Was umfasst Identity & Access Hardening im Unterschied zu einem AD-Audit?

Ein AD-Audit identifiziert Schwachstellen — wir beheben sie. Identity & Access Hardening umfasst die vollständige Implementierung: Tiering-Modell, LAPS/GMSA-Rollout, NTLM-Abschaltung, Protected Users, GPO-Härtung nach CIS/BSI/Microsoft Baselines, PAM-Einführung und Angriffspfad-Sanierung. Sie erhalten eine gehärtete Umgebung, nicht nur einen Report.

Was ist das Tier-Modell und warum brauchen wir es?

Das Tier-Modell trennt Ihre AD-Verwaltung in drei Ebenen: Tier 0 (Domain Controller, AD-Admins), Tier 1 (Server-Admins) und Tier 2 (Workstation-Admins). Diese Trennung verhindert, dass ein kompromittierter Workstation-Admin bis zum Domain Controller vordringen kann. Es ist die wichtigste einzelne Maßnahme zum Schutz Ihres AD.

Warum sollten wir NTLM abschalten?

NTLM ist ein veraltetes Authentifizierungsprotokoll, das für Pass-the-Hash, Relay-Angriffe und Credential Theft anfällig ist. Die Abschaltung eliminiert einen der häufigsten Angriffsvektoren. Wir analysieren vorab alle NTLM-abhängigen Systeme und migrieren diese schrittweise auf Kerberos, um Betriebsunterbrechungen zu vermeiden.

Können Sie unser AD absichern, ohne den laufenden Betrieb zu stören?

Ja, wir implementieren Änderungen schrittweise und in abgestimmten Wartungsfenstern. Besonders kritische Maßnahmen wie NTLM-Restriktion oder GPO-Änderungen werden vorab in einer Testumgebung validiert. Jede Änderung wird dokumentiert und ist jederzeit rückrollbar.

Identity & Access Hardening

AD-Härtung, PAM und Angriffspfad-Sanierung

Active Directory ist das Herzstück der meisten Unternehmensnetzwerke — und damit das primäre Ziel für Angreifer. Unser Identity & Access Hardening geht weit über klassische AD-Audits hinaus: Wir implementieren das Tiering-Modell, härten Kerberos und NTLM, rollen LAPS und GMSA aus, konfigurieren Remote Credential Guard, optimieren Gruppenrichtlinien und sanieren komplexe Angriffspfade. Das Ergebnis ist eine AD-Umgebung, die modernen Angriffstechniken wie Kerberoasting, DCSync, Pass-the-Hash und Golden Ticket standhält.

Tier ModelPAMLAPSGMSAProtected UsersNTLMGPO HardeningKerberos

Assessment anfragen Häufige Fragen

PAM

Just-in-Time-Zugriffe

CIS + BSI

Konforme Härtung

Tier 0

Maximale Absicherung

Hybrid

On-Prem + Cloud

Leistungen

Was wir leisten

Getrennte Verwaltungsebenen (Tiering)

Wir trennen die Verwaltung Ihrer IT in Sicherheitsebenen, sodass ein gekapertes Nutzerkonto nicht zum Schlüssel für Ihre gesamte Umgebung wird. Veraltete, unsichere Protokolle wie NTLM werden dabei abgeschaltet.

Sichere Admin-Zugänge (PAM)

Dauerhafte Admin-Rechte sind eines der größten Risiken. Mit Privileged Access Management werden privilegierte Zugänge nur bei Bedarf und zeitlich begrenzt vergeben — und Passwörter automatisch verwaltet.

Aufgeräumte Gruppenrichtlinien

Wir bereinigen und härten die zentralen Einstellungen, die all Ihre Windows-Systeme steuern — nach den Empfehlungen von Microsoft, BSI und CIS.

Angriffspfade beseitigen

Wir machen sichtbar, über welche Umwege ein Angreifer die Kontrolle über Ihre IT erlangen könnte — und schließen diese Wege systematisch, auch in komplexen Umgebungen.

Zielgruppe

Für wen dieser Service gedacht ist

Nicht jedes Unternehmen braucht sofort das volle Programm. Diese Ausgangslagen sind typisch für Projekte, in denen wir den größten Unterschied machen — wenn Sie sich hier wiederfinden, lohnt sich ein Gespräch.

Unternehmen, deren Cyberversicherung Tiering-Modell, PAM oder LAPS als Vertragsbedingung fordert
IT-Leiter, deren Pentest kritische Active-Directory-Befunde ergeben hat, die nun saniert werden müssen
Organisationen mit historisch gewachsenem AD ohne Trennung von Admin- und Nutzerkonten
Unternehmen mit hybrider Identitätslandschaft (Active Directory + Entra ID), die beide Welten konsistent absichern wollen

Methodik

Unser Vorgehen

Bestandsaufnahme

Wir analysieren Ihre Active-Directory-Umgebung vollständig: Konten, Berechtigungen, Gruppenrichtlinien und Vertrauensstellungen — automatisiert und manuell.

Angriffspfade sichtbar machen

Wir zeigen Ihnen auf einer Karte, über welche Wege ein Angreifer heute die vollständige Kontrolle über Ihre IT erlangen könnte — oft sind es mehr, als man denkt.

Schutzkonzept entwerfen

Auf dieser Basis entwerfen wir Ihre Ziel-Architektur: getrennte Verwaltungsebenen (Tiering), abgesicherte Admin-Zugänge und automatisch verwaltete Passwörter.

Schrittweise Umsetzung

Wir härten Ihre Umgebung in abgestimmten Schritten — jeder davon vorab getestet und rückrollbar, damit der Betrieb ungestört weiterläuft.

Angriffe erkennen

Zum Abschluss richten wir eine Überwachung ein, die typische Angriffe auf Ihr Active Directory erkennt und meldet, bevor Schaden entsteht.

Ergebnisse

Was Sie erhalten

Am Ende des Projekts stehen konkrete, nutzbare Arbeitsergebnisse — keine Folien, sondern Berichte, Konfigurationen und Unterlagen, mit denen Ihr Team direkt weiterarbeitet.

AD Security Assessment

Vollständige Analyse Ihrer AD-Umgebung mit visualisierten Angriffspfaden — Sie sehen, wie ein Angreifer heute zum Domain Admin käme.

Tiering- & PAM-Konzept

Auf Ihre Organisation zugeschnittene Architektur für Tier-0/1/2-Trennung und privilegierte Zugriffe — abgestimmt mit Ihrem Betrieb.

Umgesetzte Härtung

LAPS, gMSA, Protected Users, NTLM-Restriktion und GPO-Härtung implementiert und getestet — nicht nur empfohlen.

AD-Monitoring

Erkennungsregeln für Kerberoasting, DCSync und andere AD-Angriffstechniken, damit Angriffsversuche sichtbar werden.

Versicherungs- & Audit-Nachweis

Dokumentation aller Maßnahmen in einer Form, die Versicherer und Auditoren akzeptieren.

FAQ

Häufig gestellte Fragen

Weiterführend

Vertiefen Sie das Thema

Sie möchten erst tiefer einsteigen, bevor Sie mit uns sprechen? Diese Artikel aus unserem Blog liefern Hintergrund und Praxiswissen — und mit unseren kostenlosen Tools führen Sie erste Checks direkt selbst durch.

Die 5 gefährlichsten Active Directory Angriffsvektoren in 2026

Active Directory bleibt das Hauptziel für Cyberangriffe. Erfahren Sie, welche fünf Angriffstechniken 2026 am häufigsten ausgenutzt werden — mit konkreten Schutzmaßnahmen und Detection-Strategien für Ihr Unternehmen.

10 minArtikel lesen

BadSuccessor — Wie ein neues Windows-Feature zum Einfallstor für Domain-Übernahmen wurde

Die dMSA-Migrationsfunktion in Windows Server 2025 ermöglicht Privilege Escalation zum Domain Admin — mit einer einzigen Attributänderung. So funktioniert der BadSuccessor-Angriff, warum 91 % aller AD-Umgebungen betroffen waren und welche Gegenmaßnahmen jetzt greifen.

12 minArtikel lesen

RC4-Verschlüsselung in Active Directory abschalten — Warum jetzt Handlungsbedarf besteht

Microsoft erzwingt ab April 2026 die AES-Verschlüsselung für Kerberos und schaltet RC4 stufenweise ab. Von der Erkennung betroffener Service Accounts über die Migration auf AES bis zur Absicherung gegen Kerberoasting — ein praktischer Leitfaden für IT-Administratoren.

14 minArtikel lesen

Prüfen Sie selbst — kostenlose Tools

AD-Sicherheits-SchnellcheckActive Directory Sicherheit bewerten Passwort-Knackzeit-RechnerKnackzeit pro Hash-Algorithmus vergleichen

Weitere Security Services

IT-Schwachstellenprüfung

Schwachstellen erkennen, bevor Angreifer es tun

Mehr erfahren

Cloud Security

Microsoft 365, Azure und Multi-Cloud absichern

Mehr erfahren

Netzwerksicherheit

Zero Trust, maximale Sicherheit

Mehr erfahren

Identity & Access Hardening anfragen

Im unverbindlichen Erstgespräch klären wir Ihre Ausgangslage — Sie erhalten eine erste Einschätzung, welche Maßnahmen bei Ihnen die größte Wirkung haben, und einen konkreten Vorschlag für den Einstieg.

Erstgespräch vereinbaren

BSI-konforme Sicherheitslösungen