Active Directory

Active Directory-Sicherheit ist zentral für Identitäten, Berechtigungen und Geschäftsprozesse in Windows-Infrastrukturen. Für CISOs, IT-Leitungen und Geschäftsführungen in DACH sichern wir AD-Umgebungen ganzheitlich von der CISA+11BSI+11Microsoft Learn+11t Windows 2000 der zentrale Verzeichnisdienst für Benutzer, Geräte und Dienste in Windows-Domänen und damit ein primäres Ziel für Angreifer. In AD werden Authentifizierung (Kerberos/NTLM), Autorisierung, Gruppenrichtlinien und kritische Verwaltungsfunktionen gebündelt. Ein erfolgreicher Angriff auf AD führt häufig zur Domänen- oder Forest-Kompromittierung mit direkten Folgen für Verfügbarkeit, Integrität und Compliance. (Hintergrund: Wikipedia)

Regulatorisch verlangt der DACH-Raum belastbare Identitäts- und Berechtigungskontrollen. Das BSI-IT-Grundschutz-Kompendium beschreibt dafür Anforderungen an APP.2.2 „Active Directory Domain Services“ – von Konto-Härtung über Schichten-/Tier-Modelle bis zur Trennung administrativer Zonen. Die Vorgaben sind anschlussfähig an ISO/IEC 27001 und dienen als Referenzrahmen für Governance, Risiko- und Compliance-Nachweise (Stand: 01.02.2023). (BSI APP.2.2)

Technisch hat sich die Bedrohungslage verdichtet. Pass-the-Hash/Pass-the-Ticket, Kerberos-Missbrauch, NTLM-Relay und Fehldelegationen sind typische Hebel. Microsoft dokumentiert wiederkehrende Schwachstellen und gibt konkrete Härtungsempfehlungen bis hin zum modernen Enterprise Access Model als Weiterentwicklung des klassischen Tierings. (Enterprise Access Model)

Strategisch ist Hybrid der Normalzustand. On-Premises-AD wird häufig mit Microsoft Entra ID gekoppelt. Microsoft hat Azure AD am 11.07.2023 in „Microsoft Entra ID“ umbenannt; Funktionen und Lizenzen blieben erhalten. (Neuer Name für Azure AD)

Operativ ist AD ein Langläufer mit Legacy-Altlasten (alte Funktionsebenen, gewachsene OU-Strukturen, Schatten-Admins). Ohne standardisierte Prozesse (Joiner-Mover-Leaver), sauber definierte Rollen, Privileged Access Workstations (PAW) und Telemetrie (SIEM/EDR) entstehen technische Schulden – ein Nährboden für Lateral Movement.

Die Erwartung an Nachweisfähigkeit steigt. Auditfest dokumentierte Baselines, Änderungsmanagement, regelmäßige Kontrollen (z. B. AdminSDHolder-Prüfung, Einsatz der Gruppe „Geschützte Benutzer“, gMSA-Rollout) und Recovery-Fähigkeit (autoritative Wiederherstellung, Bare-Metal-DC-Recovery) sind Pflicht. Am 25.09.2024 wurde ein internationaler Leitfaden zur Erkennung und Eindämmung von AD-Kompromittierungen veröffentlicht. (CISA-Guidance)

Praxisbeispiele / Referenzprojekte

Case 1: Versorger (200 MA), Hybrid-AD – Gap-Analyse, Enterprise Access Model + PAW, Windows LAPS, gMSA, „Geschützte Benutzer“, NTLM-Reduktion, SIEM-Use-Cases. (EAM, Windows LAPS)
Case 2: Gesundheitsdienstleister (180 MA), On-Premises-Only – OU-Neuordnung, Delegation, „Geschützte Benutzer“, GPO-Aufräumen, Credential Guard, getrennte Admin-Konten, SDProp-Kontrollen. (Geschützte Benutzer, Credential Guard)
Case 3: Produktionsunternehmen (1.200 MA), Modernisierung – Domänen-/Forest-Upgrade, gMSA-Rollout, LAPS flächendeckend, PAW, Recovery-Playbooks mit Restore-Tests; NTLM nur noch in Ausnahmefällen. (gMSA, Windows LAPS)

Leistungsumfang – was wir bieten

Service 1: AD-Readiness Check (4–6 Wochen) – Gap-Analyse gegen Microsoft- und BSI-APP.2.2-Empfehlungen, priorisierter Maßnahmenplan, Risiko- und Reifegradbewertung, Auditbericht (~40 Seiten).
Service 2: Roadmap & Zielbild (2–3 Wochen) – EAM/Tiering, PAW, Delegation, Meilensteine, Abhängigkeiten, RACI, Quick-Wins (LAPS, gMSA, „Geschützte Benutzer“), Roadmap-Dokument (~20 Seiten).
Service 3: Hardening & Implementierung (6–12 Monate) – LAPS/gMSA, Kontoschutz, GPO-Hygiene, NTLM-Reduktion, Kerberos-Härtung, Credential Guard, SIEM-Use-Cases, Admin-Logging, Least Privilege, Dokumentationspaket.
Service 4: Internes Audit & Recovery-Übungen (2–4 Wochen) – Wirksamkeitsprüfung, SDProp-/Delegations-Checks, Table-Top- und Restore-Tests, Auditbericht + Verbesserungsplan.
Service 5: Kontinuierliche Betreuung (optional) – Quartals-Reviews, Secure-Config-Drift-Checks, Policy-Updates (BSI/ISO/Microsoft), Ad-hoc-Support, Quartalsbericht.

Methodik & Standards

BSI-IT-Grundschutz (APP.2.2 AD DS, SYS.1.2.3 Windows Server, SYS.2.2.3 Windows-Clients) als Referenz für Maßnahmen-Design, Rollen, Prozesse und Wirksamkeitskontrollen. (BSI APP.2.2) – Microsoft-Guidance: Best Practices & EAM. (Best Practices, EAM) – ISO/IEC 27001 als ISMS-Rahmen.