In über 80 Prozent unserer internen Penetrationstests erlangen wir Domain-Admin-Rechte. Nicht weil die Kunden schlecht geschützt sind, sondern weil Active Directory-Umgebungen durch jahrelange Anpassungen, Altlasten und Fehlkonfigurationen strukturell schwierig abzusichern sind.
Warum Active Directory so attraktiv für Angreifer ist
Active Directory ist die zentrale Authentifizierungs- und Autorisierungsinstanz in Windows-Netzwerken. Wer die Kontrolle über das AD hat, kontrolliert alle Benutzer, alle Rechte und alle Computer im Netzwerk. Kein Wunder, dass Domain Admin das Endziel jedes internen Angreifers ist.
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
Die häufigsten AD-Angriffspfade in der Praxis
1. Kerberoasting
Jeder authentifizierte Domänenbenutzer kann Service Tickets für Dienste-Konten anfordern. Diese Tickets sind mit dem Passwort-Hash des Service-Accounts verschlüsselt und können offline geknackt werden. Dienstkonten mit schwachen Passwörtern sind daher ein direkter Weg zu erhöhten Rechten.
2. AS-REP Roasting
Accounts, bei denen Kerberos Pre-Authentication deaktiviert ist, können ohne gültiges Passwort angefragt werden. Das AS-REP-Paket enthält verschlüsselte Daten, die offline geknackt werden können. Solche Accounts finden sich erstaunlich häufig in realen Umgebungen.
3. Pass-the-Hash und Pass-the-Ticket
Windows speichert Passwort-Hashes im LSASS-Prozess. Wer Admin-Rechte auf einem Rechner hat, kann diese Hashes extrahieren und für Authentifizierungen auf anderen Systemen verwenden, ohne das Klartext-Passwort zu kennen. Mit Tools wie Mimikatz ist das in Sekunden erledigt.
4. BloodHound und Angriffspfad-Analyse
BloodHound visualisiert Berechtigungsbeziehungen im AD als Graph. Es zeigt, über welche Kette von Berechtigungen ein normaler Benutzer Domain Admin werden kann, zum Beispiel: User A hat WriteDACL auf Gruppe B, Gruppe B hat GenericAll auf User C, User C ist Domain Admin. Solche Pfade sind oft unbeabsichtigt und bleiben jahrelang unentdeckt.
Aus der Praxis: In einem Pentest bei einem Maschinenbauunternehmen konnten wir über einen vergessenen Service-Account mit unverändertem Default-Passwort innerhalb von 45 Minuten Domain Admin werden.
5. DCSync
Accounts mit der Berechtigung 'Replicating Directory Changes All' können die Passwort-Hashes aller Domänenbenutzer synchronisieren, also abrufen. Angreifer können damit den Hash des KRBTGT-Accounts extrahieren und sogenannte Golden Tickets erstellen: Tickets, die jahrelang gültig sind und vollen Domänenzugriff geben.
6. LDAP Signing und NTLM Relay
Ohne LDAP Signing und SMB Signing können Angreifer NTLM-Authentifizierungsversuche abfangen und an andere Dienste weiterleiten. Ein Angreifer im Netzwerk sendet eine gefälschte Anfrage, fängt die Antwort eines hochprivilegierten Accounts ab und authentifiziert sich damit am LDAP-Server des Domain Controllers.
Active Directory absichern: Die wichtigsten Maßnahmen
Privileged Access Workstations (PAW)
Admin-Aufgaben nur von dedizierten, gehärteten Systemen aus durchführen. Kein Internet, kein E-Mail auf Admin-Konten.
Tiered Administration Model
Domain Admins verwalten nur Domain Controller. Server-Admins verwalten nur Server. Workstation-Admins verwalten nur Workstations. Keine Vermischung der Tier-Grenzen.
- KRBTGT-Passwort regelmäßig rotieren (mindestens einmal im Jahr, zweimal hintereinander)
- Kerberos Pre-Authentication für alle Accounts erzwingen
- Service Accounts mit Managed Service Accounts (MSA/gMSA) ersetzen
- LDAP Signing und Channel Binding aktivieren
- SMB Signing auf allen Systemen erzwingen
- BloodHound regelmäßig für eigene AD-Analyse einsetzen
- Privilegierte Accounts nicht für normalen Betrieb verwenden
- Protected Users Security Group für alle Admin-Accounts nutzen
Warum ein AD-Pentest unverzichtbar ist
AD-Fehlkonfigurationen entstehen schleichend über Jahre. Automatisierte Schwachstellenscanner finden sie nicht, weil sie keine komplexen Angriffspfade analysieren können. Nur ein manueller Penetrationstest mit Fokus auf AD-Angriffspfade gibt Ihnen ein realistisches Bild Ihrer tatsächlichen Angriffsfläche.
Fazit
Active Directory ist komplex, historisch gewachsen und strukturell schwierig abzusichern. Die beschriebenen Angriffspfade sind keine Theorie, sondern tägliche Praxis in echten Penetrationstests. Der erste Schritt zu einem sicheren AD: Wissen, was Sie haben. Ein BloodHound-Audit und ein professioneller AD-Pentest liefern diese Basis.
Alb Cyber Guards
IT-Sicherheitsexperten aus Albstadt
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.