Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Active Directory Domain Controller: Architektur, Härtung und Angriffsvektoren

Der Domain Controller ist die zentrale Autoritätsinstanz in Active-Directory-Umgebungen. Architektur, Kerberos, Gruppenrichtlinien, Härtungsmaßnahmen und Angriffsvektoren erklärt.

Inhaltsverzeichnis (7 Abschnitte)

Der Active Directory Domain Controller (DC) ist die zentrale Authentifizierungs- und Autorisierungsinstanz in Microsoft-Windows-Domänenumgebungen. Er verwaltet Benutzerkonten, Computerkonten, Sicherheitsgruppen, Gruppenrichtlinien und die gesamte Vertrauensinfrastruktur einer Organisation. In über 90 % aller Unternehmensumgebungen ist der Domain Controller das wichtigste und am häufigsten angegriffene System - wer den DC kompromittiert, kontrolliert die gesamte Domäne.

Active Directory Domain Services (AD DS): Grundlegende Architektur

Kernobjekte

Active Directory ist eine hierarchische Verzeichnisdatenbank, die auf dem LDAP-Protokoll (Lightweight Directory Access Protocol) basiert. Die wichtigsten Objekte:

  • Domain: Verwaltungsgrenze und Replikationseinheit. Alle Objekte einer Domain teilen eine gemeinsame Sicherheitsrichtlinie und Datenbank.
  • Organizational Unit (OU): Unterstruktur innerhalb einer Domain zur Organisation von Objekten und Anwendung von Gruppenrichtlinien.
  • Forest: Oberste Vertrauens- und Sicherheitsgrenze in AD. Ein Forest kann mehrere Domains enthalten, die über transitive Vertrauensstellungen verbunden sind.
  • Global Catalog (GC): Teilreplizierung aller Objekte aller Domains eines Forests - ermöglicht domänenübergreifende Suche.
  • FSMO-Rollen: Fünf Flexible Single Master Operations-Rollen, die bestimmte domänenkritische Funktionen auf je einen DC konzentrieren (Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master).

Domain Controller-Rollen

Ein Domain Controller führt folgende kritische Dienste aus:

  • AD DS (Active Directory Domain Services): Kernverzeichnisdienst, LDAP-Schnittstelle
  • Kerberos Key Distribution Center (KDC): Authentifizierungsdienst für alle Domänenobjekte
  • DNS (Domain Name System): AD ist tief in DNS integriert; die meisten DCs sind gleichzeitig DNS-Server
  • SYSVOL-Freigabe: Replikationspartition für Gruppenrichtlinien-Templates und Skripte
  • NETLOGON-Dienst: Authentifizierung für ältere NTLM-Protokolle, Domänen-Discovery

Replikation

Änderungen an AD-Objekten werden zwischen allen Domain Controllern einer Domain repliziert. Das Knowledge Consistency Checker (KCC) erstellt automatisch die Replikationstopologie. Replikation erfolgt über RPC over IP (für Intra-Site-Replikation) und kann über SMTP für Inter-Site-Verbindungen konfiguriert werden.

Kerberos-Authentifizierung

Kerberos ist das primäre Authentifizierungsprotokoll in Active Directory. Es basiert auf dem Prinzip der Ticket-basierten Authentifizierung: Passwörter werden nie über das Netzwerk übertragen.

Ablauf der Kerberos-Authentifizierung

  1. AS-REQ (Authentication Service Request): Der Client sendet eine Anfrage an den KDC (läuft auf dem DC) und authentifiziert sich mit einem verschlüsselten Timestamp (mit dem NTLM-Hash des Benutzerpassworts).
  2. AS-REP (Authentication Service Reply): Der KDC antwortet mit einem Ticket Granting Ticket (TGT) - ein verschlüsseltes Ticket, das mit dem KRBTGT-Konto-Hash signiert ist. Der Client kann das TGT nicht entschlüsseln, bewahrt es aber für weitere Anfragen auf.
  3. TGS-REQ (Ticket Granting Service Request): Wenn der Client auf einen Dienst zugreifen möchte (z. B. Dateiserver), präsentiert er das TGT und fordert ein Service Ticket (ST) an.
  4. TGS-REP (Ticket Granting Service Reply): Der KDC stellt ein Service Ticket aus, das mit dem Dienstkonto-Hash verschlüsselt ist.
  5. AP-REQ (Application Request): Der Client präsentiert das Service Ticket dem Zieldienst, der es mit seinem eigenen Passwort-Hash entschlüsselt und die Identität des Clients verifiziert.

Sicherheitsrelevante Komponenten

  • KRBTGT-Konto: Das einzige Konto, das TGTs signieren kann. Kompromittierung ermöglicht die Erstellung von Golden Tickets - beliebig gültige TGTs für jedes Konto in der Domain.
  • Privileged Access Workstation (PAW): Dedizierter, gehärteter Arbeitsplatz für die Administration von DCs und anderen Tier-0-Systemen.

Gruppenrichtlinien (Group Policy Objects, GPOs)

GPOs sind das zentrale Konfigurations- und Durchsetzungsinstrument in Active Directory. Sie werden auf OUs angewendet und kontrollieren nahezu jeden Aspekt von Windows-Systemen und Benutzerumgebungen.

GPO-Verarbeitungsreihenfolge (LSDOU)

  1. Local: Lokale Richtlinien des Computers
  2. Site: GPOs, die der AD-Site zugeordnet sind
  3. Domain: GPOs auf Domain-Ebene
  4. OU: GPOs auf der OU des Objekts (untergeordnete OUs überschreiben übergeordnete)

Spätere GPOs in der Verarbeitungsreihenfolge überschreiben frühere (außer bei “Enforced”-GPOs oder “Block Inheritance”).

Sicherheitsrelevante GPO-Einstellungen

  • Password Policy: Mindestlänge, Komplexität, Ablaufintervall, History
  • Account Lockout Policy: Schwellenwert, Sperrdauer, Beobachtungszeitraum
  • Audit Policy: Welche Ereignisse im Sicherheitsprotokoll protokolliert werden
  • User Rights Assignment: Welche Benutzer und Gruppen bestimmte Systemrechte haben (Anmelden lokal, als Dienst anmelden, Debugging-Rechte etc.)
  • Windows Firewall: Zentralisierte Firewall-Regeln für alle Domänencomputer
  • AppLocker / WDAC: Anwendungssteuerungsrichtlinien

Härtungsmaßnahmen für Domain Controller

Tier-Modell (Administrative Tiering)

Microsoft empfiehlt ein dreistufiges Administrations-Tier-Modell:

TierSystemeAdmins
Tier 0Domain Controller, PKI, ADFSNur Tier-0-Admins
Tier 1Server (Datei, Web, Datenbank)Nur Tier-1-Admins
Tier 2Workstations, EndgeräteNur Tier-2-Admins

Admins dürfen sich nie mit ihren privilegierten Konten an Systemen niedrigerer Tiers anmelden - dies verhindert die Extraktion privilegierter Credentials durch einen kompromittierten Tier-2-Rechner.

Härtungs-Checkliste für Domain Controller

Physische und Netzwerk-Sicherheit:

  • DCs in physisch gesicherten Räumen oder dedizierter Hypervisor-Umgebung
  • Separates Management-VLAN für DC-Administration
  • Ausgehende Verbindungen von DCs auf das Nötigste beschränken (keine Internet-Konnektivität für DCs)

Betriebssystem-Härtung:

  • Aktuelles Windows Server OS mit allen Sicherheits-Updates
  • Keine unnötigen Rollen und Features auf DCs installieren (Core Installation bevorzugen)
  • Local Administrator Password Solution (LAPS) für alle Workstations und Server
  • Microsoft Defender Credential Guard aktivieren (schützt LSASS gegen Credential-Dumping)
  • Protected Users Security Group für alle privilegierten Konten

Active Directory-Konfiguration:

  • KRBTGT-Passwort regelmäßig rotieren (mindestens jährlich, nach Sicherheitsvorfällen sofort zweimal)
  • Privilegierte Konten (Domain Admins) niemals für normale Tätigkeiten nutzen
  • AdminSDHolder und SDProp-Mechanismus verstehen und überwachen
  • LDAP-Signing und -Channel-Binding erzwingen (verhindert LDAP-Relay-Angriffe)
  • SMB-Signing auf allen Systemen aktivieren (verhindert SMB-Relay)
  • NTLM-Authentifizierung einschränken oder deaktivieren wo möglich

Monitoring und Auditing:

  • Vollständiges Auditing für privilegierte Operationen aktivieren (Event IDs 4720, 4722, 4724, 4728, 4732, 4756)
  • SIEM-Integration für DC-Eventlogs
  • Honeypot-Benutzerkonten (nie genutzte, privilegierte Konten) zur Früherkennung

Häufige Angriffsvektoren

Pass-the-Hash (PtH)

Angreifer extrahieren NTLM-Passwort-Hashes aus dem LSASS-Prozess (z. B. mit Mimikatz) und nutzen diese direkt zur Authentifizierung an anderen Systemen - ohne das Klartextpasswort zu kennen. Schutz: Credential Guard, Protected Users Group, eingeschränkte NTLM-Nutzung.

Kerberoasting

Angreifer fordern Service Tickets für Dienstkonten an (über normale Benutzerrechte) und entschlüsseln das Ticket offline, um das Passwort des Dienstkontos zu cracken. Betroffen sind Konten mit gesetztem Service Principal Name (SPN). Schutz: Starke, zufällige Passwörter für Dienstkonten (min. 25 Zeichen), Managed Service Accounts (MSA/gMSA) verwenden.

AS-REP Roasting

Für Benutzerkonten, bei denen die Kerberos-Vorauthentifizierung deaktiviert ist, kann ein Angreifer ohne Credentials ein TGT anfragen und offline cracken. Schutz: Vorauthentifizierung niemals deaktivieren.

DCSync-Angriff

Ein Angreifer mit Replikationsrechten (üblicherweise Domain Admins oder Konten, denen explizit “Verzeichnisänderungen replizieren” zugewiesen wurde) kann alle Passwort-Hashes der Domain über das AD-Replikationsprotokoll extrahieren. Ergebnis: Vollständige Kompromittierung aller Konten. Schutz: Replikationsrechte streng kontrollieren, BloodHound für Attack Path Analysis nutzen.

Golden Ticket

Nach Extraktion des KRBTGT-Passwort-Hashes kann ein Angreifer beliebige gültige TGTs für jedes Konto erstellen - auch für gelöschte oder nicht existierende Accounts. Golden Tickets können für Jahre gültig sein und überleben Passwortänderungen normaler Konten. Schutz: KRBTGT-Passwort zweimal in kurzer Zeit rotieren (invalidiert alle ausgestellten TGTs).

Domain Trust Exploitation

In Multi-Domain-Forests können Angreifer SID-History und Vertrauensstellungen missbrauchen, um von einer kompromittierten Child-Domain auf die Forest-Root-Domain zu pivotieren. Schutz: SID-Filtering zwischen Domains aktivieren.

Monitoring-Empfehlungen

Folgende Windows Event IDs sind für die DC-Überwachung besonders relevant:

Event IDBeschreibung
4624Erfolgreiche Anmeldung
4625Fehlgeschlagene Anmeldung
4728/4732/4756Mitglied zu privilegierter Gruppe hinzugefügt
4720Benutzerkonto erstellt
4723/4724Passwortänderung
4769Kerberos Service Ticket angefordert (Kerberoasting-Erkennung)
4771Kerberos-Vorauthentifizierung fehlgeschlagen
4776NTLM-Authentifizierung (Credential Validation)
7045Neuer Dienst installiert

Eine SIEM-Integration mit Alert-Regeln auf verdächtige Muster (z. B. viele fehlgeschlagene Anmeldungen, Anmeldungen außerhalb der Geschäftszeiten, Zugriff auf SYSVOL) ist für jede produktive AD-Umgebung unverzichtbar.

Fazit

Der Domain Controller ist das kritischste System in nahezu jeder Unternehmensumgebung. Eine Kompromittierung bedeutet vollständige Kontrolle über alle Benutzerkonten, alle Systeme und alle Daten der Organisation. Die Härtung des DCs und der gesamten AD-Infrastruktur nach dem Tier-Modell, mit konsequentem Monitoring und regelmäßigen Penetrationstests, ist nicht optional - sie ist die Basis jeder ernsthaften Unternehmens-IT-Sicherheit.

Quellen & Referenzen

  1. [1] Microsoft: Best Practices for Securing Active Directory - Microsoft
  2. [2] BSI: Sicherheitsanforderungen an Active Directory - Bundesamt für Sicherheit in der Informationstechnik
  3. [3] MITRE ATT&CK: Credential Access in Active Directory - MITRE Corporation
  4. [4] CIS Benchmark: Microsoft Windows Server 2022 - Center for Internet Security

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung
Dieser Artikel wurde zuletzt am 08.03.2026 bearbeitet. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung