10 Schwachstellen im Active Directory, die Firmen angreifbar machen

22. Januar 2026

Inhaltsverzeichnis

  • Zu weit gefasste Berechtigungen und Privilegien
  • Kein praktiziertes Tiering
  • Veraltete Kennwörter
  • Veraltete Betriebssysteme
  • Veraltete Protokolle
  • Fehlende Härtung bei UNC-Pfaden
  • Administrative Konten sind für jeden sichtbar
  • Keine Multi-Faktor-Authentifizierung
  • Kein Authentication Mechanism Assurance (AMA)
  • Updates, Monitoring und Line of sight

Active Directory (AD) ist das Rückgrat der Authentifizierung und der Autorisierung im lokalen Unternehmensnetzwerk. Über AD werden Benutzer-, Gruppen- und Computerkonten verwaltet und zur täglichen Nutzung autorisiert. 

Dieser zentrale Verzeichnisdienst ist der Dreh- und Angelpunkt für Identitäten jeglicher Sensitivität und aus diesem Grund ein sehr attraktives Ziel für Hacking-Angriffe. Eine Kompromittierung des AD ist der grösste Anzunehmende Unfall in der IT, zieht in der Regel Datenabfluss, verschlüsselte Systeme und einen IT-Totalausfall nach sich. 

AD ist daher gegen die Standardangriffsvektoren zu schützen, als da wären:

1. Zu weit gefasste Berechtigungen und Privilegien 

Die Historie des Produktes AD und der langjährige Einsatz im Unternehmen führt in der Regel dazu, dass Konten, insbesondere Dienstkonten, über die Jahre zu hohe Berechtigungen und Privilegien akkumuliert haben.

Wird diese Akkumulierung mit einer weiten Streuung gepaart, das gleiche Dienstkonto mit hohen Privilegien wird auf vielen Systemen verwendet, ist das sehr leichte Beute für einen Angreifer.

Das gewähren von minimal notwendigen Privilegien und Berechtigungen, der Einsatz von gMSA (group managed service accounts) und DMSA (delegated managed service account) sind adäquate

2. Kein praktiziertes Tiering 

Seit der Demonstration von dem „golden ticket“ für Active Directory im Jahr 2014 ist klar geworden, dass die Zugriffe im Unternehmen strikt nach Ebenen (Tiers) getrennt werden müssen.

Höchst privilegierte Benutzerkonten dürfen nur auf höchst privilegierten Computersystemen verwendet werden. Wird ein höchst privilegiertes Benutzerkonto auf einem niedrig privilegierten Computersystem verwendet, können Angreifer, im Falle einer Kompromittierung des Endgeräts, sehr rasch die Useridentität erbeuten.

Fehlendes oder falsch praktiziertes Tiering ist, nach zu hoch privilegierten Konten, meist genutzten Schwachstellen für AD durch einen Hacker.

3. Veraltete Kennwörter 

Dienst- und Computerkonten sollten, anders als bei Benutzerkonten, zyklisch wechselnde Kennwörter aufweisen. Die Demonstration des „golden ticket“ für AD vor 10 Jahren zeigte noch ein zweites besonderes Ticket: das „silver ticket“.

Bei einem „silver ticket“ macht sich der Angreifer statische Kennwörter von Dienst- und Computerkonten eines Unternehmens zu Nutze, um sich persistenten und in der Regel lateralen Zugriff zu sichern.

Daher müssen Computerkennwörter, insbesondere die der Domain Controller und die Kennwörter der Dienstkonten, hier speziell das Kerberos-Ticketkontos „krbtgt“, zyklisch gewechselt werden. 

4. Veraltete Betriebssysteme 

Der Betrieb von Betriebssystemen auf Basis von Microsoft in der Unternehmens-IT ist weit verbreitet. Ebenso weit verbreitet ist der Betrieb von Microsoft Betriebssystemen, welche schon lange aus dem Support gelaufen sind.

„Aus dem Support gelaufen“ bedeutet insbesondere keine Sicherheits-Updates mehr und damit leichte Beute für Angreifer. Wird eine neue Schwachstelle X im Protokoll Y entdeckt, wird diese Schwachstelle für die aktuellen Microsoft-Betriebssysteme, hoffentlich zeitnah, per Update geschlossen, jedoch nicht für die Betriebssysteme, welche aus dem Support gelaufen sind.

Zur Orientierung:
Windows XP / Server 2003 R2: Supportende war am 08.04.2014
Windows Vista: Supportende war am 11.04.2017
Windows 7 / Server 2008 / Server 2008 R2: Supportende war am 14.01.2020
Windows 8: Supportende war am 12.01.2016.
Windows 8.1: Supportende war am 10.01.2023
Server 2012 / Server 2012 R2: Supportende war am 10.10.2023
Windows 10: Supportende ist am 14.10.2025 (analog zum Supportende von Exchange 2016 und 2019!)

Die Liste der End-of-Life (EoL)-Termine ist hier einsehbar:
https://learn.microsoft.com/en-us/lifecycle/products/

Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • Windows 11 bekommt im Februar neue Features – eines bringt Sicherheit!

    4. Februar 2026 Windows 11 bekommt mit dem Februar 2026-Update einige neue Features, darunter einige die sinnvoll und nützlich sind. Besonders hervorzuheben ist Smart App Control. Dieses Security-Feature war bisher nur mit einer Neuinstallation aktivierbar. Das wird sich jetzt ändern: unbedingt aktivieren! Am Dienstag, dem 10. Februar 2026, plant Microsoft die Einführung eines neuen Patch Tuesday-Updates für Windows 11 im zweiten Monat des Jahres, das…

  • Microsoft patcht Explorer-Freeze-Issue

    02. Dezember 2025 Microsoft patcht Dutzende Fehler in Windows 11 ​​Microsoft has released the KB5070311 preview cumulative update for Windows 11 systems, which includes 49 changes, including fixes for File Explorer freezes and search issues. KB5070311 is an optional preview update that delivers updates at the end of each month, enabling IT admins to test Windows bug fixes, improvements, and new features that will roll out during next…

  • 5 Windows 11-Tricks für jedermann

    27. Dezember 2025 1. Virtuelle Desktops nutzen Nutzen Sie virtuelle Desktops, um Ihre Arbeitsfläche am PC zu erweitern und sich besser zu organisieren. Schritt-für-Schritt-Anleitung: 2. Texte in Windows diktieren Sparen Sie Zeit, indem Sie Texte in Windows diktieren, anstatt sie zu tippen. Schritt-für-Schritt-Anleitung: Text diktieren: Sprechen Sie den Text, den Sie eingeben möchten. Diktierfunktion aktivieren: Drücken Sie WIN + H, um die Diktierfunktion zu aktivieren. 3….

  • Sind VPN wirklich sicher? Analyse & Leitfaden

    Ein Artikel des IT-Security-Anbieters SentinelOne 30. Januar 2026 VPNs (Virtual Private Networks) sind einfach verschlüsselte Tunnel über das Internet. Sie ermöglichen das Senden und Empfangen von Daten über gemeinsam genutzte oder öffentliche Netzwerke zwischen Geräten, als befänden sie sich in einem privaten Netzwerk. VPNs dienen dem Schutz der Privatsphäre und der Sicherheit im Internet. Sie schaffen sichere Verbindungen durch Tunneling-Protokolle. Ausserdem verbergen sie die IP-Adresse des…

  • Frankreich wieder attackiert – diesmal Banken und Post

    24. Dezember 2025 Frankreich steht wieder unter Hacker-Beschuss, diesmal trifft es Banken und die nationale Post With just three days to go before Christmas, a cyberattack knocked France’s national postal service offline Monday, blocking and delaying package deliveries and online payments. The timing was miserable for millions of people at the height of the Christmas season, as frazzled postal workers fended off frustrated customers. No…

  • Angebot für M365-Schulungen

    02. Dezember 2025 M365-Schulung für Admins In diesem zweiteiligen E-Learning-Starterpaket mit über 90 Lektionen und mehr als acht Stunden Videoinhalt wird Junior-Admins gezeigt, wie Microsoft 365 erfolgreich eingerichtet und verwaltet werden kann. Microsoft 365 ist eine umfassende Plattform, die von der E-Mail-Kommunikation bis hin zur Zusammenarbeit im Team reicht und IT-Administratoren vor eine Reihe von Herausforderungen stellt. Administratoren müssen sich mit einer Vielzahl von Diensten…