Zum Inhalt springen
Design anpassen
Anpassen
Schriftgröße
Serif / Sans
Sans / Sans
Rundung
Abstand
Container-Breite
Seitenabstand
Sektionsabstand
Innenabstand
Schatten
Rahmen

Identity Security

Die 5 häufigsten Fehlkonfigurationen im Active Directory

Kerberoasting, ungeschützte Service Accounts und offene Delegation. Die Klassiker aus echten AD-Reviews.

Marco Keller 10. März 2026 1 Min. Lesezeit
Die 5 häufigsten Fehlkonfigurationen im Active Directory

Active Directory ist das Rückgrat der meisten Unternehmensnetzwerke, und gleichzeitig eines der am häufigsten angegriffenen Systeme. In unseren Penetration Tests sehen wir immer wieder dieselben Fehlkonfigurationen.

1. Kerberoasting-anfällige Service Accounts

Service Accounts mit SPNs und schwachen Passwörtern sind ein Klassiker. Ein Angreifer im Netzwerk kann TGS-Tickets anfordern und offline knacken.

Massnahme: Managed Service Accounts (gMSA) verwenden, Passwörter >25 Zeichen, regelmässige Rotation.

2. Uneingeschränkte Delegation

Wenn ein Server für uneingeschränkte Delegation konfiguriert ist, kann er im Namen jedes Benutzers handeln, inklusive Domain Admins.

Massnahme: Nur eingeschränkte Delegation (constrained delegation) mit Protokolltransition konfigurieren.

3. Veraltete Verschlüsselungstypen

RC4-Verschlüsselung (NTLM) ist standardmässig aktiviert und anfällig für Pass-the-Hash und Relay-Angriffe.

Massnahme: AES-256 erzwingen, RC4 deaktivieren, NTLM-Audit aktivieren.

4. Zu viele Domain Admins

In vielen Umgebungen finden wir 15–30 Domain Admins. Je mehr privilegierte Konten, desto grösser die Angriffsfläche.

Massnahme: Privileged Access Workstations (PAW), Tiering-Modell, Just-in-Time-Zugriff.

5. Fehlende LAPS-Konfiguration

Lokale Administratorpasswörter sind oft identisch auf allen Workstations. Ein kompromittierter Client = Zugriff auf alle.

Massnahme: LAPS (Local Administrator Password Solution) flächendeckend ausrollen.