer den entsprechenden Gruppen zu. Die Gruppe Tier0Admins<\/code> muss Mitglied der Gruppe Domain-Admins<\/code> werden. Wichtig:<\/strong> Ein Tier-Admin-Konto darf nicht \u201eTier-\u00fcbergreifend\u201c zugeordnet werden (z.B. ein Tier 1-Admin-Konto darf nicht Mitglied der Gruppe Tier0Admins<\/code> oder Tier2Admins<\/code> sein).<\/li>\n\n\n\n
    2. OU-Struktur:<\/strong> Erweitern Sie Ihre Active Directory OU-Struktur um OUs f\u00fcr Tier 0, Tier 1 und Tier 2, z.B. unterhalb von \u201eServer\u201c und \u201eClients\u201c. Es ist sinnvoll, neue Computerkonten standardm\u00e4\u00dfig in einer spezifischen OU zu erstellen, anstatt in der Standard-OU \u201eComputers\u201c.<\/li>\n\n\n\n
    3. Gruppenrichtlinien (GPOs):<\/strong> Erstellen Sie GPOs, um Anmeldungen f\u00fcr h\u00f6here Tiers auf niedrigeren Tiers zu verweigern und lokalen Administratorrechten zuzuweisen:\n
        \n
      • \u201eStandard Sicherheit Tier 1\u201c GPO:<\/strong> Verweigert Tier0Admins<\/code> die Anmeldung (lokal, per Remotedesktop, als Dienst, als Batchauftrag, Netzwerkzugriff). F\u00fcgt Tier1Admins<\/code> zur lokalen Gruppe \u201eAdministratoren\u201c hinzu.<\/li>\n\n\n\n
      • \u201eStandard Sicherheit Tier 2\u201c GPO:<\/strong> Verweigert Tier0Admins<\/code> und<\/strong> Tier1Admins<\/code> die Anmeldung (gleiche Einstellungen). F\u00fcgt Tier2Admins<\/code> zur lokalen Gruppe \u201eAdministratoren\u201c hinzu.<\/li>\n\n\n\n
      • Verkn\u00fcpfen Sie die GPOs mit den entsprechenden OUs (Tier 1 GPO mit Tier 1 OUs, Tier 2 GPO mit Tier 2 OUs).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
      • Systemklassifizierung:<\/strong> Ordnen Sie Ihre Systeme sorgf\u00e4ltig den richtigen Tiers zu. Domain Controller sind Tier 0, die meisten Server Tier 1 und Clients Tier 2. Pr\u00fcfen Sie auch Software und Dienste, die mit Domain-Admin-Rechten laufen, und konfigurieren Sie diese ggf. um, um Tier 0 klein zu halten.<\/li>\n\n\n\n
      • Deaktivieren des integrierten Administrator-Kontos:<\/strong> Nach erfolgreichen Tests sollte das eingebaute \u201eAdministrator\u201c-Konto deaktiviert und umbenannt<\/strong> werden. Es ist ein prim\u00e4res Ziel f\u00fcr Angreifer und wird f\u00fcr die t\u00e4gliche Administration nicht ben\u00f6tigt.<\/li>\n<\/ol>\n\n\n\n

        Admin Hosts (PAWs): Der sichere Sprungpunkt<\/strong><\/h3>\n\n\n\n

        Ein Admin Host<\/strong> (auch Privileged Access Workstation, PAW<\/strong>) ist eine dedizierte Workstation<\/strong>, die ausschlie\u00dflich f\u00fcr die Administration Ihrer Server und sensiblen Systeme verwendet wird. Sie wird nicht f\u00fcr \u201enormale Arbeit\u201c<\/strong> wie E-Mails oder Internetsurfen genutzt und sollte keinen direkten Zugang zum Internet<\/strong> haben.<\/p>\n\n\n\n

        Das Clean-Source-Prinzip<\/strong> besagt, dass Sie f\u00fcr administrative Aufgaben stets von einer \u201esauberen\u201c und vertrauensw\u00fcrdigen Quelle aus arbeiten sollten. Der Admin Host dient hier als dieser sichere Sprungpunkt, um zu verhindern, dass privilegierte Anmeldedaten (z.B. Kerberos-Tickets) auf Ihrer t\u00e4glich genutzten, potenziell anf\u00e4lligeren Workstation hinterlassen werden.<\/p>\n\n\n\n

        Einrichtung eines Admin Hosts:<\/strong><\/h4>\n\n\n\n
          \n
        1. Saubere Installation:<\/strong> Installieren Sie das Betriebssystem (z.B. Windows Server 2019 oder Windows 10) von einem \u201esauberen Medium\u201c, um sicherzustellen, dass keine unerw\u00fcnschten Einstellungen oder Software vorhanden sind.<\/li>\n\n\n\n
        2. Keine Dom\u00e4nenmitgliedschaft (im Beispiel):<\/strong> Der Admin Host wird im bereitgestellten Beispiel nicht<\/strong> zur Active Directory Dom\u00e4ne hinzugef\u00fcgt. (Anmerkung: Das Microsoft PAW-Konzept sieht teils eine Dom\u00e4nenmitgliedschaft f\u00fcr GPOs und Updates vor, dies sollte je nach Unternehmensumgebung bewertet werden).<\/li>\n\n\n\n
        3. Benutzerkonten:<\/strong> Erstellen Sie zwei lokale Benutzerkonten auf dem Admin Host: einen administrativen Benutzer (z.B. AHAdmin<\/code>) und einen normalen Benutzer f\u00fcr die RDP-Verbindung zum Admin Host (z.B. AHUser<\/code>). Verwenden Sie starke Passw\u00f6rter.<\/li>\n\n\n\n
        4. Sicherheitsbaselines:<\/strong> Wenden Sie Sicherheitsbaselines an (z.B. Microsoft Security Baseline) und deaktivieren Sie unn\u00f6tige Windows-Dienste.<\/li>\n\n\n\n
        5. Windows Firewall:<\/strong> Konfigurieren Sie die Firewall streng: Blockieren Sie zun\u00e4chst alle ein- und ausgehenden Verbindungen. Erlauben Sie dann nur spezifischen, notwendigen Datenverkehr (z.B. RDP und Ping von bestimmten IPs\/Subnetzen). Internetzugriff und \u201eAny-Any-Any\u201c-Regeln sind tabu.<\/li>\n\n\n\n
        6. Nutzung:<\/strong> Von Ihrer normalen Workstation stellen Sie eine RDP-Verbindung zum Admin Host mit dem AHUser<\/code>-Konto her. Innerhalb dieser gesicherten RDP-Sitzung<\/strong> auf dem Admin Host stellen Sie dann eine privilegierte RDP-Verbindung zum Zielsystem her oder f\u00fchren administrative Tools aus. Es sollte nie<\/strong> eine RDP-Verbindung mit privilegierten Konten direkt von einer normalen Workstation aus erfolgen, da dies die Credentials auf der Workstation zwischenspeichern k\u00f6nnte.<\/li>\n<\/ol>\n\n\n\n

          LAPS: Individuelle lokale Administratoren-Passw\u00f6rter<\/strong><\/h3>\n\n\n\n

          Ein weit verbreitetes Sicherheitsproblem ist die Verwendung identischer Passw\u00f6rter f\u00fcr das lokale Administrator-Konto<\/strong> auf allen Clients und Servern. Das Konto \u201eAdministrator\u201c ist ein beliebtes Ziel f\u00fcr Angreifer, da es standardm\u00e4\u00dfig auf jedem Windows-System existiert und administrative Rechte besitzt. Ein identisches Passwort macht es Angreifern sehr einfach, sich nach einer Kompromittierung eines Systems lateral im Netzwerk auszubreiten.<\/p>\n\n\n\n

          LAPS (Local Administrator Password Solution)<\/strong> l\u00f6st dieses Problem: LAPS generiert individuelle, sichere Passw\u00f6rter<\/strong> f\u00fcr lokale Administratorkonten und \u00e4ndert diese zyklisch. Die Passw\u00f6rter werden sicher in Intune gespeichert und k\u00f6nnen von berechtigten Personen ausgelesen werden.<\/p>\n\n\n\n

          Einrichtung von LAPS <\/strong><\/h4>\n\n\n\n
            <\/ol>\n\n\n\n
            \n\n\n\n
            <\/h6>\n\n\n\n

            Mittlerweile ist eine LAPS-Funktionalit\u00e4t direkt in Windows integriert (ab Windows 10\/11 und Windows Server 2019\/2022 mit entsprechenden Updates). Dies bedeutet, dass Sie keinen separaten LAPS-Client mehr auf den Ger\u00e4ten installieren m\u00fcssen. Die Verwaltung und Konfiguration kann \u00fcber Gruppenrichtlinien, aber auch nativ \u00fcber Microsoft Intune oder PowerShell erfolgen. Dies vereinfacht die Bereitstellung und Verwaltung erheblich. <\/p>\n\n\n\n

            Tempor\u00e4re lokale Administratorrechte<\/strong><\/h3>\n\n\n\n

            In vielen Umgebungen ben\u00f6tigen Anwender gelegentlich lokale Administratorberechtigungen, z.B. f\u00fcr die Installation eines Druckers. Dauerhafte Admin-Rechte f\u00fcr normale Benutzer stellen ein erhebliches Sicherheitsrisiko dar. Die L\u00f6sung besteht darin, Benutzern nur zeitlich begrenzte, tempor\u00e4re Administratorrechte<\/strong> zu gew\u00e4hren.<\/p>\n\n\n\n

            Einrichtung tempor\u00e4rer Admin-Berechtigungen:<\/strong><\/h4>\n\n\n\n
              \n
            1. Voraussetzungen:<\/strong> Das Gesamtstruktur- und Dom\u00e4nenfunktionslevel muss mindestens Windows Server 2016<\/strong> sein. Das \u201ePrivileged Access Management Feature\u201c muss in der Gesamtstruktur aktiviert werden.<\/li>\n\n\n\n
            2. Administratoren-Gruppen pro Computer:<\/strong> F\u00fcr jeden Computer in Ihrem Active Directory wird eine eigene Gruppe<\/strong> ben\u00f6tigt, die lokale Admin-Rechte verwaltet (z.B. CL1_LocalAdmins<\/code> f\u00fcr den Computer CL1<\/code>). Ein PowerShell-Skript kann dies automatisieren, indem es diese Gruppen basierend auf vorhandenen Computerkonten erstellt und bei Bedarf l\u00f6scht.<\/li>\n\n\n\n
            3. GPO zum Hinzuf\u00fcgen der Admin-Gruppen:<\/strong> Eine Gruppenrichtlinie wird erstellt, die die computerspezifische AD-Gruppe (unter Verwendung der Variable %ComputerName%<\/code>) zur lokalen \u201eAdministratoren\u201c-Gruppe des jeweiligen Clients hinzuf\u00fcgt. Wichtig:<\/strong> Diese GPO sollte so konfiguriert werden, dass sie alle bestehenden Mitglieder<\/strong> der lokalen Administratorengruppe entfernt, um diese \u201esauber\u201c zu halten.<\/li>\n\n\n\n
            4. Tempor\u00e4re Zuweisung:<\/strong> Die tempor\u00e4re Hinzuf\u00fcgung eines Benutzers zu einer dieser computerspezifischen Gruppen erfolgt \u00fcber PowerShell mit dem Parameter -MemberTimeToLive<\/code> (z.B. f\u00fcr 60 Minuten). Empfehlung:<\/strong> Verwenden Sie f\u00fcr tempor\u00e4re Admin-Berechtigungen einen separaten Benutzer-Account<\/strong> (z.B. Frank_Admin<\/code>), nicht den t\u00e4glichen Benutzer-Account des Anwenders. Der Anwender kann dann bei Bedarf \u00fcber die UAC-Aufforderung diesen separaten Admin-Account nutzen, ohne sich von seinem Arbeits-PC abmelden zu m\u00fcssen.<\/li>\n<\/ol>\n\n\n\n

              Zusammenfassung und Ausblick<\/strong><\/h3>\n\n\n\n

              Die hier beschriebenen Ma\u00dfnahmen \u2013 Admin Tiers, Admin Hosts und LAPS<\/strong> \u2013 sind keine Allheill\u00f6sung, aber sie erh\u00f6hen die Sicherheit Ihres Active Directory erheblich. Sie machen es Angreifern deutlich schwerer, in Ihr Netzwerk einzudringen und sich auszubreiten. Regelm\u00e4\u00dfige Updates f\u00fcr alle Software und Betriebssysteme sind ebenfalls von gr\u00f6\u00dfter Bedeutung, da automatisierte Angriffe oft auf bekannte Sicherheitsl\u00fccken abzielen.<\/p>\n\n\n\n

              Durch die konsequente Umsetzung dieser Konzepte sind Sie auf einem guten Weg, Ihr Active Directory widerstandsf\u00e4higer gegen moderne Cyberbedrohungen zu machen. Es geht darum, Angreifern nicht die \u201eKronjuwelen des Unternehmens\u201c auf dem Silbertablett zu servieren.<\/p>\n\n\n\n

              \n\n\n\n

              <\/h2>\n","protected":false},"excerpt":{"rendered":"

              Die Sicherheit des Active Directory (AD) ist das R\u00fcckgrat vieler Unternehmensnetzwerke. Doch gerade hier lauern…<\/p>\n","protected":false},"author":1,"featured_media":812,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,3],"tags":[],"class_list":["post-811","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-it"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=811"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/811\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/812"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}