10 Schwachstellen im Active Directory, die Firmen angreifbar machen

22. Januar 2026

Inhaltsverzeichnis

  • Zu weit gefasste Berechtigungen und Privilegien
  • Kein praktiziertes Tiering
  • Veraltete Kennwörter
  • Veraltete Betriebssysteme
  • Veraltete Protokolle
  • Fehlende Härtung bei UNC-Pfaden
  • Administrative Konten sind für jeden sichtbar
  • Keine Multi-Faktor-Authentifizierung
  • Kein Authentication Mechanism Assurance (AMA)
  • Updates, Monitoring und Line of sight

Active Directory (AD) ist das Rückgrat der Authentifizierung und der Autorisierung im lokalen Unternehmensnetzwerk. Über AD werden Benutzer-, Gruppen- und Computerkonten verwaltet und zur täglichen Nutzung autorisiert. 

Dieser zentrale Verzeichnisdienst ist der Dreh- und Angelpunkt für Identitäten jeglicher Sensitivität und aus diesem Grund ein sehr attraktives Ziel für Hacking-Angriffe. Eine Kompromittierung des AD ist der grösste Anzunehmende Unfall in der IT, zieht in der Regel Datenabfluss, verschlüsselte Systeme und einen IT-Totalausfall nach sich. 

AD ist daher gegen die Standardangriffsvektoren zu schützen, als da wären:

1. Zu weit gefasste Berechtigungen und Privilegien 

Die Historie des Produktes AD und der langjährige Einsatz im Unternehmen führt in der Regel dazu, dass Konten, insbesondere Dienstkonten, über die Jahre zu hohe Berechtigungen und Privilegien akkumuliert haben.

Wird diese Akkumulierung mit einer weiten Streuung gepaart, das gleiche Dienstkonto mit hohen Privilegien wird auf vielen Systemen verwendet, ist das sehr leichte Beute für einen Angreifer.

Das gewähren von minimal notwendigen Privilegien und Berechtigungen, der Einsatz von gMSA (group managed service accounts) und DMSA (delegated managed service account) sind adäquate

2. Kein praktiziertes Tiering 

Seit der Demonstration von dem „golden ticket“ für Active Directory im Jahr 2014 ist klar geworden, dass die Zugriffe im Unternehmen strikt nach Ebenen (Tiers) getrennt werden müssen.

Höchst privilegierte Benutzerkonten dürfen nur auf höchst privilegierten Computersystemen verwendet werden. Wird ein höchst privilegiertes Benutzerkonto auf einem niedrig privilegierten Computersystem verwendet, können Angreifer, im Falle einer Kompromittierung des Endgeräts, sehr rasch die Useridentität erbeuten.

Fehlendes oder falsch praktiziertes Tiering ist, nach zu hoch privilegierten Konten, meist genutzten Schwachstellen für AD durch einen Hacker.

3. Veraltete Kennwörter 

Dienst- und Computerkonten sollten, anders als bei Benutzerkonten, zyklisch wechselnde Kennwörter aufweisen. Die Demonstration des „golden ticket“ für AD vor 10 Jahren zeigte noch ein zweites besonderes Ticket: das „silver ticket“.

Bei einem „silver ticket“ macht sich der Angreifer statische Kennwörter von Dienst- und Computerkonten eines Unternehmens zu Nutze, um sich persistenten und in der Regel lateralen Zugriff zu sichern.

Daher müssen Computerkennwörter, insbesondere die der Domain Controller und die Kennwörter der Dienstkonten, hier speziell das Kerberos-Ticketkontos „krbtgt“, zyklisch gewechselt werden. 

4. Veraltete Betriebssysteme 

Der Betrieb von Betriebssystemen auf Basis von Microsoft in der Unternehmens-IT ist weit verbreitet. Ebenso weit verbreitet ist der Betrieb von Microsoft Betriebssystemen, welche schon lange aus dem Support gelaufen sind.

„Aus dem Support gelaufen“ bedeutet insbesondere keine Sicherheits-Updates mehr und damit leichte Beute für Angreifer. Wird eine neue Schwachstelle X im Protokoll Y entdeckt, wird diese Schwachstelle für die aktuellen Microsoft-Betriebssysteme, hoffentlich zeitnah, per Update geschlossen, jedoch nicht für die Betriebssysteme, welche aus dem Support gelaufen sind.

Zur Orientierung:
Windows XP / Server 2003 R2: Supportende war am 08.04.2014
Windows Vista: Supportende war am 11.04.2017
Windows 7 / Server 2008 / Server 2008 R2: Supportende war am 14.01.2020
Windows 8: Supportende war am 12.01.2016.
Windows 8.1: Supportende war am 10.01.2023
Server 2012 / Server 2012 R2: Supportende war am 10.10.2023
Windows 10: Supportende ist am 14.10.2025 (analog zum Supportende von Exchange 2016 und 2019!)

Die Liste der End-of-Life (EoL)-Termine ist hier einsehbar:
https://learn.microsoft.com/en-us/lifecycle/products/

Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • Windows 11 bekommt im Februar neue Features – eines bringt Sicherheit!

    4. Februar 2026 Windows 11 bekommt mit dem Februar 2026-Update einige neue Features, darunter einige die sinnvoll und nützlich sind. Besonders hervorzuheben ist Smart App Control. Dieses Security-Feature war bisher nur mit einer Neuinstallation aktivierbar. Das wird sich jetzt ändern: unbedingt aktivieren! Am Dienstag, dem 10. Februar 2026, plant Microsoft die Einführung eines neuen Patch Tuesday-Updates für Windows 11 im zweiten Monat des Jahres, das…

  • Windows 11 bekommt langersehntes Feature endlich zurück

    17. Februar 2026 Microsoft plant, die Möglichkeit zum Verschieben und Anpassen der Grösse der Taskleiste unter Windows 11 wieder einzuführen, um die Stimmung rund um das Betriebssystem in diesem Jahr zu verbessern. Im Rahmen der gross angelegten Bemühungen von Microsoft, die Stimmung rund um Windows 11 in diesem Jahr zu verbessern, arbeitet das Unternehmen an mehreren stark nachgefragten Funktionen und Änderungen, die der Öffentlichkeit signalisieren…

  • Agent Ransack – kostenloser Ersatz für Windows-Suche

    26. Dezember 2025 Agent Ransack ist ein in der Basisversion kostenloses Suchprogramm für Windows, mit dem sich Dateien, Verzeichnisse und Datei-Inhalte lokal auf einem PC oder im Netzwerk wiederfinden lassen. Aktuell steht die Software in der Version 2022 (Build 3544) zum Download bereit. Agent Ransack Besser suchen Die erste Version von Agent Ransack erschien bereits im Jahr 2000. Die lange Entwicklungszeit hat ein dementsprechend ausgereiftes…

  • 2-Faktor-Authentifizierung via SMS – hören Sie auf damit!

    Die Zwei-Faktor-Authentifizierung (2FA) ist eine der besten Möglichkeiten, um Ihre Online-Konten zusätzlich zu sichern. Dieser Geheimcode verhindert eine ganze Reihe von Hacking-Versuchen, und es ist grossartig, dass ihn heutzutage so viele Menschen nutzen. Allerdings ist es äusserst wichtig, wie Sie diesen Code erhalten. Wenn Sie wie ich lange Zeit SMS verwendet haben, möchte ich Sie um einen grossen Gefallen bitten: Bitte hören Sie damit auf….

  • Excel: Navigations-Tipps, Leere Zellen finden, Datum konvertieren

    6. Januar 2026 Mit diesen 3 Excel-Tricks glänzen Sie: Einfache Navigation mit der Maus (statt Tastatur), finden und markieren Sie alle leere Zellen schnell, und 2 Excel-Tricks zum Konvertieren von Zellen in Datumswerte (ein lästiges Thema, das jeder kennt). Los geht’s! Navigation mit der Maus Vielleicht wissen Sie, dass mit Sit mit der Ctrl- und der Pfeil-nach-unten-Taste ganz nach unten in Ihrem Zellenblatt gehen können….

  • Wie man Phishing erkennt…

    04. Dezember 2025 Phishing ist weltweit eine der grössten und am schnellsten wachsenden Cyber-Bedrohungen. Berichten von Cybersicherheitsunternehmen zufolge ist Phishing nach wie vor die häufigste Methode von Cyberkriminellen, um an sensible Daten oder Geld zu gelangen. Unternehmen wie auch Privatpersonen können durch Phishing-Angriffe erhebliche finanzielle Einbussen erleiden, sei es durch direkte finanzielle Verluste oder durch Folgekosten wie die Wiederherstellung von Systemen und Reputationsschäden. Wir zeigen…