Zero Trust trifft Active Directory: Lehren aus modernen Audits

Veröffentlicht am 4. Februar 2026 von Günter Born

SpecopsWerbung – Das Zero-Trust-Modell ist heute essenziell für Cybersicherheit. Es minimiert menschliche Fehler und bietet maximalen Schutz in einer sich ständig verändernden digitalen Welt. Doch ein zentraler Punkt wird oft übersehen: der Schutz des Active Directory (AD).

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)


Zero Trust ist ein umfassendes Konzept, das je nach Organisation unterschiedlich umgesetzt wird. Grundsätzlich geht es darum, implizites Vertrauen zu eliminieren. Das geschieht durch strenge Identitätsprüfung, klare Segmentierung und kontinuierliches Monitoring.

Gerade in komplexen und oft undurchsichtigen Bedrohungslandschaften ist das entscheidend. Unternehmen arbeiten heute in hybriden Umgebungen, die zahllose Angriffspunkte bieten: Remote-Arbeitskräfte, Drittanbieter, Cloud-Dienste, alles potenzielle Einfallstore für Angreifer.

Das Zero-Trust-Konzept basiert auf drei zentralen Prinzipien:

  1. Explizite Überprüfung: Meist über Multi-Faktor-Authentifizierung (MFA). Automatisierung sorgt dafür, dass kein Fehler oder Manipulation möglich ist.
  2. Minimalrechteprinzip: Jeder Nutzer erhält nur die Rechte, die er wirklich für seine Aufgaben braucht, keine Ausnahme, weder für IT-Mitarbeiter noch für die Geschäftsführung.
  3. Gehen Sie davon aus, dass Sie gehackt wurden: Stellen Sie sich vor, Sie wären täglich Ziel eines Angriffs. Prüfen Sie Verschlüsselung, überwachen Sie Bedrohungen und stärken Sie Ihre Verteidigung proaktiv.

Authentifizierungs-Gateway

Wo passt das AD in Zero Trust? Ganz einfach, es ist der Ausgangspunkt jeder Strategie. Frost & Sullivan sagt, das AD, "hält die Schlüssel zu Ihrem Königreich". Rund 90 % der Global-Fortune-1000-Unternehmen nutzen AD als Hauptwerkzeug für Authentifizierung und Autorisierung.

Trotz der eingebauten Sicherheitsmechanismen ist das AD ein beliebtes Angriffsziel. Hacker nutzen kompromittierte Konten oder schwache Passwörter, um Fuß zu fassen. Anschließend eskalieren sie Rechte über Methoden wie Passwort-Spraying oder Kerberoasting.

Schauen wir uns einige der typischen Schwachstellen an, die in AD-Audits regelmäßig identifiziert werden.

Zu viele Rechte

Microsoft weist darauf hin, dass "Credential-Theft-Angriffe davon abhängen, dass Administratoren bestimmten Konten übermäßige Rechte gewähren". Administratorrechte sollten streng auf diejenigen beschränkt werden, die sie wirklich für konkrete Aufgaben benötigen, die mehrere AD-Domains betreffen oder erhöhte Berechtigungen erfordern. So begrenzen Sie den Schaden im Falle eines Angriffs effektiv. Das gilt für alle, von IT-Mitarbeitern bis hin zur Geschäftsführung.

Nachteile der Delegation

Unkontrollierte Delegation ist ein weiteres großes Risiko. Sie erlaubt es Diensten, sich über ein Ticket Granting Ticket (TGT), das im Speicher abgelegt und wiederverwendet wird, als beliebiger Nutzer auszugeben. Das TGT ist in der gesamten Domäne gültig. Kommt ein Angreifer an dieses Ticket, kann er Nutzer imitieren und auf sensible Ressourcen zugreifen.

Stale Admin-Konten

Unbenutzte oder verwaiste Servicekonten bieten Angreifern unbemerkten Zugriff. Konten sollten nur die Rechte besitzen, die für ihre jeweiligen Aufgaben notwendig sind. Regelmäßige Audits sind entscheidend, um solche Altlasten zu identifizieren und zu entfernen.

Schwache Passwörter

Auch heute noch ist das Passwort die Basis jeder Sicherheit. Bei Kerberoasting Angriffen fordern Angreifer Service Tickets an und versuchen anschließend, diese offline zu entschlüsseln. Schwache oder wiederverwendete Passwörter erleichtern diesen Prozess erheblich.

Das Problem angehen

Wie kann Zero Trust in Ihrer AD-Umgebung umgesetzt werden? Hier sind drei zentrale Ansätze:

  1. Mikrosegmentierung: Es ist wichtig, wertvolle Assets wie kritische Server oder Domain. Controller zu isolieren. So stellen Sie sicher, dass jede Authentifizierungsanfrage zuerst eine klar definierte Sicherheitsgrenze überwinden muss.
  2. MFA: Da Passwörter heute besonders gefährdet sind, setzt die AD-Sicherheit auf einen mehrschichtigen Ansatz. Dazu gehören Biometrie oder Einmalcodes per SMS oder E-Mail. MFA ist besonders wichtig für Nutzer und Dienste mit Zugriff auf Administrator-Tools und privilegierte Konten.
  3. Risikomonitoring: Da Bedrohungen sich ständig weiterentwickeln, ist es entscheidend, Risiken kontinuierlich zu bewerten und Nutzer- sowie Geräterisiken in Echtzeit zu prüfen. Verhaltenssignale wie Login-Muster oder Geolokalisierung sollten überwacht werden, damit Zugriffsentscheidungen bei Bedarf angepasst werden.

Warum Passwörter Priorität haben sollten

Das AD ist die Grundlage der Sicherheit und muss im Zentrum jeder Zero-Trust-Strategie stehen. Oft wird die richtige AD-Hygiene übersehen, was später Probleme verursachen kann. Beginnen Sie mit der Basis: Passwortsicherheit. Schwache Passwörter sind eine Einladung für Angreifer, um Zugriff auf Ihr AD zu bekommen.

Es gibt einfache Schritte, um die Passwortsicherheit deutlich zu erhöhen, während das AD im Zentrum Ihrer Zero-Trust-Architektur bleibt.

Passwort-Check durchführen

Zunächst sollten mögliche Schwachstellen sichtbar gemacht werden. Nur wer sie kennt, kann sie beheben. Specops Password Auditor ermöglicht ein kostenloses Read-Only-Audit des AD, das passwortbezogene Risiken erkennt.

Specops Passwort AuditorSpecops Password Auditor

Schwachstellen beheben und Sicherheit erhöhen

Sind die Risiken identifiziert, sorgen Sie für dauerhaften Schutz. Specops Password Policy unterstützt Best Practices im AD, erzwingt Komplexitätsregeln und blockiert bekannte offengelegte Passwörter, indem Konten mit einer Datenbank von über vier Milliarden geleakten Zugangsdaten abgeglichen werden.

Breached Password Protection List mit mehr als 4 Milliarden kompromittierten PasswörternBreached Password Protection List mit mehr als 4 Milliarden kompromittierten Passwörtern

Trotz MFA und weiterer Sicherheitsmaßnahmen bleiben Passwörter die Basis der Authentifizierung. Eine starke Passwortsicherheit ist ein entscheidender Bestandteil von Zero-Trust und schützt Ihr AD zuverlässig. Benötigen Sie Unterstützung? Sprechen Sie mit einem Specops-Experten.

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.