AD & Windows Security Hardening

AD-Takeover-Risiko reduzieren.

Ich helfe CISOs, IT-Security-Leads und Infrastrukturteams, unuebersichtliche AD-, Windows- und Firewall-Findings in priorisierte Remediation zu uebersetzen, ohne den Betrieb zu sprengen: Tier 0, privilegierte Zugriffe, AD CS, Domain Controller, NGFW-Regeln und Pentest-Findings, die dauerhaft geschlossen bleiben muessen.

Sample Report ansehen

AD Hardening Snapshot mit 30/60/90-Tage-Roadmap
Tier 0, AD CS und privilegierte Zugriffspfade
Firewall/NGFW und Pentest-Remediation mit belastbarer Evidenz

17+ Jahre Verantwortung als IT-Unternehmer

150+ Firewall-/Netzwerk-Migrationen und Designs

3+ Monate typische Projektlaufzeit

Remote Kickoff vor Ort nach Bedarf

Positionierung

Saubere Remediation statt Security-Theater.

Fuer Organisationen, die keine weitere abstrakte Beratung brauchen, sondern eine klare Antwort: Welche AD-, Windows- und Firewall-Pfade sind wirklich riskant, wem gehoeren sie, und wie bekommen wir sie sicher geschlossen?

AD Hardening Snapshot

Fokussierte Bewertung fuer Microsoft-zentrische Umgebungen: Tier 0, privilegierte Gruppen, AD CS, Domain Controller, Legacy Auth und eine priorisierte 30/60/90-Tage-Roadmap.

ADTier 0Roadmap

Pentest Remediation Sprint

Findings so schliessen, dass sie im Retest geschlossen bleiben: Owner, Evidenz, Validierungsabfragen, Rollout-Pfade und technische Umsetzung ohne Blindflug.

RetestEvidenceRemediation

Firewall / NGFW Rulebase Review

Regelwerke, VPNs und Segmentierung aufraeumen: Owner, Zweck, Ablaufdatum, Logging, Risiko und sichere Cleanup-Schritte statt historisch gewachsener Ausnahmen.

NGFWSegmentationLogging

Windows & Microsoft Security Hardening

Pragmatische Haertung von Windows- und Microsoft-Security-Kontrollen: Admin Workstations, Credential Guard, Defender/EDR, NTLM-Reduktion und Baselines.

WindowsDefenderBaseline

CISO / IT-Security Sparring

Technische Einordnung kritischer Findings, Architekturentscheidungen und Roadmaps fuer Entscheider, die schnell wissen muessen, was wirklich priorisiert werden sollte.

CISO SupportReviewPriorities

Projektgeschaeft

Remote-first Freelancer-Unterstuetzung fuer Projekte ab etwa drei Monaten. Direkte Zusammenarbeit mit CISO, IT-Security, Infrastruktur und Betrieb.

FreelancerRemote3+ Monate

Angebote

Drei Einstiege, die zu echten Security-Projekten passen

Klarer Umfang, klare Evidenz, klare naechste Schritte. Keine Blackbox-Beratung.

AD Hardening Snapshot

Ausloeser: Wenn Audit, Pentest oder internes Review AD-Risiken sichtbar gemacht haben.

Output: Executive Summary, priorisiertes Finding-Register, Tier-0-Exposure, AD-CS-Risiken, Quick Wins und 30/60/90-Tage-Roadmap.

Tier 0AD CSDomain ControllerPrivileged Access

Firewall / NGFW Rulebase Review

Ausloeser: Wenn Regeln gewachsen sind, niemand den Owner kennt oder Segmentierung nicht mehr belastbar ist.

Output: Riskante Regeln, fehlende Owner, Logging-Luecken, Remote-Access-Pfade und sicherer Cleanup-Backlog.

NGFWVPNSegmentationRule cleanup

Pentest Remediation Sprint

Ausloeser: Wenn Findings geschlossen werden muessen und im Retest nicht wieder aufgehen duerfen.

Output: Owner, Fix-Pfad, Validierungsabfrage, Rollout-Plan, Rollback-Option und Evidence Pack fuer Retest und Management.

RetestEvidenceAD FindingsFirewall Findings

Projektmodell

Senior-Unterstützung ohne Overhead

Einsätze laufen typischerweise projektbasiert ab mindestens drei Monaten. Vollzeit, Teilzeit oder beratend auf Retainer sind möglich. Remote first, DACH-weit, mit Vor-Ort-Onboarding wenn es dem Projekt hilft.

Schnelle technische Einarbeitung in komplexe Microsoft-, Netzwerk- und Security-Stacks
Direkte Kommunikation mit Management, CISO, IT-Leitung und operativen Teams
Lieferung von Findings, Priorisierung, Roadmaps und hands-on Umsetzungshilfe

Locked Shields

Live-Fire Cyber Defense auf internationalem Niveau

Teilnahme in Blue Team 01 bei Locked Shields '26, der weltweit größten und komplexesten Live-Fire-Cyberdefense-Übung, in der ein bewaffneter Konflikt simuliert wird. Die NATO-Übung umfasst rund 42 Nationen, mehr als 4.000 Teilnehmende und etwa 8.000 Systeme inklusive Special Systems aus dem Bereich kritischer Infrastruktur. Verantwortlich war ich für eine Domäne inklusive Domänencontroller in einem KRITIS-nahen Szenario, insbesondere für das Hardening der Domäne und die aktive Abwehr laufender Angriffe unter extremem Zeit- und Entscheidungsdruck. Die Rolle umfasste Monitoring, Analyse netzwerk- und hostbasierter Indikatoren, Eindämmung bösartiger Aktivitäten, System-Hardening, Wiederherstellung kompromittierter Services und die Aufrechterhaltung kritischer Infrastrukturkomponenten.

Weiterführende Details bleiben bewusst allgemein, da Übungs- und Einsatzinformationen schutzbedürftig sind.

Aktive Abwehr laufender Red-Team-Angriffe auf eine AD-nahe Domäne unter hohem Zeitdruck
Systemhärtung von Windows- und AD-nahen Komponenten
Zusammenarbeit mit Bundeswehr und div. "3-letter agencies" aus dem In- und Ausland

Projekterfahrung

Erfahrung aus sicherheitskritischen Umgebungen

KRITIS / Energie

Externer IT-Security Consultant für Continuous Pentesting, AD-Risikoreduktion, Firewall-/Proxy-/IPS-Verbesserungen, Vulnerability Management und Audit-Vorbereitung.

Logistik / Incident Recovery

Security Incident Lead mit Koordination von Incident Response, Forensik, Versicherung, Geschäftsführung und technischem Wiederaufbau hybrider Infrastruktur.

Einzelhandel / AD Pentest

Lead Pentester für Active Directory Security Assessments, Internal Pentest, interne WebApps, Reporting und fortlaufende Remediation-Unterstützung.

Forschung / VPN & ZTNA

Vorstudie, Vergleichsmatrix und Management-Entscheidungsvorlage für VPN/ZTNA-Lösungen inklusive Netzwerkdesign-Empfehlungen.

GitHub / Proof of Work

Tools statt Behauptungen

Drei öffentliche Repos als technische Arbeitsproben: gebaut für genau die Probleme, die in AD-, SMB- und Firewall-Umgebungen regelmäßig weh tun.

SMB / Credential Exposure

secrets_find0r

Multithreaded SMB-Share-Crawler, der in autorisierten Assessments nach offengelegten Credentials, Tokens und Secrets sucht.

SMBSecretsAD Exposure

Active Directory / Kerberos

april26_ad_check0r

Read-only PowerShell-Checks für die Kerberos-RC4/AES-Umstellung im April 2026: SPN-Konten, KDC-Events und Bruchstellen vor dem Cutover sichtbar machen.

KerberosRC4AD Hardening

Firewall / NGFW

Sophos-XGS-Live-Log-Viewer

Windows-App für nahezu Live-Sicht auf Sophos-XGS-Logs über SSH, inklusive Filter-Presets, Incident Capture und Demo-Modus.

SophosNGFWLogs

AD Hardening Snapshot

See the sample report

Ich helfe Unternehmen dabei, unübersichtliches Active-Directory-Risiko in eine klare, priorisierte Hardening-Roadmap zu überführen - besonders rund um Tier 0, privilegierte Zugriffe, AD CS und Domain-Controller-Schutz.

Die meisten Organisationen brauchen nicht mehr Angst. Sie brauchen Klarheit. Dieser fiktive Beispielreport zeigt, wie ein AD Hardening Snapshot aussieht: Executive Summary, priorisierte Findings, Tier-0-Exposition, AD-CS-Risikonotizen und eine umsetzbare 90-Tage-Roadmap.

Fictional sample - no real client data

Download the sample AD Hardening Snapshot report

Fictional sample - no real client data

Bring one AD concern. Leave with a clearer next step.

Gutes AD-Hardening bedeutet nicht, jeden Schalter gleichzeitig umzulegen. Es bedeutet zu verstehen, was die Domäne kontrolliert, welche Pfade am wichtigsten sind und welche Remediation-Schritte für echte IT-Teams sicher umsetzbar sind.

Executive Risk Summary
priorisiertes AD-Finding-Register
Tier-0-Exposure-Überblick
AD-CS-Risikonotizen
30/60/90-Tage-Roadmap

Anonymisierte Proof Library

Die Muster, die in echten Umgebungen weh tun

Keine Kundendaten. Keine Effekthascherei. Nur wiederkehrende Findings, die zeigen, wie ich Risiko in umsetzbare Arbeit uebersetze.

Domain Admin logon on member server

Risiko: Ein lokales Serverproblem wird zum Domain-Control-Pfad.
Evidenz: Privilegierte Logons, lokale Admins, Serverrolle, EDR-Spuren.

AD CS template nobody owns

Risiko: Zertifikat-Templates werden zu Identitaetsrisiko, wenn Enrollment-Rechte und EKUs nicht sauber sind.
Evidenz: Templates, Enrollment Rights, EKUs, Owner, Change Alerts.

Firewall rule without expiry

Risiko: Aus einer temporaren Ausnahme wird ein permanenter Angriffspfad.
Evidenz: Owner, Zweck, Hit Count, Logging, Ablaufdatum, Change-Referenz.

Pentest finding closed without proof

Risiko: Das Ticket ist zu, aber der Retest oeffnet es wieder.
Evidenz: Validierungsabfrage, Scope, Owner, Rollout-Status, Exceptions.

Nachweise

Zertifizierungen mit praktischer Aussagekraft

Die Zertifizierungen zeigen einen klaren Schwerpunkt auf praxisnahe offensive Security, Active Directory, Pentesting und belastbare Security-Beratung.

OSCP+

OffSec Certified Professional+

OffSec · Aktiv

OSCP

Offensive Security Certified Professional

OffSec · Aktiv

PNPT

Practical Network Penetration Tester

TCM Security · Aktiv

CEH Master Badge

CEH Master

Certified Ethical Hacker Master

EC-Council · Aktiv

CEH Practical Badge

CEH Practical

Certified Ethical Hacker Practical

EC-Council · Aktiv

CEH

Certified Ethical Hacker

EC-Council · Aktiv

THM PT1

Jr Penetration Tester

TryHackMe · Aktiv

eJPT

Junior Penetration Tester

INE Security · Aktiv

CRTP

Certified Red Team Professional

Altered Security · In progress

OSEP

OffSec Experienced Penetration Tester

OffSec · In progress

Werdegang

Vom IT-Unternehmer zum spezialisierten Security Consultant

2002-2005
Dipl. Wirtschaftsinformatik an der Rheinischen FH Köln, Schwerpunkt Multimedianetze.
2006-2023
Geschäftsführender Gesellschafter eines IT-Systemhauses und Managed Cloud Service Providers.
Seit 2023
IT-Freelancer unter SafeLink IT mit Schwerpunkt offensive und defensive Cybersecurity.

Blog

AD-Security & Hardening

AD-Security, Hardening, Incident Readiness.

20. Mai 2026

krbtgt-Passwort rotieren: Kerberos-Tickets wirksam entwerten, ohne Auth-Ausfall

Das krbtgt-Konto ist der Schlüssel zur Ticket-Integrität in AD. Eine Rotation ist kein „Passwort ändern“, sondern eine kontrollierte Operation mit Timing, Replikation und Abhängigkeiten. So planst und setzt du die Rotation sauber um – inklusive Grenzen, Stolperfallen und Projekt-Checkliste.

Active DirectoryHardeningKerberoskrbtgtWindows

18. Mai 2026

AD Recycle Bin aktivieren: Löschfehler schnell und sauber rückgängig machen

Gelöschte Benutzer, Gruppen oder OUs sind kein seltenes Problem – und klassische Backups sind dafür oft zu schwerfällig. Mit dem AD Recycle Bin bekommst du eine pragmatische, auditierbare Restore-Option, wenn du sie sauber einführst.

Active DirectoryHardeningRecoveryWindows

16. Mai 2026

SMBv1 deaktivieren und entfernen: Legacy-Protokoll sauber aus dem Netz bekommen

SMBv1 ist ein Altlast-Protokoll, das in modernen AD-Umgebungen keinen Platz hat – aber in der Praxis oft noch „irgendwo“ aktiv ist. So bekommst du SMBv1 kontrolliert aus Clients, Servern und Images heraus, ohne den Betrieb zu zerlegen.

Active DirectoryHardeningSMBSMBv1Windows

13. Mai 2026

LLMNR & NBT-NS deaktivieren: Namensauflösung wieder DNS-only machen

Wenn DNS scheitert, fallen Windows-Clients oft auf LLMNR oder NetBIOS (NBT-NS) zurück – Broadcast statt Autorität. Das ist unnötige Angriffsfläche und führt zu „mysteriösem“ Auth-Traffic. So schaltest du beides kontrolliert ab.

Active DirectoryHardeningLLMNRNetBIOSDNS

11. Mai 2026

WDigest deaktivieren: Klartext-Anmeldeinformationen aus LSASS vermeiden

WDigest ist ein Legacy-Mechanismus, der durch alte Images, GPOs oder Troubleshooting-Workarounds wieder aktiv sein kann. So prüfst du den Ist-Stand, setzt eine robuste Baseline und vermeidest Klartext-Passwörter in LSASS.

Active DirectoryHardeningWDigestLSASS

06. Mai 2026

Print Spooler auf Domain Controllern deaktivieren

Domain Controller sind Tier 0. Druckdienste gehören dort nicht hin. So deaktivierst du den Print Spooler sauber, vermeidest Nebenwirkungen und baust eine prüfbare Ausnahme-Policy.

Active DirectoryHardeningPrint SpoolerTier 0

Mehr lesen

Security News

Aktuelle Sicherheitshinweise

Kompakte, aber belastbare Einordnungen zu relevanten Microsoft-, Windows- und Active-Directory-Themen: konkrete Auswirkungen, Risiken und nächste Schritte ohne Alarmismus.

18. Mai 2026

Windows/AD: Kritische Netlogon-RCE (CVE-2026-41089) – Domain Controller zuerst patchen

Die Mai-2026-Sicherheitsupdates schließen eine kritische Remote-Code-Execution in Windows Netlogon. Priorität: Domain Controller und Management-Hosts patchen, Netzwerkpfade zu DCs hart begrenzen und Auth-/Netlogon-Anomalien eng monitoren.

Active DirectoryWindows ServerNetlogonPatch ManagementMicrosoft

11. Mai 2026

Active Directory: Kerberos-RC4-Härtung (Phase 2) läuft – RC4-Abhängigkeiten jetzt abbauen

Seit den April-2026 Windows-Updates wird RC4 in Kerberos nicht mehr als stiller Standard-Fallback behandelt, wenn Konten keine expliziten Encryption Types gesetzt haben. Entscheidend sind jetzt Inventar, AES-Fähigkeit von Service Accounts und ein kontrollierter Cutover vor der Juli-Phase.

Active DirectoryKerberosWindows ServerAuthenticationMicrosoft

04. Mai 2026

Windows Server: April-Update kann Domain Controller in Reboot-Loops bringen

Microsoft beschreibt einen bekannten Fehler: Bestimmte Domain Controller (PAM, non-GC) können nach April-Updates durch LSASS-Startprobleme wiederholt neu starten. Out-of-band Updates stehen bereit.

Windows ServerActive DirectoryPatch ManagementMicrosoft

Kontakt

Projektbedarf klären

Für Projektanfragen, Retainer-Beratung oder eine schnelle technische Einordnung: direkt Kontakt aufnehmen oder einen Termin über Microsoft Bookings wählen.

Direkt anrufen E-Mail schreiben LinkedIn

YouTube

Praxisvideos aus dem SafeLink IT Kanal

Die vier meistgesehenen Videos aus dem SafeLink IT YouTube-Kanal: kompakte Einblicke in Active Directory Security, Lateral Movement, Passwortangriffe und Security-Grundlagen.

SO bewegen sich Hacker durch Dein Netzwerk - Lateral Movement mit Ligolo-NG

4.300+ Aufrufe

So cracken Hacker Deine Passwörter.

1.500+ Aufrufe

Angriff auf Active Directory in 2026 - Zum Domainadmin in 15 Minuten

1.500+ Aufrufe

Hacking 101: Einführung in Shells und Reverse Shells

830+ Aufrufe