Active Directory absichern: 10 Schritte gegen Lateral Movement
Active Directory ist das Herzstück jeder Windows-Infrastruktur — und das bevorzugte Angriffsziel. 10 konkrete Härtungsschritte gegen Lateral Movement erklärt.
Active Directory absichern: 10 Schritte gegen Lateral Movement
Key Takeaways
- 90 % aller Ransomware-Angriffe auf Windows-Umgebungen nutzen Active Directory als Ausbreitungsweg
- Das Tier-Modell ist der wichtigste strukturelle Schutz — es isoliert Domain Controller vom Alltags-Netz
- Viele Härtungsmaßnahmen sind Bordmittel ohne zusätzliche Lizenzkosten
- KRBTGT-Passwortrotation und Protected Users Group sind die am häufigsten übersehenen Quick-Wins
- Monitoring von privilegierten Gruppen und Authentifizierungsanomalien ist Pflicht für NIS-2-Compliance
Warum Active Directory der Dreh- und Angelpunkt ist
In nahezu jeder Windows-domänengebundenen Umgebung läuft alles über Active Directory: Authentifizierung, Berechtigungsverwaltung, Gruppenrichtlinien, Softwareverteilung. Wer Active Directory kontrolliert, kontrolliert die gesamte Windows-Infrastruktur.
Entsprechend ist AD das primäre Ziel fortgeschrittener Angreifer. Laut Mandiant M-Trends Report 2024 wurden in 78 % der untersuchten Ransomware-Vorfälle Active-Directory-Schwachstellen für die Ausbreitung genutzt. Der typische Ablauf: Angreifer kompromittieren einen Client-PC via Phishing, extrahieren Credentials (oft im Browser gespeichert oder im LSASS-Prozess), nutzen diese für laterale Bewegung und eskalieren schrittweise bis zum Domain Controller — von dem aus sie Ransomware im gesamten Netz ausrollen.
Die folgenden 10 Schritte unterbrechen diese Angriffskette an mehreren Stellen.
Schritt 1: Tier-Modell implementieren
Das Microsoft-Tier-Modell (auch „Administrative Tier Model" genannt) ist die wichtigste strukturelle Maßnahme:
Tier 0 — Identitätssteuerungsebene: Domain Controller, Azure AD Connect, AD Federation Services. Hier sind nur Tier-0-Administratoren mit dedizierten Tier-0-Konten tätig.
Tier 1 — Serverebene: Mitglieder-Server, Anwendungsserver, Cloud-Dienste. Tier-1-Admins verwalten Server, können aber nicht auf Tier-0-Systeme zugreifen.
Tier 2 — Workstation-Ebene: Client-PCs, normale Benutzerkonten. Tier-2-Admins können lokale Administrator-Rechte auf Workstations ausüben, aber nicht auf Server oder Domain Controller.
Konsequenz: Kein Administrator darf ein Konto verwenden, das domänenübergreifend auf verschiedenen Tier-Ebenen aktiv ist. Ein Tier-2-Administrator-Konto, das auf einem Domain Controller eingeloggt wurde, hebt das gesamte Modell auf.
Schritt 2: Privilegierte Konten härten — Protected Users Group
Die Protected Users Security Group (verfügbar ab Windows Server 2012 R2) verhindert für ihre Mitglieder automatisch mehrere kritische Angriffsvektoren:
- Kein NTLM-Authentication (nur Kerberos)
- Keine schwachen Verschlüsselungsalgorithmen (DES, RC4) in Kerberos
- Keine Credential Delegation (Schutz vor Pass-the-Ticket)
- Maximale Ticket-Lebenszeit 4 Stunden (statt Standard 10 Stunden)
Maßnahme: Alle Domain Admins, Enterprise Admins und Service Account mit privilegierten Rechten in die Protected Users Group aufnehmen. Vorher testen, da einige Dienste NTLM oder RC4 benötigen und nach der Aufnahme fehlschlagen könnten.
Schritt 3: LAPS für lokale Administrator-Passwörter
Ein oft unterschätztes Problem: In vielen Umgebungen haben alle Workstations dasselbe lokale Administrator-Passwort. Ein Angreifer, der dieses Passwort auf einem PC extrahiert, kann sich sofort auf alle anderen PCs mit demselben Passwort einloggen — Pass-the-Hash ohne Domain-Rechte.
Microsoft LAPS (Local Administrator Password Solution) löst dieses Problem: LAPS generiert für jede Workstation ein individuelles, zufälliges Administrator-Passwort, speichert es verschlüsselt in AD und wechselt es nach einem konfigurierbaren Intervall automatisch.
Einrichtungsaufwand: Ein bis zwei Stunden für eine 100-PC-Umgebung. Kostenfrei als Windows-Bordmittel seit Windows 11 22H2 (Windows LAPS).
Schritt 4: Credential Guard aktivieren
Windows Defender Credential Guard isoliert den LSASS-Prozess (Local Security Authority Subsystem Service) in einer virtualisierten, sicheren Enklave. Angreifer, die Credential-Dumping-Tools wie Mimikatz einsetzen, können Credentials aus dem geschützten LSASS nicht mehr extrahieren.
Voraussetzungen: UEFI Secure Boot, Virtualization-Based Security (VBS), TPM 2.0 oder UEFI-Passwort. Wird über Gruppenrichtlinien aktiviert.
Einschränkung: Einige ältere VPN-Clients und Remote-Desktop-Dienste sind mit Credential Guard inkompatibel. Testen Sie in einer Pilotgruppe.
Schritt 5: KRBTGT-Account regelmäßig rotieren
Der KRBTGT-Account ist der Kerberos-Ticket-Granting-Ticket-Account — das Herzstück der Kerberos-Authentifizierung in AD. Wenn Angreifer den KRBTGT-Hash erbeuten, können sie sogenannte Golden Tickets ausstellen: Kerberos-Tickets, die für jeden Benutzer, jede Ressource und eine beliebig lange Gültigkeit ausgestellt werden können.
Maßnahme: Das KRBTGT-Passwort zweimal hintereinander wechseln (wegen Replikation). Empfohlen werden mindestens jährliche Rotationen; nach einem vermuteten Sicherheitsvorfall sofort.
Microsoft stellt das Skript New-KrbtgtKeys.ps1 auf GitHub bereit, das eine sichere Rotation mit automatischer Wartezeitberechnung durchführt.
Schritt 6: Kerberoasting und AS-REP Roasting unterbinden
Kerberoasting: Angreifer fordern Service-Tickets für Service-Accounts mit SPNs (Service Principal Names) an und versuchen, das verschlüsselte Ticket offline zu cracken. Service-Accounts mit schwachen Passwörtern sind anfällig.
Gegenmaßnahme: Alle Service-Accounts mit mindestens 25-stelligen, zufälligen Passwörtern versehen (idealerweise über LAPS oder ein PAM-System verwaltet). Alternativ: Managed Service Accounts (gMSAs) nutzen, die Windows automatisch verwaltet.
AS-REP Roasting: Benutzerkonten ohne Kerberos Pre-Authentication erforderlich sind angreifbar. Jeder Angreifer kann ein verschlüsseltes AS-REP-Paket für diese Konten anfordern und offline cracken.
Gegenmaßnahme: Sicherstellen, dass alle Konten Pre-Authentication aktiviert haben. AD-Abfrage: Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true}.
Schritt 7: AdminSDHolder und ACL-Monitoring
Der AdminSDHolder ist ein spezielles AD-Objekt, dessen ACLs auf alle privilegierten Gruppen vererbt werden. Angreifer, die ACL-basierte Persistenz einrichten (z. B. durch hinzufügen eines eigenen Kontos in die AdminSDHolder-ACL), erhalten dauerhaften privilegierten Zugriff, der nach einem Passwort-Reset weiterbesteht.
Maßnahme: Regelmäßige Prüfung der AdminSDHolder-ACLs. Monitoring-Alert bei jeder Änderung der ACLs auf privilegierten Objekten. Tools: BloodHound, PingCastle (beide kostenlos).
Schritt 8: SMB-Signing und LDAP-Signing erzwingen
NTLM-Relay-Angriffe sind eine der häufigsten Lateral-Movement-Techniken: Angreifer fangen NTLM-Authentifizierungsanfragen ab und leiten sie weiter, um sich als Opfer zu authentifizieren.
Gegenmaßnahme:
- SMB-Signing auf allen Servern und Domain Controllern per Gruppenrichtlinie erzwingen
- LDAP-Signing und LDAP Channel Binding auf Domain Controllern aktivieren
- NTLM v1 vollständig deaktivieren (nur NTLM v2 erlauben, besser: NTLM komplett einschränken)
Diese Maßnahmen sind Bordmittel, erfordern aber sorgfältiges Testen in Umgebungen mit älteren Systemen.
Schritt 9: Monitoring privilegierter Gruppen und Anomalie-Erkennung
Alle technischen Härtungsmaßnahmen helfen nichts, wenn ein Angriff unbemerkt bleibt. Minimum-Monitoring-Anforderungen für AD:
| Event ID | Ereignis | Dringlichkeit |
|---|---|---|
| 4728, 4732 | Mitglied zu privilegierter Gruppe hinzugefügt | Kritisch |
| 4720, 4723 | Konto erstellt / Passwort geändert | Hoch |
| 4625 | Fehlgeschlagene Anmeldung | Mittel (Schwellenwert) |
| 4769 | Kerberos Service Ticket Request | Mittel (bei ungewöhnlichen Konten) |
| 4662 | Zugriff auf AdminSDHolder-Objekt | Hoch |
| 5136 | AD-Objekt modifiziert | Mittel (bei sensiblen Objekten) |
Ein SIEM, das diese Events überwacht und Korrelationsregeln ausführt, ist Pflichtbestandteil jedes NIS-2-konformen Sicherheitsprogramms. Vyrex-Agents und das Managed SIEM überwachen diese Events kontinuierlich — mehr unter /products/node.
Schritt 10: Regelmäßige AD-Sicherheitsanalyse mit PingCastle
PingCastle ist ein kostenloses Analyse-Tool, das Active Directory auf Konfigurationsschwächen scannt und einen gewichteten Risiko-Score ausgibt. Der Bericht deckt in der Regel mehrere der oben genannten Punkte auf und priorisiert Maßnahmen nach Kritikalität.
Empfehlung: PingCastle mindestens halbjährlich ausführen, Ergebnisse dokumentieren und mit dem Vorquartal vergleichen. Der Score-Verlauf zeigt, ob Ihre Härtungsmaßnahmen wirken. PingCastle-Reports sind auch als Nachweis für NIS-2-Schwachstellenmanagement geeignet.
Ergänzend: BloodHound visualisiert Attack Paths im Active Directory — und zeigt, über wie viele Zwischenschritte ein Angreifer von einem kompromittierten Konto zum Domain Admin gelangen könnte.
Die wichtigsten Quick-Wins auf einen Blick
Wenn Sie nicht alle 10 Schritte sofort umsetzen können, priorisieren Sie:
- LAPS ausrollen — behebt das „Einheits-Admin-Passwort"-Problem in Stunden
- Protected Users Group für alle Domain-Admins aktivieren — sofortiger Schutz vor NTLM und schwachen Tickets
- Credential Guard auf allen Workstations aktivieren — verhindert Mimikatz-basiertes Credential-Dumping
- PingCastle ausführen — liefert priorisierte Maßnahmeliste in 30 Minuten
Diese vier Maßnahmen sind Bordmittel, kosten keine Lizenzen und reduzieren das Angriffspotenzial erheblich.
Für eine breitere Sicherheitsstrategie lesen Sie Ransomware-Schutz für KMU: 7 Maßnahmen, die wirklich helfen und prüfen Sie, ob Ihr Monitoring über /leistungen/soc-as-a-service auf AD-Events konfiguriert ist.
FAQ
Was ist Lateral Movement im Zusammenhang mit Active Directory? Lateral Movement bezeichnet die Technik, mit der Angreifer sich nach einem initialen Einbruch im Netzwerk ausbreiten. Im Active-Directory-Kontext nutzen sie gestohlene Kerberos-Tickets, Pass-the-Hash oder Missbrauch von Gruppenrichtlinien, um von einem kompromittierten Client-Rechner schrittweise zu privilegierten Server-Konten oder Domain-Controllern zu gelangen.
Was ist das Active Directory Tier-Modell? Das Tier-Modell teilt die AD-Infrastruktur in drei Sicherheitszonen: Tier 0 (Domain Controller und hochprivilegierte Verwaltungssysteme), Tier 1 (Server und Anwendungen) und Tier 2 (Client-Workstations). Administratoren dürfen jeweils nur in ihrer Tier-Zone agieren — ein kompromittiertes Tier-2-Konto kann damit nicht auf Tier-0-Systeme zugreifen.
Wie häufig sollten AD-Berechtigungen überprüft werden? Mindestens halbjährlich sollte eine vollständige Überprüfung aller privilegierten Konten, Gruppenmitgliedschaften und Dienstkonten stattfinden. Ergänzend empfiehlt sich ein automatisiertes Monitoring, das neue Mitglieder in privilegierten Gruppen (Domain Admins, Enterprise Admins) sofort meldet.
Muss ich für AD-Härtung teure Tools kaufen? Nein. Die meisten Härtungsmaßnahmen sind ohne zusätzliche Lizenzen umsetzbar: Gruppenrichtlinien, Windows Defender Credential Guard, LAPS (Microsoft Local Administrator Password Solution) und Protected Users Security Group sind Bordmittel. Für tiefgehende Analyse empfehlen sich Open-Source-Tools wie BloodHound und PingCastle.
Was ist der gefährlichste AD-Angriff, den ich kennen muss? DCSync und Golden-Ticket-Angriffe gelten als kritischste Bedrohungen. DCSync ermöglicht es, alle Passwort-Hashes der Domäne zu extrahieren — ohne physischen Zugang zum Domain Controller. Ein Golden Ticket erlaubt mit dem gestohlenen KRBTGT-Schlüssel die Ausstellung beliebiger Kerberos-Tickets. Beide Angriffe setzen voraus, dass der Angreifer bereits Tier-0-Rechte erreicht hat.
Möchten Sie Ihren aktuellen AD-Sicherheitsstand bewerten lassen? Fordern Sie einen kostenlosen Security-Check an oder sprechen Sie mit unserem Team.
Frequently asked
Was ist Lateral Movement im Zusammenhang mit Active Directory?
Lateral Movement bezeichnet die Technik, mit der Angreifer sich nach einem initialen Einbruch im Netzwerk ausbreiten. Im Active-Directory-Kontext nutzen sie gestohlene Kerberos-Tickets, Pass-the-Hash oder Missbrauch von Gruppenrichtlinien, um von einem kompromittierten Client-Rechner schrittweise zu privilegierten Server-Konten oder Domain-Controllern zu gelangen.
Was ist das Active Directory Tier-Modell?
Das Tier-Modell teilt die AD-Infrastruktur in drei Sicherheitszonen: Tier 0 (Domain Controller und hochprivilegierte Verwaltungssysteme), Tier 1 (Server und Anwendungen) und Tier 2 (Client-Workstations). Administratoren dürfen jeweils nur in ihrer Tier-Zone agieren — ein kompromittiertes Tier-2-Konto kann damit nicht auf Tier-0-Systeme zugreifen.
Wie häufig sollten AD-Berechtigungen überprüft werden?
Mindestens halbjährlich sollte eine vollständige Überprüfung aller privilegierten Konten, Gruppenm itgliedschaften und Dienstkonten stattfinden. Ergänzend empfiehlt sich ein automatisiertes Monitoring, das neue Mitglieder in privilegierten Gruppen (Domain Admins, Enterprise Admins) sofort meldet.
Muss ich für AD-Härtung teure Tools kaufen?
Nein. Die meisten Härtungsmaßnahmen sind ohne zusätzliche Lizenzen umsetzbar: Gruppenrichtlinien, Windows Defender Credential Guard, LAPS (Microsoft Local Administrator Password Solution) und Protected Users Security Group sind Bordmittel. Für tiefgehende Analyse empfehlen sich Open-Source-Tools wie BloodHound und PingCastle.
Was ist der gefährlichste AD-Angriff, den ich kennen muss?
DCSync und Golden-Ticket-Angriffe gelten als kritischste Bedrohungen. DCSync ermöglicht es, alle Passwort-Hashes der Domäne zu extrahieren — ohne physischen Zugang zum Domain Controller. Ein Golden Ticket erlaubt mit dem gestohlenen KRBTGT-Schlüssel die Ausstellung beliebiger Kerberos-Tickets. Beide Angriffe setzen voraus, dass der Angreifer bereits Tier-0-Rechte erreicht hat.