Active Directory ist nach wie vor das Rückgrat der meisten Unternehmens-IT-Umgebungen in der Schweiz. Gleichzeitig ist es einer der häufigsten Angriffsvektoren – nicht wegen mangelnder Technologie, sondern wegen gewachsener Konfigurationen, die niemand mehr anpasst.
In über 150 Assessments haben wir immer wieder dieselben Muster gesehen. Hier sind die fünf Fehlkonfigurationen, die wir am häufigsten finden – und was du konkret dagegen tun kannst.
1. Service Accounts mit SPN und schwachem Passwort
Das Problem: Service Accounts mit einem Service Principal Name (SPN) sind anfällig für Kerberoasting. Ein Angreifer kann ein Ticket anfordern und das Passwort offline bruteforcen – ohne dass ein Alarm ausgelöst wird.
Was wir sehen: Passwörter, die seit 5+ Jahren nicht rotiert wurden. Oft mit Domain-Admin-Rechten.
Quick Win: Managed Service Accounts (gMSA) verwenden, wo möglich. Für bestehende Accounts: Passwortlänge auf 25+ Zeichen erhöhen und regelmässige Rotation einführen.
2. Unkontrollierte Delegation (Unconstrained Delegation)
Das Problem: Server mit Unconstrained Delegation speichern TGTs aller Benutzer, die sich verbinden. Wird so ein Server kompromittiert, hat der Angreifer Zugriff auf alle gecachten Identitäten – inklusive privilegierter Accounts.
Was wir sehen: Legacy-Einstellungen auf Fileservern und Print-Servern, die nie auf Constrained oder Resource-Based Delegation umgestellt wurden.
Quick Win: Alle Objekte mit Unconstrained Delegation auflisten und auf Constrained Delegation oder RBCD migrieren.
3. Zu viele Domain Admins
Das Problem: Die Gruppe «Domain Admins» wird als Catch-All für Zugriffsprobleme verwendet. Über die Jahre sammeln sich Accounts an – darunter persönliche Accounts, Shared Accounts und Service Accounts.
Was wir sehen: 15–40 Mitglieder in Domain Admins. Davon nutzen viele die Rechte nie aktiv.
Quick Win: Mitglieder auflisten, mit IT-Leitung abgleichen, auf das Minimum reduzieren. Separate Admin-Accounts einführen (Tier-0-Modell) und persönliche Accounts aus privilegierten Gruppen entfernen.
4. LDAP Signing und Channel Binding deaktiviert
Das Problem: Ohne LDAP Signing kann ein Angreifer im Netzwerk LDAP-Traffic manipulieren (Relay-Angriffe). Microsoft empfiehlt seit Jahren die Aktivierung – viele Umgebungen haben es aber nie umgesetzt.
Was wir sehen: LDAP Signing auf «None» oder «Negotiate» statt «Require». Channel Binding oft komplett deaktiviert.
Quick Win: Erst im Monitoring-Modus aktivieren (Event ID 2889), betroffene Clients identifizieren, dann auf «Require» umstellen.
5. Veraltete Objekte und vergessene Accounts
Das Problem: Deaktivierte aber nicht gelöschte Computer-Objekte, ehemalige Mitarbeiter-Accounts und Test-Accounts vergrössern die Angriffsfläche unnötig.
Was wir sehen: 20–40% der AD-Objekte sind inaktiv. Manche haben noch aktive Passwörter und Gruppenmitgliedschaften.
Quick Win: Inaktive Accounts identifizieren, mit HR/IT abgleichen und deaktivieren. Regelmässigen Lifecycle-Prozess einführen.
Fazit
Keine dieser Schwachstellen erfordert neue Tools oder grosse Budgets. Es sind Konfigurationsthemen, die mit einem strukturierten Review und klarem Backlog innerhalb weniger Wochen adressiert werden können.
Wenn du wissen willst, wie euer AD aktuell aufgestellt ist: unser AD / Identity Review prüft genau diese Punkte – mit priorisiertem Härtungs-Backlog und konkreten Massnahmen.
Im AD / Identity Review decken wir Fehlkonfigurationen auf, bewerten Risiken und liefern einen priorisierten Härtungsplan.
Identity & AD Specialist
