Active Directory Hardening

In über 90 % der Windows-basierten Unternehmensumgebungen steuert Active Directory Authentifizierung, Autorisierung und Gruppenrichtlinien. Wer die Kontrolle über AD übernimmt, kontrolliert die gesamte IT-Infrastruktur. Das macht AD zur wertvollsten Beute für Ransomware-Gruppen, APT-Akteure und Insider-Angreifer: Ein Domain Admin-Konto ermöglicht vollständigen Zugriff auf alle Systeme, alle Daten, alle Backups.

Die technischen Angriffsvektoren gegen AD sind gut dokumentiert und werden aktiv ausgenutzt. Kerberoasting extrahiert Service-Ticket-Hashes aus dem Netzwerkverkehr und ermöglicht Offline-Passwort-Cracking gegen Dienstkonten mit schwachen Passwörtern. Pass-the-Hash und Pass-the-Ticket erlauben Angreifern, sich mit gestohlenen NTLM-Hashes oder Kerberos-Tickets zu authentifizieren, ohne das Klartext-Passwort zu kennen. DCSync missbraucht Replikationsberechtigungen, um Passwort-Hashes aller Domain-Konten aus dem Directory Controller zu extrahieren.

Besonders kritisch ist die Angriffskette gegen Active Directory Certificate Services (ADCS). ESC1 bis ESC8 sind bekannte Fehlkonfigurationen in AD CS-Umgebungen, die einem Angreifer mit niedrigen Berechtigungen ermöglichen, Zertifikate für privilegierte Konten – einschließlich Domain Admins – zu erstellen und damit vollständige Domänenkontrolle zu erlangen. Die meisten Unternehmen haben ADCS im Einsatz und wissen nicht, dass ihre Konfiguration angreifbar ist.

BloodHound ist das wichtigste Werkzeug zur Analyse von Active-Directory-Angriffspfaden. Es kartiert die gesamten Beziehungen im AD – Gruppenmitgliedschaften, delegierte Berechtigungen, ACL-Konfigurationen, Session-Daten – und visualisiert die kürzesten Wege von einem beliebigen Ausgangspunkt zu privilegierten Zielen wie Domain Admins oder Domain Controllers. Was manuell Wochen dauern würde, liefert BloodHound in Minuten.

Wir führen eine vollständige BloodHound-Analyse Ihrer AD-Umgebung durch und identifizieren die kritischsten Angriffspfade: Welche Konten sind über mehrstufige Berechtigungsketten direkt angreifbar? Welche Service Accounts haben unnötig hohe Privilegien? Welche Gruppen haben transitive Berechtigungen, die nicht intendiert waren? Wo gibt es ACL-Fehlkonfigurationen (WriteDACL, GenericAll), die einem Angreifer Persistenz ermöglichen?

Die Analyseergebnisse bilden die Grundlage für priorisierte Härtungsmaßnahmen. Nicht jeder Angriffspfad ist gleich kritisch – wir identifizieren die Pfade, die mit wenigen Härtungsschritten die größte Angriffsfläche reduzieren, und priorisieren diese für die sofortige Umsetzung.

Das Microsoft Tier-Modell (auch: Enterprise Access Model) trennt administrative Zugänge nach Kritikalitätsstufen: Tier 0 umfasst Domain Controller, CA-Server und andere hochprivilegierte Systeme; Tier 1 umfasst Mitgliedsserver und Applikationen; Tier 2 umfasst Arbeitsplätze und Endgeräte. Das Modell verhindert, dass Zugangsdaten zwischen Tiers fließen: Wer sich mit Tier-1-Zugangsdaten an einem kompromittierten Tier-2-Rechner anmeldet, liefert dem Angreifer einen Sprungpunkt.

Privileged Access Workstations (PAWs) sind ein zentrales Element des Tiering-Modells: dedizierte Arbeitsplätze, von denen aus ausschließlich Tier-0-Verwaltung durchgeführt wird und die keinerlei Internetzugang, E-Mail oder produktive Nutzung erlauben. PAWs reduzieren das Angriffsrisiko drastisch, sind aber nur dann wirksam, wenn konsequent daran festgehalten wird.

Wir implementieren das Tiering-Modell schrittweise und pragmatisch – angepasst an die Realität Ihrer Umgebung und Ihrer Betriebskapazitäten. Dazu gehören die Definition von Admin-Accounts pro Tier, die Konfiguration von Authentication Policy Silos und Protected Users, die Härtung der Group Policy-Konfiguration und die Bereinigung der ACL-Konfigurationen, die BloodHound als kritisch identifiziert hat.

Härtung ohne Monitoring ist unvollständig: Nach der initialen Absicherung richten wir ein kontinuierliches AD-Monitoring ein, das kritische Ereignisse erkennt und alertet. Dazu zählen: Erstellung oder Modifikation privilegierter Konten und Gruppen, Änderungen an kritischen GPOs, neue Kerberos-Delegation-Konfigurationen, DCSync-Aktivitäten, ungewöhnliche NTLM-Authentifizierungen und Anzeichen für Golden/Silver Ticket-Angriffe.

Die Monitoring-Regeln werden auf Basis von MITRE ATT&CK entwickelt und spezifisch auf Ihre AD-Topologie zugeschnitten. Wir integrieren in bestehende SIEM-Lösungen (Microsoft Sentinel, Splunk, Elastic Security) oder empfehlen eine geeignete Monitoring-Plattform, wenn noch keine vorhanden ist. Das Ziel ist keine Alerting-Flut, sondern präzise Erkennungsregeln mit hohem Signal-Rausch-Verhältnis.

Nach Abschluss des Projekts erhalten Sie vollständige Dokumentation aller implementierten Maßnahmen, eine Baseline der AD-Konfiguration zum Vergleich bei zukünftigen Audits und Empfehlungen für die laufende Pflege. AD-Härtung ist kein einmaliges Projekt – Berechtigungen verändern sich, neue Systeme werden integriert, Konfigurationen driften. Wir empfehlen ein jährliches Review.