Vyrex Security
Back to blog
Vyrex Security Team

Active Directory härten: 10 Schritte gegen Pass-the-Hash und Kerberoasting

Pass-the-Hash und Kerberoasting absichern: 10 technische Maßnahmen für AD-Härtung mit Windows-Bordmitteln, Wazuh-Monitoring und NIS-2-Compliance.

Active Directory HärtungAD Security Best PracticesKerberoasting SchutzPass-the-Hash verhindernWindows Active Directory absichern

Active Directory härten: 10 Schritte gegen Pass-the-Hash und Kerberoasting\n\n> Key Takeaways\n> - Pass-the-Hash und Kerberoasting zählen zu den meistgenutzten Techniken für laterale Bewegung in kompromittierten Windows-Umgebungen.\n> - Die meisten Gegenmaßnahmen lassen sich mit Windows-Bordmitteln umsetzen – ohne zusätzliche Lizenzkosten.\n> - Gezielte Event-ID-Überwachung mit Wazuh oder Microsoft Sentinel macht aktive Angriffe sichtbar, bevor Schaden entsteht.\n> - NIS-2-Artikel 21 fordert explizit Maßnahmen zur Zugriffskontrolle und Authentifizierungssicherheit – AD-Härtung ist kein optionales Projekt.\n\nActive Directory ist in den meisten mittelständischen Unternehmen das Nervenzentrum der IT-Infrastruktur. Wer AD kontrolliert, kontrolliert Benutzerkonten, Gruppenrichtlinien, Fileshares und häufig auch Cloud-Zugriff via Azure AD Connect bzw. Entra ID. Genau deshalb fokussieren Angreifer ihre Energie auf den AD-Angriff – und zwei Techniken dominieren dabei das Bild: Pass-the-Hash (PtH) und Kerberoasting.\n\nDieser Artikel erklärt, wie beide Angriffe technisch funktionieren, und liefert 10 konkrete Härtungsschritte, die Sie mit Windows-Bordmitteln und ohne externe Tools umsetzen können.\n\n---\n\n## Wie Pass-the-Hash funktioniert\n\nWindows speichert Passwort-Hashes im LSASS-Prozess (Local Security Authority Subsystem Service). Bei der NTLM-Authentifizierung wird nicht das Klartextpasswort, sondern der Hash übertragen. Ein Angreifer, der einmal lokale Administrator-Rechte auf einer Maschine erlangt hat, kann mit Tools wie Mimikatz den NTLM-Hash des eingeloggten Benutzers aus dem LSASS-Speicher extrahieren – und diesen Hash dann nutzen, um sich bei anderen Systemen zu authentifizieren, ohne das Passwort zu kennen.\n\n\n# Mimikatz-Befehl (dokumentiert aus forensischer/Pentest-Perspektive):\nprivilege::debug\nsekurlsa::logonpasswords\n\n\nDas Ergebnis: Der Angreifer bewegt sich lateral durch das Netzwerk – von Workstation zu Workstation – bis ein Domain-Admin-Hash abgegriffen wird.\n\n## Wie Kerberoasting funktioniert\n\nKerberoasting nutzt eine Design-Eigenschaft des Kerberos-Protokolls. Jeder Domain-Benutzer kann für Service-Accounts mit einem gesetzten ServicePrincipalName (SPN) ein Service-Ticket anfordern. Dieses Ticket ist mit dem NTLM-Hash des Service-Account-Passworts verschlüsselt. Der Angreifer fordert das Ticket an, speichert es lokal und versucht es offline per Brute-Force zu knacken – ohne jegliche weitere Interaktion mit dem Zielsystem.\n\n```powershell\n# Service-Accounts mit SPN auflisten (legitimes Audit-Tool):\nGet-ADUser -Filter {ServicePrincipalName -ne \

READ MORE

Related articles

FAQ

Frequently asked

Was ist der Unterschied zwischen Pass-the-Hash und Kerberoasting?

Pass-the-Hash nutzt gestohlene NTLM-Hashes aus dem LSASS-Prozess, um sich ohne Kenntnis des Klartextpassworts an anderen Systemen zu authentifizieren. Kerberoasting hingegen missbraucht das Kerberos-Protokoll: Ein Angreifer fordert Service-Tickets für Konten mit ServicePrincipalName an und knackt diese offline per Brute-Force. Beide Techniken setzen an unterschiedlichen Stellen an – Pass-the-Hash erfordert vorherigen lokalen Admin-Zugriff, Kerberoasting funktioniert mit einem einfachen Domain-User-Account.

Welche Windows-Ereignis-IDs sind für die Erkennung von AD-Angriffen am wichtigsten?

Für Kerberoasting ist Event-ID 4769 zentral: Ein RC4-verschlüsseltes Service-Ticket (TicketEncryptionType 0x17) von einem regulären Benutzerkonto ist ein starkes Indiz. Für Pass-the-Hash sind Event-ID 4624 (Anmeldung per NTLM mit LogonType 3) und 4776 (NTLM-Authentifizierung am DC) relevant. Event-ID 4625 zeigt fehlgeschlagene Anmeldeversuche und hilft beim Erkennen von Brute-Force-Phasen. Diese IDs sollten zentral in einem SIEM ausgewertet werden, da einzelne Events auf Domaincontrollern schnell in der Masse untergehen.

Reichen die beschriebenen Maßnahmen für die NIS-2-Compliance aus?

Die technischen Maßnahmen decken die Anforderungen aus Artikel 21 NIS-2 (Zugangs- und Authentifizierungskontrolle) substanziell ab. Compliance ist jedoch kein reiner Technik-Nachweis: Sie müssen die Maßnahmen dokumentieren, regelmäßige Audits durchführen, Verantwortlichkeiten benennen und Vorfälle nachvollziehbar protokollieren. Die GPO-Konfigurationen, Audit-Skripte und SIEM-Alerts sind dabei auch Beweismittel gegenüber der Aufsichtsbehörde BSI. Technische Härtung ohne Dokumentation und Monitoring ist aus NIS-2-Sicht unvollständig.