Identity Security
Die 5 häufigsten Fehlkonfigurationen im Active Directory
Kerberoasting, ungeschützte Service Accounts und offene Delegation — die Klassiker aus echten AD-Reviews.
Active Directory ist das Rückgrat der meisten Unternehmensnetzwerke — und gleichzeitig eines der am häufigsten angegriffenen Systeme. In unseren Penetration Tests sehen wir immer wieder dieselben Fehlkonfigurationen.
1. Kerberoasting-anfällige Service Accounts
Service Accounts mit SPNs und schwachen Passwörtern sind ein Klassiker. Ein Angreifer im Netzwerk kann TGS-Tickets anfordern und offline knacken.
Massnahme: Managed Service Accounts (gMSA) verwenden, Passwörter >25 Zeichen, regelmässige Rotation.
2. Uneingeschränkte Delegation
Wenn ein Server für uneingeschränkte Delegation konfiguriert ist, kann er im Namen jedes Benutzers handeln — inklusive Domain Admins.
Massnahme: Nur eingeschränkte Delegation (constrained delegation) mit Protokolltransition konfigurieren.
3. Veraltete Verschlüsselungstypen
RC4-Verschlüsselung (NTLM) ist standardmässig aktiviert und anfällig für Pass-the-Hash und Relay-Angriffe.
Massnahme: AES-256 erzwingen, RC4 deaktivieren, NTLM-Audit aktivieren.
4. Zu viele Domain Admins
In vielen Umgebungen finden wir 15–30 Domain Admins. Je mehr privilegierte Konten, desto grösser die Angriffsfläche.
Massnahme: Privileged Access Workstations (PAW), Tiering-Modell, Just-in-Time-Zugriff.
5. Fehlende LAPS-Konfiguration
Lokale Administratorpasswörter sind oft identisch auf allen Workstations. Ein kompromittierter Client = Zugriff auf alle.
Massnahme: LAPS (Local Administrator Password Solution) flächendeckend ausrollen.