Blog
AD-Sicherheit, Haertung und Vorfallsbereitschaft.
Der Account Lockout Threshold ist keine alleinige Spray-Abwehr. Richtig gesetzt begrenzt er Online-Rate, liefert verwertbare Signale und zwingt alte Passwortfehler in die Bereinigung - falsch gesetzt sperrt er den Betrieb aus.
AS-REP Roasting entsteht meist nicht durch einen exotischen Fehler, sondern durch Benutzerkonten ohne Kerberos-Pre-Authentication. Die Härtung ist technisch klein, braucht aber klare Verantwortlichkeiten und Tests.
Coerce Attacks sind selten ein einzelner Schalter. Entscheidend ist, welche Systeme noch ungeplant NTLM, SMB, RPC oder HTTP-Authentifizierung ausloesen duerfen.
Unconstrained Delegation ist oft ein historischer Komfortschalter für alte Double-Hop-Szenarien. In heutigen AD-Umgebungen sollte sie außerhalb von Domain Controllern praktisch nicht mehr vorkommen.
AD CS entscheidet indirekt darüber, wer sich als wen authentifizieren kann. Wenn Templates, Enrollment-Rechte und CA-Betrieb ungepflegt sind, wird PKI schnell zum Domain-Takeover-Pfad.
Kerberos Armoring (FAST) schützt Kerberos-Preauth besser vor Offline-Angriffen und verringert die Angriffsfläche bei Anmelde- und Ticket-Workflows. Der Nutzen ist real — aber nur mit sauberem Inventar, Pilotierung und klaren Rückfallwegen.
LSASS ist ein primäres Ziel für Credential-Theft. RunAsPPL macht direkte Zugriffe deutlich schwerer – wenn du Kompatibilität, Rollout und Betrieb sauber planst.
Das krbtgt-Konto ist der Schlüssel zur Ticket-Integrität in AD. Eine Rotation ist kein „Passwort ändern“, sondern eine kontrollierte Operation mit Timing, Replikation und Abhängigkeiten. So planst und setzt du die Rotation sauber um – inklusive Grenzen, Stolperfallen und Projekt-Checkliste.
Gelöschte Benutzer, Gruppen oder OUs sind kein seltenes Problem – und klassische Backups sind dafür oft zu schwerfällig. Mit dem AD Recycle Bin bekommst du eine pragmatische, auditierbare Restore-Option, wenn du sie sauber einführst.
SMBv1 ist ein Altlast-Protokoll, das in modernen AD-Umgebungen keinen Platz hat – aber in der Praxis oft noch „irgendwo“ aktiv ist. So bekommst du SMBv1 kontrolliert aus Clients, Servern und Images heraus, ohne den Betrieb zu zerlegen.
Wenn DNS scheitert, fallen Windows-Clients oft auf LLMNR oder NetBIOS (NBT-NS) zurück – Broadcast statt Autorität. Das ist unnötige Angriffsfläche und führt zu „mysteriösem“ Auth-Traffic. So schaltest du beides kontrolliert ab.
WDigest ist ein Legacy-Mechanismus, der durch alte Images, GPOs oder Troubleshooting-Workarounds wieder aktiv sein kann. So prüfst du den Ist-Stand, setzt eine robuste Baseline und vermeidest Klartext-Passwörter in LSASS.
Domain Controller sind Tier 0. Druckdienste gehören dort nicht hin. So deaktivierst du den Print Spooler sauber, vermeidest Nebenwirkungen und baust eine prüfbare Ausnahme-Policy.
Unsigned LDAP Binds sind ein unnötiger Risikohebel. So inventarisierst du Abhängigkeiten, reduzierst Legacy-Fallen und rollst LDAP Signing (und optional Channel Binding) kontrolliert aus.
Wenn normale Benutzer Computerobjekte erstellen dürfen, entstehen unnötige Angriffspfade. MachineAccountQuota gehört bewusst entschieden, nicht geerbt.
NTLM wird selten auf einmal entfernt. Sauber ist ein Audit-First-Ansatz mit klaren Ausnahmen und einem Zielbild für Kerberos.
Protected Users ist stark, aber nichts für breite Gruppen. Der Wert liegt in sauber ausgewählten Konten und getesteten Admin-Pfaden.
SMB Signing schützt nicht jede Freigabe, aber es nimmt Relay-Angriffen einen wichtigen Hebel. Der Rollout braucht Tests statt Bauchgefühl.
LAPS reduziert laterale Bewegung nur dann zuverlässig, wenn Scope, Berechtigungen, Rotation und DSRM sauber geplant sind.
Kritische Schwachstellen müssen schnell bewertet werden, aber immer im Kontext von Exposition, Exploitbarkeit und Kompensationsmaßnahmen.
Conditional Access ist kein einzelnes Projekt, sondern ein dauerhaftes Steuerungselement für Identitäten, Geräte, Risiken und administrative Zugriffe.
Warum AD-Security nicht als Einmalprüfung behandelt werden sollte, sondern als priorisierter Projektbaustein für Risikoabbau, Auditfähigkeit und Incident Readiness.
Ransomware-Readiness entscheidet sich nicht nur am Backup-Tool, sondern an Identitäten, Wiederanlaufpfaden und getrennten Administrationsmodellen.
Firewall- und NGFW-Regelwerke verlieren ohne Pflege schnell Aussagekraft. Gute Hygiene reduziert Angriffsfläche und erleichtert Audits.
EDR entfaltet seinen Wert erst durch saubere Policies, sinnvolle Ausnahmen, Incident-Prozesse und Tests gegen realistische Angriffstechniken.
Zero Trust funktioniert besser als Architekturprinzip denn als Produktkategorie: Identitäten, Geräte, Segmentierung und Sichtbarkeit müssen zusammenspielen.
Für KRITIS-nahe Umgebungen ist Remote Access nur tragfähig, wenn Identität, Segmentierung, Protokollierung und Notfallbetrieb zusammen gedacht werden.
Awareness reduziert Risiko nur dann nachhaltig, wenn technische Kontrollen, Meldewege und messbare Verbesserungen mitgedacht werden.
