Scroll Top

10 Schwachstellen, die Ihr Active Directory verwundbar machen

Martin Handel

Active Directory (AD) ist das Rückgrat der Authentifizierung und der Autorisierung im lokalen Unternehmensnetzwerk. Über AD werden Benutzer-, Gruppen- und Computerkonten verwaltet und zur täglichen Nutzung autorisiert. 

Dieser zentrale Verzeichnisdienst ist der Dreh- und Angelpunkt für Identitäten jeglicher Sensitivität und aus diesem Grund ein sehr attraktives Ziel für Hacking-Angriffe. Eine Kompromittierung des AD ist der größte Anzunehmende Unfall in der IT, zieht in der Regel Datenabfluss, verschlüsselte Systeme und einen IT-Totalausfall nach sich. 

AD ist daher gegen die Standardangriffsvektoren zu schützen, als da wären:

1. Zu weit gefasste Berechtigungen und Privilegien 

Die Historie des Produktes AD und der langjährige Einsatz im Unternehmen führt in der Regel dazu, dass Konten, insbesondere Dienstkonten, über die Jahre zu hohe Berechtigungen und Privilegien akkumuliert haben.

Wird diese Akkumulierung mit einer weiten Streuung gepaart, das gleiche Dienstkonto mit hohen Privilegien wird auf vielen Systemen verwendet, ist das sehr leichte Beute für einen Angreifer.

Das gewähren von minimal notwendigen Privilegien und Berechtigungen, der Einsatz von gMSA (group managed service accounts) und DMSA (delegated managed service account) sind adäquate

2. Kein praktiziertes Tiering 

Seit der Demonstration von dem „golden ticket“ für Active Directory im Jahr 2014 ist klar geworden, dass die Zugriffe im Unternehmen strikt nach Ebenen (Tiers) getrennt werden müssen.

Höchst privilegierte Benutzerkonten dürfen nur auf höchst privilegierten Computersystemen verwendet werden. Wird ein höchst privilegiertes Benutzerkonto auf einem niedrig privilegierten Computersystem verwendet, können Angreifer, im Falle einer Kompromittierung des Endgeräts, sehr rasch die Useridentität erbeuten.

Fehlendes oder falsch praktiziertes Tiering ist, nach zu hoch privilegierten Konten, meist genutzten Schwachstellen für AD durch einen Hacker.

3. Veraltete Kennwörter 

Dienst- und Computerkonten sollten, anders als bei Benutzerkonten, zyklisch wechselnde Kennwörter aufweisen. Die Demonstration des „golden ticket“ für AD vor 10 Jahren zeigte noch ein zweites besonderes Ticket: das „silver ticket“.

Bei einem „silver ticket“ macht sich der Angreifer statische Kennwörter von Dienst- und Computerkonten eines Unternehmens zu Nutze, um sich persistenten und in der Regel lateralen Zugriff zu sichern.

Daher müssen Computerkennwörter, insbesondere die der Domain Controller und die Kennwörter der Dienstkonten, hier speziell das Kerberos-Ticketkontos „krbtgt“, zyklisch gewechselt werden. 

4. Veraltete Betriebssysteme 

Der Betrieb von Betriebssystemen auf Basis von Microsoft in der Unternehmens-IT ist weit verbreitet. Ebenso weit verbreitet ist der Betrieb von Microsoft Betriebssystemen, welche schon lange aus dem Support gelaufen sind.

„Aus dem Support gelaufen“ bedeutet insbesondere keine Sicherheits-Updates mehr und damit leichte Beute für Angreifer. Wird eine neue Schwachstelle X im Protokoll Y entdeckt, wird diese Schwachstelle für die aktuellen Microsoft-Betriebssysteme, hoffentlich zeitnah, per Update geschlossen, jedoch nicht für die Betriebssysteme, welche aus dem Support gelaufen sind.

Zur Orientierung:
Windows XP / Server 2003 R2: Supportende war am 08.04.2014
Windows Vista: Supportende war am 11.04.2017
Windows 7 / Server 2008 / Server 2008 R2: Supportende war am 14.01.2020
Windows 8: Supportende war am 12.01.2016.
Windows 8.1: Supportende war am 10.01.2023
Server 2012 / Server 2012 R2: Supportende war am 10.10.2023
Windows 10: Supportende ist am 14.10.2025 (analog zum Supportende von Exchange 2016 und 2019!)

Die Liste der End-of-Life (EoL)-Termine ist hier einsehbar:
https://learn.microsoft.com/en-us/lifecycle/products/

5. Veraltete Protokolle 

Bei der Authentifizierung und beim Zugriff auf Dienste kommen Protokolle zum Einsatz. Diese Protokolle geben den Rahmen der Kommunikation zwischen Client und Server vor. Durch die lange Historie von Windows Betriebssystemen im Unternehmenseinsatz sind viele dieser Protokolle nicht nur sehr alt, sondern auch sehr unsicher.

Im Bereich der Authentifizierung müssen unbedingt die alten Protokolle LM und NTLMv1 vollständig abgelöst werden. Bei Kerberos V5 muss zeitnah die RC4-Verschlüsselung deaktiviert werden, das Protokoll Kerberos V5 als solches bleibt bestehen.

Der Bereich Anwendungsprotokolle verlangt restloses deaktivieren von SMBv1 sowie generell eine nahtlose Abschaltung von TLS1.0 und TLS1.1

6. Fehlende Härtung bei UNC-Pfaden 

Der Zugriff auf freigegebene Ordner bei Dateiservern, das Drucken auf freigegebenen Druckern auf Druckservern erfolgt, in der Regel, über das SMB-Protokoll. Der SMB-Client, der klassische Windows-Rechner, legt hier von Haus aus aber wenig Wert auf Integrität:
Ob der SMB-Client mit dem richtigen Server dabei spricht und ob die Daten unverfälscht sind, interessiert diesen erstmal nicht.

Diese „Haltung“ des SMB-Clients hat sich seit WannaCry im Jahre 2017 als fatal erwiesen. Dicht gefolgt von CoronaBlue (Wormable) im Jahr 2020 und CVE 2023-23397 (Remote Code execution bei Outlook und UNC-Path injection).

Die Härtung der UNC-Pfade stellt hierbei sicher, dass der SMB-Client Wert auf den richtigen Kommunikationspartner (mutual authentication) und Datenintegrität legt.

Unsichere und / oder verfremdete Verbindungen lehnt der SMB-Client ab. 

7. Administrative Konten sind für jeden sichtbar 

Das Produkt AD war seit je her ein „read-many“ Directory. Das bedeutet eine authentifizierte Identität darf, grundsätzlich, viel im AD „sehen“. „Sehen“ bedeutet per Protokoll LDAP, per RPC (Remote Procedure Call) oder per ADWS (Active Directory Web Services; in der Regel Windows PowerShell).

Für administrative Konten ist das jedoch abträglich. Es besteht immer das Risiko, dass eine authentifizierte das AD aufklären kann. 


Wer ist hoch privilegiert und wer ist niedrig priviligiert?
Wer ist attraktiv zu hacken, wer nicht?

Mit dem List Object Mode (LOM), einem AD-Feature aus dem Jahr 2005 (!), kann dem schnell und effektiv entgegengewirkt werden.

Übrigens – Weitere Maßnahmen für die Sicherheit Ihres Active Directorys habe ich hier zusammengefasst: Active Directory Best Practices

8. Keine Multi-Faktor-Authentifizierung 

Multi-Faktor-Authentifizierung (MFA) für AD ist alt: im Jahr 2006 stellte Microsoft eine Protokollerweiterung bei Kerberos V5 mit dem Namen „PKINIT“ vor.

PKINIT bei AD bedeutet, ich kann oder muss ein weiteres physikalisches Gerät (SmartCard) und eine weitere Information (PIN – personal identification number) einsetzen, um mich zu authentifizieren.

Das bietet gleich mehrere Vorteile:
– Das Benutzen von Kennwörtern mehr notwendig
– absolut sicher vor Phishing

Bei administrativen Konten kann dieses noch mit Authentication Mechanism Assurance (AMA) gekoppelt werden, um die höchstmögliche Sicherheit bei AD-Authentifizierung und -Autorisierung zu bekommen.

9. Kein Authentication Mechanism Assurance (AMA) 

Authentication Mechanism Assurance impliziert, dass im Rahmen einer SmartCard-Authentifzierung (MFA) Gruppenverschachtelungen durchgeführt werden.

Das bedeutet: nur eine Authentifizierung durch eine SmartCard werden Autorisierungen umgesetzt. Bedeutet im Umkehrschluss: ohne SmartCard-Authentifzierung erfolgt keine Autorisierung. Der angenehme Effekt: Angreifer gehen leer aus, denn eine Kompromittierung eines solchen AMA-Users bleibt folgenlos.

Die Autorisierung erfolgt immer durch leere universale Gruppen, die wiederum weiter verschachtelt sind. Diese leeren universalen Gruppen ermöglichen keine Aufklärung. AMA-User und AMA-Computer sind „unsichtbar“ unterwegs.

AMA bietet die Möglichkeit Rollen an die Art der Authentifizierung zu koppeln. Diese Koppelung liefert gleich mehrere Vorteile:
– Das Benutzen von Kennwörtern mehr notwendig
– absolut sicher vor Phishing
– Aufklären unmöglich
– Kompromittierung folgenlos 

10. Updates, Monitoring und Line of sight 

Die Pflege und Wartung der Domain Controller, der Member Server und der Member Workstations sollte selbstverständlich sein und zur monatlichen Routine gehören.

Das Zurückhalten von Updates ist nicht zuträglich, führt zu zahlreichen Schwachstellen in der Security und ist spätestens seit dem „Printing Nightmare“ als grob fahrlässig einzustufen.

Gut zu wissen, dass mit dem Server 2025 und Windows 11 24H2 das Hot Patching, durch ausbleibende Neustarts, die Verfügbarkeit der Systeme nicht beeinträchtigt.

Die Überwachung des AD und somit der Domain Controller sollte nach BSI- und Microsoft-Vorgaben erfolgen:
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/PDCA/PDCA.html
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory

Das Sammeln der Daten ist in der Regel keine große Schwierigkeit, spannender wird es beim Auswerten des Datenkonvoluts.
Eine Hilfestellung können Drittanbietertools bieten. So verfügt ManagedEngine mit dem ADAuditPlus eine gute und einfach zu handhabende Überwachnungslösung für AD.
https://www.manageengine.de/produkte-loesungen/active-directory/adaudit-plus.html

Die Lign of sight zu den read-write Domain Controllern (RWDCs) durch die Clients muss verschwinden. Clients benötigen keinen direkten Kommunikationskanal mit RWDCs.

Seit 2017 empfehlen wir grundsätzlich die Clients von den RWDCs abzutrennen.

Die Abtrennung erfolgte bisher durch read-only Domain Controller (RODCs), wird mit Server 2025 sich aber in Richtung IAKerb bewegen. 

Fazit 

Die Sicherheit des Active Directory ist entscheidend für die Netzwerksicherheit als Ganzes. Durch das Verständnis und die Mitigation der oben genannten Schwachstellen können Unternehmen ihre Verteidigung gegenüber Angriffen erheblich stärken. Die Implementierung von Best Practices, wie die regelmäßige Überprüfung von Berechtigungen, die Aktualisierung von Software und die Schulung von Mitarbeitern, ist unerlässlich, um die Integrität und Sicherheit des Active Directory zu gewährleisten. 

Wie IQunit Sie unterstützen kann 

Als langjährige IT-Experten bieten wir IT-Schulungen für Professionals. Im Rahmen unserer 5-tägigen Essential Active Directory 2025 Schulung lernen Sie die Bereinigung, Optimierung und Transition eines Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025. 

Mehr zu unserem Workshop erfahren Sie hier: Essential Active Directory 2025 Schulung 

Related Posts