Jedes Tiering-Projekt beginnt mit derselben Frage: Was genau muss eigentlich geschützt werden? Die Antwort klingt trivial — Domain Controller, Domain Admins, fertig. In der Praxis zeigt sich jedoch regelmäßig, dass die tatsächliche Tier-0-Angriffsfläche einer Umgebung deutlich größer ist als angenommen. Service Accounts mit DCSync-Rechten, vergessene verschachtelte Gruppenmitgliedschaften, Backup-Systeme mit Zugriff auf Domain-Controller-Daten — all das gehört zu Tier 0, wird aber selten als solches behandelt.
Ohne eine gründliche Bestandsaufnahme härten Sie die falschen Stellen. Sie investieren Zeit in GPO-Konfigurationen und PAW-Einrichtung, während ein einzelner Service Account mit Replikationsrechten den gesamten Schutz aushebelt. Dieses Kapitel liefert die Methodik, um alle Tier-0-Assets systematisch zu identifizieren, aktuelle Credential-Flüsse sichtbar zu machen und versteckte privilegierte Berechtigungen aufzuspüren.
Was gehört zu Tier 0?
Das Tiering-Modell definiert Tier 0 als die Identitätssteuerungsebene — alles, was die Kontrolle über Active Directory selbst ermöglicht. Domain Controller sind der offensichtliche Kern, aber die Grenze verläuft weiter als viele annehmen.
Neben den Domain Controllern umfasst Tier 0 sämtliche Systeme und Konten, deren Kompromittierung einem Angreifer die vollständige Übernahme der Domäne ermöglicht. Die folgende Tabelle gibt einen Überblick über die wichtigsten Kategorien, die wir in Assessments regelmäßig als unzureichend geschützt vorfinden.
| Kategorie | Beispiele | Warum Tier 0? |
|---|---|---|
| Domain Controller | Alle DCs inkl. RODCs | Speichern die AD-Datenbank (NTDS.dit) mit allen Credentials |
| AD-Verwaltungskonten | Domain Admins, Enterprise Admins, Schema Admins, Builtin\Administrators | Vollständige Kontrolle über die gesamte Domäne bzw. den Forest |
| PKI / Zertifizierungsstellen | Enterprise CA, Root CA | Können Zertifikate für beliebige Identitäten ausstellen — gleichbedeutend mit Domain-Admin-Zugriff |
| Azure AD Connect / Entra Connect | Synchronisationsserver und -konto | Besitzt Replikationsrechte auf das AD und Schreibzugriff auf Entra ID |
| AD FS / Federation Services | ADFS-Server und Service Account | Kann SAML-Tokens für beliebige Identitäten signieren |
| Backup-Systeme mit DC-Backups | Veeam, Commvault, SCDPM mit DC-Backup-Jobs | Enthalten eine Kopie der NTDS.dit — ein Angreifer kann Credentials offline extrahieren |
| Virtualisierungshost der DCs | Hyper-V-Host oder vCenter, auf dem DCs laufen | Zugriff auf den Host bedeutet Zugriff auf die virtuelle Festplatte des DC |
Besonders der letzte Punkt wird häufig übersehen. Wenn Ihre Domain Controller als virtuelle Maschinen laufen, ist der Hypervisor-Host faktisch ein Tier-0-System. Wer Zugriff auf den Host hat, kann die VM exportieren, die virtuelle Festplatte mounten und die NTDS.dit ohne jede Authentifizierung extrahieren.
Tier-0-Inventar erstellen
Beginnen Sie mit einer systematischen Erfassung. Tools wie PingCastle und BloodHound liefern einen automatisierten Überblick über privilegierte Konten und deren Beziehungen. PingCastle generiert einen Health-Check-Report, der unter anderem alle Mitglieder privilegierter Gruppen auflistet und auf bekannte Fehlkonfigurationen hinweist. BloodHound geht weiter und visualisiert Angriffspfade — von beliebigen Startpunkten bis zum Domain Admin.
Ergänzend sollten Sie manuell prüfen, welche Systeme tatsächlich als Domain Controller, CA oder Synchronisationsserver fungieren. In gewachsenen Umgebungen existieren nicht selten stillgelegte DCs, die noch Replikationsrechte besitzen, oder Test-CAs, die nie ordnungsgemäß dekommissioniert wurden.
Versteckte Tier-0-Berechtigungen aufspüren
Die offensichtlichen privilegierten Gruppen — Domain Admins, Enterprise Admins — sind in der Regel bekannt. Die eigentliche Herausforderung liegt bei Berechtigungen, die nicht auf den ersten Blick sichtbar sind.
DCSync-Rechte
DCSync ist eine Technik, bei der ein Angreifer die Replikationsprotokolle des Active Directory missbraucht, um sämtliche Passwort-Hashes aus der Domäne zu extrahieren — ohne Zugriff auf einen Domain Controller zu benötigen. Dafür braucht das angreifende Konto lediglich die Berechtigungen „Replicating Directory Changes" und „Replicating Directory Changes All" auf dem Domänenobjekt.
In der Praxis finden wir diese Rechte regelmäßig bei Service Accounts, die für Verzeichnissynchronisation, Monitoring-Tools oder Migrationsprodukte angelegt wurden und nach Projektabschluss nie bereinigt wurden. Mit PowerShell lassen sich diese Konten gezielt identifizieren, indem Sie die ACL des Domänenobjekts auf die relevanten Replikationsrechte (DS-Replication-Get-Changes und DS-Replication-Get-Changes-All) prüfen.
AdminSDHolder und geschützte Objekte
Der AdminSDHolder-Mechanismus ist eine Sicherheitsfunktion des Active Directory, die regelmäßig (standardmäßig alle 60 Minuten) die Berechtigungen geschützter Objekte — darunter alle Mitglieder privilegierter Gruppen — auf einen definierten Satz zurücksetzt. Das Problem: Wenn ein Angreifer oder ein fehlerhaftes Skript die ACL des AdminSDHolder-Objekts selbst modifiziert, werden diese Änderungen automatisch auf alle geschützten Konten propagiert.
Prüfen Sie daher die ACL des AdminSDHolder-Containers (CN=AdminSDHolder,CN=System,DC=...) auf unerwartete Einträge. Jeder Schreibzugriff auf dieses Objekt, der nicht zu den Standard-Berechtigungen gehört, ist ein potenzieller Tier-0-Befund.
Verschachtelte Gruppenmitgliedschaften
Active Directory erlaubt es, Gruppen in andere Gruppen aufzunehmen. Über mehrere Verschachtelungsebenen hinweg kann so ein scheinbar unprivilegiertes Konto effektiv Domain-Admin-Rechte besitzen. In Assessments stoßen wir regelmäßig auf Ketten wie: Helpdesk-Gruppe → Server-Admins → Backup Operators → Domain Admins. BloodHound visualisiert solche Pfade automatisch. Alternativ lassen sich verschachtelte Mitgliedschaften privilegierter Gruppen auch mit PowerShell rekursiv auflösen, um die tatsächliche Mitgliederliste zu ermitteln.
Service Accounts mit übermäßigen Rechten
Service Accounts sind ein wiederkehrender Befund. Sie werden oft mit Domain-Admin-Rechten angelegt, weil es „schnell gehen musste", und bleiben dann dauerhaft in diesem Zustand. Besonders kritisch sind Service Accounts, die zusätzlich anfällig für Kerberoasting sind — also über einen Service Principal Name (SPN) verfügen und ein schwaches Passwort verwenden. Ein Angreifer kann das Kerberos-Ticket dieses Accounts offline knacken und erhält damit direkten Tier-0-Zugriff.
Identifizieren Sie alle Service Accounts mit SPN und prüfen Sie deren Gruppenmitgliedschaften. Konten, die sowohl einen SPN besitzen als auch Mitglied privilegierter Gruppen sind, stellen ein unmittelbares Risiko dar.
Credential-Flüsse kartieren
Neben der Identifikation privilegierter Konten müssen Sie verstehen, wo diese Konten tatsächlich verwendet werden. Jede Anmeldung eines Tier-0-Kontos an einem System niedrigerer Ebene hinterlässt Credential-Material — NTLM-Hashes, Kerberos-Tickets —, das ein Angreifer für Pass-the-Hash-Angriffe oder Lateral Movement nutzen kann.
Die zentrale Frage lautet: Auf welchen Systemen melden sich Ihre privilegierten Konten an? In vielen Umgebungen verwenden Administratoren ihre Tier-0-Konten für alltägliche Aufgaben — RDP-Verbindungen zu Anwendungsservern, Helpdesk-Support auf Endgeräten oder sogar das Browsen im Internet. Jede dieser Aktionen ist eine Tier-Verletzung und erweitert die Angriffsfläche erheblich.
Anmeldeprotokolle auswerten
Die Windows-Sicherheitsereignisprotokolle liefern die notwendigen Daten. Die Event-IDs 4624 (erfolgreiche Anmeldung), 4672 (Zuweisung besonderer Rechte) und 4648 (Anmeldung mit expliziten Credentials) zeigen, welche Konten sich wo und wie authentifizieren. Sammeln Sie diese Ereignisse zentral — idealerweise über ein SIEM — und filtern Sie nach den im vorherigen Schritt identifizierten Tier-0-Konten.
Das Ergebnis ist eine Karte der Credential-Flüsse: Sie sehen, welche privilegierten Konten auf welchen Systemen aktiv sind. Jede Anmeldung eines Tier-0-Kontos auf einem Tier-1- oder Tier-2-System ist ein Befund, der im Rahmen der Tiering-Implementierung adressiert werden muss.
Häufige Tier-Verletzungen
In der Praxis begegnen uns bestimmte Muster immer wieder. Domain Admins verwenden ihre privilegierten Konten für RDP-Verbindungen zu Mitgliedsservern oder nutzen dasselbe Konto sowohl für die Domain-Controller-Verwaltung als auch für den alltäglichen E-Mail-Zugriff. Geplante Aufgaben (Scheduled Tasks) und Windows-Dienste laufen unter Domain-Admin-Konten, obwohl sie lediglich lokale Rechte benötigen. Monitoring-Tools wie SCCM oder Backup-Agenten verwenden Service Accounts mit Tier-0-Berechtigungen auf Systemen aller Ebenen.
Ergebnisse dokumentieren
Die Bestandsaufnahme liefert drei zentrale Dokumentationsartefakte, die als Grundlage für alle weiteren Kapitel dienen.
Das Tier-0-Asset-Inventar listet alle Systeme und Konten auf, die als Tier 0 klassifiziert wurden — einschließlich der weniger offensichtlichen Funde wie Backup-Systeme, Hypervisor-Hosts und Service Accounts mit Replikationsrechten. Für jedes Asset dokumentieren Sie den Grund der Tier-0-Klassifikation und den aktuellen Schutzzustand.
Die Credential-Fluss-Matrix zeigt, welche privilegierten Konten sich an welchen Systemkategorien anmelden. Daraus ergibt sich direkt die Liste der Tier-Verletzungen, die durch die Einführung von Anmeldebeschränkungen (Kapitel 2) und dedizierten Admin-Konten adressiert werden.
Die Priorisierte Befundliste ordnet alle Findings nach Kritikalität. DCSync-Rechte bei nicht autorisierten Konten, AdminSDHolder-Manipulationen und Tier-0-Konten mit SPN und schwachem Passwort stehen dabei ganz oben — sie ermöglichen einem Angreifer die unmittelbare Domänenübernahme und sollten noch vor dem eigentlichen Tiering-Rollout behoben werden.
Diese Dokumentation ist kein einmaliger Snapshot. Sie bildet die Baseline, gegen die Sie den Fortschritt der Implementierung messen und die Sie im Rahmen der laufenden Überwachung (Kapitel 4) regelmäßig aktualisieren.
Nächster Schritt
Mit dem vollständigen Tier-0-Inventar und der Credential-Fluss-Analyse haben Sie die Grundlage für die Absicherung geschaffen. In Kapitel 2 beginnen wir mit der eigentlichen Härtung: dedizierte Admin-Konten pro Tier, Anmeldebeschränkungen per GPO, LAPS-Rollout und die Einrichtung von Privileged Access Workstations für die Tier-0-Verwaltung.
Sie möchten Ihre AD-Umgebung professionell analysieren lassen? Unser Identity & Access Hardening umfasst eine vollständige Bestandsaufnahme aller Tier-0-Assets, Angriffspfad-Analyse mit BloodHound und PingCastle sowie einen priorisierten Maßnahmenplan — als Grundlage für Ihre Tiering-Implementierung. Jetzt Bestandsaufnahme anfragen