· Rexoma Team · IT-Sicherheit  · 6 min read

Active Directory absichern – KMU-Leitfaden für Windows-Netzwerke

Active Directory ist das Herzstück jedes Windows-Netzwerks – und das bevorzugte Angriffsziel. Dieser Leitfaden zeigt KMU, wie sie ihr AD Schritt für Schritt absichern.

Active Directory ist das Herzstück jedes Windows-Netzwerks – und das bevorzugte Angriffsziel. Dieser Leitfaden zeigt KMU, wie sie ihr AD Schritt für Schritt absichern.

In den meisten Windows-basierten KMU ist Active Directory das zentrale Nervensystem der gesamten IT. Wer es kontrolliert, kontrolliert alles – Benutzerkonten, Freigaben, Drucker, Richtlinien. Genau deshalb ist es auch das erste, was Angreifer nach einem initialen Zugang im Visier haben. Untersuchungen des BSI und Security-Forscher weltweit zeigen: Bei den meisten erfolgreichen Ransomware-Angriffen auf Unternehmen wurde Active Directory kompromittiert, bevor die eigentliche Verschlüsselung startete.

Warum Active Directory so attraktiv für Angreifer ist

Active Directory (AD DS) verwaltet Benutzerkonten, Gruppen, Zugriffsrechte und Gruppenrichtlinien für alle Windows-Systeme einer Domäne. Ein einziges kompromittiertes Domain-Admin-Konto gibt Angreifern vollständige Kontrolle über das gesamte Unternehmensnetzwerk.

Konkret können Angreifer mit Domain-Admin-Rechten:

  • Alle Passwort-Hashes aus dem AD auslesen (z.B. mit dem Tool Mimikatz)
  • Ransomware via Gruppenrichtlinie auf alle Clients ausrollen
  • Backdoors anlegen, die Monate nach dem eigentlichen Angriff aktiv bleiben
  • Sich als beliebige Benutzer ausgeben (Pass-the-Hash, Pass-the-Ticket)

Das Risiko für KMU in der Praxis

Viele ostdeutsche KMU betreiben Active Directory seit Jahren ohne grundlegende Härtungsmaßnahmen. Oft existiert nur ein einziger Domain Controller, Administrator-Konten werden für alltägliche Aufgaben wie E-Mail und Browsing verwendet, und Sicherheitsüberprüfungen fanden – wenn überhaupt – zuletzt vor Jahren statt. Aktuelle Bedrohungsberichte belegen: Genau diese Konfigurationen werden systematisch von automatisierten Angriffswerkzeugen aufgespürt und ausgenutzt.

Die häufigsten Schwachstellen im Active Directory kleiner Unternehmen

1. Zu viele Konten mit Domain-Admin-Rechten

Der Klassiker in Sachsen und bundesweit: Fast jeder IT-affine Mitarbeiter hat Domain-Admin-Rechte. Dabei sollten diese Konten ausschließlich für spezifische AD-Verwaltungsaufgaben genutzt werden – niemals für normalen Arbeitsalltag.

2. Veraltete Protokolle (NTLMv1, LLMNR, NetBIOS)

Ältere Windows-Protokolle sind für Relay-Angriffe anfällig. Ein Angreifer im gleichen Netzwerksegment kann legitime Authentifizierungen abfangen und für eigene Zugriffsversuche missbrauchen – ohne das Passwort zu kennen.

3. Inaktive und vergessene Konten

Ehemalige Mitarbeiter, Test-Accounts aus vergangenen Projekten, Service-Accounts mit schwachen Passwörtern – jedes dieser Konten ist ein potentielles Einfallstor, das in der Hektik des Alltags schlicht vergessen wurde.

4. Fehlende Audit-Protokolle

Ohne aktivierte Sicherheitsprotokolle bemerken viele KMU einen Einbruch erst nach Wochen oder gar nicht. Dann fehlen auch die Informationen, um den Angriffsweg nachzuvollziehen und die Schwachstelle zu schließen.

5. Kein Tier-Modell für privilegierte Zugriffe

Im Idealfall trennt man die Verwaltung in drei Ebenen: Tier 0 (Domain Controller), Tier 1 (Server), Tier 2 (Endgeräte). In der Praxis loggen sich Admins mit den gleichen Konten auf Domain Controller und Arbeitsstationen ein – ein idealer Ausgangspunkt für laterale Bewegung durch das Netzwerk.

Active Directory absichern – Schritt für Schritt

Schritt 1: Inventur der Konten und Gruppen

Beginnen Sie mit einer vollständigen Bestandsaufnahme aller privilegierten Konten:

# Alle Domain-Admins auflisten
Get-ADGroupMember -Identity "Domain Admins" -Recursive | Select Name, SamAccountName

# Inaktive Konten finden (90+ Tage kein Login)
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 | Select Name, LastLogonDate

Deaktivieren oder löschen Sie alle Konten, die nicht mehr benötigt werden. Das Prinzip: Jeder Benutzer erhält nur die Rechte, die er für seine tatsächliche Arbeit braucht – nicht mehr.

Schritt 2: Separate Admin-Konten einführen

Trennen Sie klar zwischen Alltags- und Verwaltungskonten:

  • Normales Benutzerkonto für tägliche Arbeit, E-Mail, Browser
  • Dediziertes Admin-Konto ausschließlich für AD-Verwaltungsaufgaben
  • Protected Users Security Group nutzen: Windows bietet eine eingebaute Gruppe, die Mitglieder aktiv vor Credential-Theft-Angriffen schützt – Kerberos only, keine NTLM-Authentifizierung

Schritt 3: Legacy-Protokolle deaktivieren

Via Gruppenrichtlinie (GPO) sollten in Dresden und überall else folgende Protokolle deaktiviert werden:

  • NTLMv1: Nur noch NTLMv2 oder Kerberos erlauben
  • LLMNR und NetBIOS over TCP/IP: In modernen Umgebungen nicht mehr benötigt, aber für Relay-Angriffe ausnutzbar
  • SMBv1: Seit dem WannaCry-Angriff 2017 bekannt gefährlich – sollte in keinem KMU mehr aktiv sein

Schritt 4: Erweiterte Audit-Richtlinien aktivieren

Aktivieren Sie über auditpol oder Gruppenrichtlinien mindestens folgende Kategorien:

  • Anmelde- und Abmeldeereignisse (Erfolg und Fehler)
  • Kontoverwaltung (Kontoerstellung, Gruppenänderungen)
  • Privilegierte Nutzung
  • Objektzugriff auf kritische Dateifreigaben

Leiten Sie Logs idealerweise an einen zentralen Log-Server oder ein SIEM weiter. Windows Event Forwarding (WEF) ist eine kostenfreie Bordmittellösung, die Events aller Systeme auf einem dedizierten Server sammelt.

Schritt 5: Passwortrichtlinien nach BSI-Standard

Das BSI empfiehlt heute:

  • Mindestlänge 12 Zeichen (für privilegierte Konten besser 16+)
  • Keine erzwungenen 90-Tage-Wechsel – das führt nachweislich zu schwächeren Passwörtern
  • Kompromittierte Passwörter blockieren: Die Integration des Have-I-Been-Pwned-Datensatzes in Windows via Specops oder ähnliche Tools verhindert die Nutzung bekannt geleakter Passwörter
  • Fine-Grained Password Policies für Domain-Admins: Höhere Anforderungen als für normale Nutzer

Schritt 6: Domain Controller härten

Der Domain Controller ist das kritischste System Ihrer gesamten IT-Infrastruktur:

  • DC nur für DC-Funktionen: Kein Surfen, kein E-Mail, keine unnötigen zusätzlichen Dienste
  • Credential Guard aktivieren: Schützt den LSASS-Prozess vor Mimikatz-Angriffen
  • LSA Protection einschalten: Verhindert das Auslesen von Credentials aus dem Speicher
  • SMB Signing erzwingen: Verhindert Man-in-the-Middle- und Relay-Angriffe im Netzwerk
  • Regelmäßige Backups des System State (enthält die AD-Datenbank) – mindestens täglich

Schritt 7: Kostenlose Audit-Tools einsetzen

Nutzen Sie diese bewährten Werkzeuge zur Überprüfung Ihres Active Directory:

  • PingCastle: Umfassendes AD-Sicherheits-Audit, das ohne Installation direkt auf dem Domain Controller ausgeführt werden kann und einen detaillierten HTML-Report mit Risk-Score und priorisierten Handlungsempfehlungen erzeugt
  • BloodHound Community Edition: Visualisiert Angriffspfade im AD – zeigt, wie ein Angreifer von einem normalen Konto zu Domain Admin gelangen könnte
  • Microsoft Defender for Identity: Erkennt verdächtige Aktivitätsmuster in Echtzeit (kostenpflichtig, aber in vielen M365-Lizenzen enthalten)

PingCastle ist besonders für KMU empfehlenswert – innerhalb von 30 Minuten erhalten Sie eine klare Übersicht über die dringendsten Handlungsfelder.

Was ein AD-Angriff in der Praxis bedeutet

Der typische Ablauf eines Active-Directory-Angriffs in einem ungesicherten KMU:

  1. Mitarbeiter öffnet Phishing-Mail → Malware gelangt auf eine Arbeitsstation
  2. Malware extrahiert Credentials aus dem Speicher
  3. Angreifer findet einen Account mit zu weit gefassten Rechten
  4. Laterale Bewegung: Ausbreitung auf weitere Systeme im Netzwerk
  5. Privilege Escalation bis zum Domain Admin
  6. Verschlüsselung aller Daten oder stiller Datenabfluss über Wochen

In ungehärteten Umgebungen dauert dieser Ablauf oft nur wenige Stunden. Mit den beschriebenen Maßnahmen wird jede dieser Stufen signifikant schwerer – und die Wahrscheinlichkeit steigt, dass ein Angriff frühzeitig erkannt und gestoppt wird.

Unterstützung in Dresden und Sachsen

Sie möchten Ihr Active Directory professionell absichern? Rexoma IT begleitet KMU in Dresden und ganz Sachsen bei der AD-Härtung: von der PingCastle-Erstanalyse über die Umsetzung strukturierter Zugriffskonzepte bis zur NIS2-konformen Dokumentation. Kontaktieren Sie uns für eine kostenfreie Ersteinschätzung Ihrer Windows-Umgebung.


FAQ: Active Directory absichern

Wie lange dauert ein AD-Sicherheitsaudit für ein kleines Unternehmen?

Ein erstes automatisches Audit mit PingCastle ist in 30 Minuten erledigt. Die Analyse der Ergebnisse und die Umsetzung priorisierter Maßnahmen – je nach Reifegrad der Umgebung – dauern typischerweise zwischen einem halben und zwei Arbeitstagen.

Brauche ich für Active Directory-Härtung teure Tools?

Nein. Die meisten grundlegenden Maßnahmen lassen sich mit Windows-Bordmitteln (GPOs, PowerShell, auditpol) und kostenlosen Tools wie PingCastle umsetzen. Kostenpflichtige Lösungen wie Microsoft Defender for Identity sind hilfreich, aber für einen soliden Grundschutz nicht zwingend erforderlich.

Was ist der Unterschied zwischen Active Directory und Microsoft Entra ID?

Active Directory (AD DS) läuft on-premises auf Ihren eigenen Servern. Microsoft Entra ID (früher Azure AD) ist der cloudbasierte Identitätsdienst für Microsoft 365. Viele KMU betreiben heute eine Hybridumgebung – beide Seiten müssen getrennt voneinander abgesichert werden.

Ist Active Directory auch für kleine KMU mit unter 20 Mitarbeitern sinnvoll?

Ab etwa 10 Mitarbeitern lohnt sich Active Directory für zentrales Benutzermanagement und einheitliche Sicherheitsrichtlinien. Für kleinere Betriebe ist Microsoft Entra ID (cloud-only) oft die schlankere Alternative – mit ähnlichen Härtungsanforderungen.

Wie oft sollte ein AD-Audit durchgeführt werden?

Mindestens einmal jährlich sowie nach größeren Änderungen: neuer Administrator, Mitarbeiterabgänge, Fusionen oder nach einem Sicherheitsvorfall. Unter NIS2 kann eine höhere Prüffrequenz vorgeschrieben sein.

Back to Blog

Related Posts

View All Posts »