Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Active Directory Angriffe

Active Directory (AD) ist das Herzstück fast jeder Windows-Unternehmensinfrastruktur - und damit das bevorzugte Angriffsziel. Dieser Artikel erklärt die häufigsten AD-Angriffstechniken und wie man sich schützt.

Inhaltsverzeichnis (3 Abschnitte)

Active Directory (AD) ist Microsofts Verzeichnisdienst und in über 90 % aller Windows-Unternehmensumgebungen das zentrale System für Identitäts- und Zugriffsverwaltung. Es verwaltet Benutzerkonten, Computerkonten, Gruppen, Gruppenrichtlinien und Vertrauensbeziehungen zwischen Domänen. Diese zentrale Stellung macht AD zum bevorzugten Angriffsziel professioneller Angreifer - wer den Domänenadministrator kompromittiert, kontrolliert das gesamte Unternehmensnetzwerk.

Laut einer Analyse von SpecterOps (2024) ist in über 80 % aller erfolgreichen Ransomware-Angriffe Active Directory der zentrale Kompromittierungsweg.

Grundlegende AD-Konzepte für Sicherheitsverantwortliche

Bevor Angriffstechniken verstanden werden können, sind einige Grundkonzepte wichtig:

Kerberos: Das primäre Authentifizierungsprotokoll in AD. Funktioniert über Tickets (TGT und Service Tickets), ausgestellt vom Key Distribution Center (KDC) auf dem Domänencontroller.

NTLM: Älteres Challenge-Response-Protokoll, weiterhin in vielen Umgebungen aktiv. Gilt als unsicher, wird von Angreifern aktiv ausgenutzt.

SPN (Service Principal Name): Eindeutige Kennung eines Dienstes in AD, verknüpft mit einem Dienstkonto. Grundlage für Kerberoasting.

ACL/ACE: Access Control Lists und Access Control Entries steuern Berechtigungen auf AD-Objekte. Fehlkonfigurierte ACLs sind ein häufiger Angriffspfad.

BloodHound: Open-Source-Tool zur Visualisierung von Angriffspfaden in AD. Zeigt in Graphenform, welche Berechtigungen ein kompromittiertes Konto ausnutzen kann, um zum Domänenadministrator zu eskalieren.

Häufige Angriffstechniken

Kerberoasting

Funktionsweise: Jeder authentifizierte Domänenbenutzer kann Service Tickets für alle SPNs anfordern. Diese Tickets sind mit dem NTLM-Hash des Dienstkontos verschlüsselt. Ein Angreifer fordert diese Tickets an, exportiert sie und versucht den Hash offline zu cracken - oft erfolgreich, weil Dienstkonten häufig schwache, nie ablaufende Passwörter haben.

Warum es funktioniert: Kerberos-Ticket-Anfragen sind legitim und erzeugen in Standard-Konfigurationen keine Alarme. Das Offline-Cracking hinterlässt keine Spuren im Zielsystem.

Erkennung: SIEM-Regel auf ungewöhnlich viele TGS-Anfragen (Event ID 4769) von einem einzelnen Account. Honeypot-SPNs (gefälschte Dienstkonten mit bekannten Hashes) als Detektion.

Schutz: Dienstkonten mit zufälligen, 25+ Zeichen langen Passwörtern. Managed Service Accounts (MSA/gMSA) automatisieren Passwortrotation. AES-Verschlüsselung für SPNs erzwingen.

Pass-the-Hash (PtH)

Funktionsweise: Bei NTLM-Authentifizierung wird der Passwort-Hash direkt als Authentifizierungsnachweis verwendet - das Klartextpasswort ist nicht nötig. Hat ein Angreifer über Mimikatz oder ähnliche Tools den NTLM-Hash eines privilegierten Kontos aus dem LSASS-Prozess extrahiert, kann er sich damit bei anderen Systemen authentifizieren.

Warum es funktioniert: NTLM-Hashes haben kein Session-Binding und laufen nicht ab. Ein Hash von vor zwei Jahren funktioniert noch, wenn das Passwort nicht geändert wurde.

Erkennung: Anmeldungen mit Event ID 4624 Typ 3 (Netzwerkanmeldung) von ungewöhnlichen Quellen. UEBA-Systeme erkennen Anomalien in Anmeldemustern.

Schutz: Protected Users Security Group für privilegierte Konten (deaktiviert NTLM-Nutzung). Credential Guard (Windows 10+) schützt LSASS vor Speicherauslese. Lokale Administratorpasswörter mit LAPS randomisieren.

DCSync

Funktionsweise: Domänencontroller replizieren Verzeichnisdaten untereinander über das MS-DRSR-Protokoll (Directory Replication Service Remote Protocol). Hat ein Angreifer ein Konto mit DS-Replication-Get-Changes-All-Recht, kann er mit Mimikatz diese Replikation imitieren und alle Passwort-Hashes der Domäne abrufen - einschließlich des KRBTGT-Kontos.

KRBTGT-Kompromittierung: Wer den Hash des KRBTGT-Kontos kennt, kann beliebige Kerberos-Tickets fälschen (Golden Ticket). Diese Tickets sind gültig für bis zu 10 Jahre und ermöglichen permanenten, unentdeckten Zugang - auch wenn alle Benutzerpasswörter geändert werden.

Erkennung: Event ID 4662 mit den spezifischen GUID-Werten der Replikationsrechte. Netzwerk-Traffic-Analyse: MS-DRSR von Non-DC-Systemen ist ein sicheres Anzeichen.

Schutz: DS-Replication-Get-Changes-All nur auf Domänencontroller-Konten beschränken. Regelmäßige BloodHound-Analysen zur Aufdeckung unbeabsichtigter ACL-Rechte.

AS-REP Roasting

Funktionsweise: Konten mit deaktivierter Kerberos-Vorauthentifizierung (DONT_REQ_PREAUTH-Flag) senden auf Anfrage verschlüsselte AS-REP-Nachrichten, ohne dass der Angreifer authentifiziert sein muss. Diese Nachrichten enthalten Material, das offline gecrackt werden kann.

Unterschied zu Kerberoasting: Kein gültiger Domänenbenutzer-Account für die Anfrage nötig - angreifbar auch ohne initialen Zugang zur Domäne.

Schutz: DONT_REQ_PREAUTH-Flag auf keinem Konto aktivieren. Regelmäßige Überprüfung mit: Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true}.

GPO Abuse (Gruppenrichtlinien-Missbrauch)

Funktionsweise: Gruppenrichtlinien (GPOs) werden auf Organizational Units (OUs) angewendet und steuern Einstellungen für alle enthaltenen Objekte. Hat ein Angreifer Schreibrechte auf ein GPO, kann er darüber auf alle betroffenen Systeme Malware deployen, Benutzer anlegen oder Dienste manipulieren.

BloodHound-Relevanz: BloodHound visualisiert GPO-Schreibrechte als Angriffspfad. In vielen Umgebungen haben zu viele Konten GPO-Schreibrechte durch fehlkonfigurierte Delegierungen.

LLMNR/NBT-NS Poisoning

Funktionsweise: Windows-Systeme nutzen LLMNR (Link-Local Multicast Name Resolution) und NBT-NS für die Namensauflösung, wenn DNS versagt. Ein Angreifer im gleichen Netzwerksegment kann auf diese Broadcasts antworten und sich als legitimer Server ausgeben - das Opfer sendet daraufhin seinen NTLM-Hash zur Authentifizierung.

Tool: Responder ist das Standard-Tool für diesen Angriff und liefert in typischen Unternehmensnetzen innerhalb von Minuten Hashes.

Schutz: LLMNR und NBT-NS per Gruppenrichtlinie deaktivieren. Netzwerksegmentierung, die laterale Broadcast-Kommunikation verhindert.

AD-Härtungsmaßnahmen

Tier-Model / Enterprise Access Model

Microsoft empfiehlt ein dreistufiges Privilegienmodell:

  • Tier 0: Domänencontroller, Tier-0-Assets, AD-Administratoren
  • Tier 1: Mitgliederserver, Applikationsserver
  • Tier 2: Workstations, normale Benutzer

Administratoren dürfen sich nur auf der ihnen zugeordneten Tier anmelden. Ein Tier-1-Administrator darf sich nicht auf einer Workstation anmelden und damit seinen Hash dem LSASS dieser Workstation aussetzen.

Privileged Access Workstations (PAW)

Dedizierte, gehärtete Arbeitsstationen ausschließlich für administrative Tätigkeiten - ohne Internet-Zugang, E-Mail und Office-Anwendungen.

Regelmäßige BloodHound-Analysen

Automatisierte wöchentliche BloodHound-Scans visualisieren neue Angriffspfade, die durch Benutzer- oder Gruppenänderungen entstanden sind.

KRBTGT-Account regelmäßig zurücksetzen

Das KRBTGT-Passwort sollte mindestens einmal jährlich, besser alle 180 Tage, zweimal zurückgesetzt werden (wegen der Passworthistorie). Kritisch nach jedem Sicherheitsvorfall.

Weiterführende Informationen: Netzwerk-Penetrationstest anfragen | AWARE7 Active Directory Security Assessment

Quellen & Referenzen

  1. [1] Microsoft - Active Directory Security Best Practices - Microsoft
  2. [2] MITRE ATT&CK - Enterprise Techniques - MITRE Corporation
  3. [3] BloodHound - Attack Path Analysis - SpecterOps
  4. [4] BSI - Absicherung von Active Directory - Bundesamt für Sicherheit in der Informationstechnik

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 03.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung