Die Bestandsaufnahme aus Kapitel 1 hat Klarheit geschaffen: Sie wissen jetzt, welche Konten und Systeme tatsächlich zu Tier 0 gehören, wo Credential-Material auf Systemen niedrigerer Ebenen liegt und welche versteckten Berechtigungen Ihre Angriffsfläche vergrößern. Jetzt beginnt die eigentliche Härtung. Dieses Kapitel führt Sie durch die vier zentralen Maßnahmen, mit denen Sie Ihre Tier-0-Umgebung absichern — von dedizierten Admin-Konten über Privileged Access Workstations (PAWs) bis zu GPO-basierten Anmeldebeschränkungen und Authentication Policies.
Der Grundsatz dabei: Jede Maßnahme wird technisch erzwungen, nicht organisatorisch vereinbart. Eine Richtlinie, die besagt „Domain Admins sollen sich nicht an Workstations anmelden", wird in der Praxis innerhalb weniger Wochen unterlaufen. Eine GPO, die genau diese Anmeldung technisch verhindert, nicht.
Dedizierte Admin-Konten pro Tier
Der häufigste Befund in unseren Assessments ist zugleich der gefährlichste: Administratoren verwenden ein einziges Konto für alle Aufgaben — vom Helpdesk-Support auf Endgeräten bis zur Verwaltung der Domain Controller. Wird das Endgerät kompromittiert, liegen die Tier-0-Credentials im Speicher und ein Angreifer kann sie per Pass-the-Hash oder Credential Extraction direkt für Lateral Movement zum Domain Controller nutzen.
Die Lösung ist konzeptionell einfach: Jeder Administrator erhält pro Tier ein separates Konto. In der Praxis hat sich eine klare Namenskonvention bewährt, die auf den ersten Blick erkennen lässt, welchem Tier ein Konto zugeordnet ist.
| Konto | Verwendungszweck | Anmeldung erlaubt an |
|---|---|---|
admin-t0-mueller |
Domain-Controller-Verwaltung, AD-Administration (Tier 0) | Ausschließlich PAWs und Domain Controller |
admin-t1-mueller |
Server-Verwaltung, Anwendungsadministration (Tier 1) | Tier-1-Server, Tier-1-Verwaltungssysteme |
admin-t2-mueller |
Helpdesk, Endgeräte-Administration (Tier 2) | Arbeitsplatzrechner, Laptops |
mueller |
Alltägliche Arbeit — E-Mail, Internet, Fachanwendungen (kein Admin) | Reguläre Arbeitsplatzrechner |
Das persönliche Konto mueller ist bewusst kein Admin-Konto und keinem Tier zugeordnet — es besitzt keinerlei administrative Rechte. Die Tier-Zuordnung gilt ausschließlich für die dedizierten Admin-Konten.
Entscheidend ist, dass die Admin-Konten in getrennten OUs liegen und unterschiedlichen Gruppenrichtlinien unterliegen. Tier-0-Konten gehören in die Gruppe „Protected Users", die unter anderem NTLM-Authentifizierung und Delegation unterbindet und die Kerberos-Ticket-Lebensdauer auf vier Stunden reduziert. Damit wird das Zeitfenster, in dem gestohlenes Credential-Material verwertbar ist, erheblich eingeschränkt.
Umsetzung in der Praxis
Legen Sie für jeden bestehenden Administrator die entsprechenden Tier-Konten an und migrieren Sie die Berechtigungen schrittweise. Beginnen Sie mit Tier 0 — die Anzahl der Konten mit Domain-Admin-äquivalenten Rechten ist typischerweise überschaubar. Entfernen Sie anschließend die persönlichen Konten der Administratoren aus allen privilegierten Gruppen. Das persönliche Konto wird zum reinen Benutzerkonto für alltägliche Aufgaben ohne administrative Rechte.
Widerstehen Sie der Versuchung, Ausnahmen zuzulassen. Jedes Konto, das sowohl Tier-0-Rechte besitzt als auch auf Tier-2-Systemen verwendet wird, untergräbt das gesamte Modell. In Assessments finden wir regelmäßig „temporäre Ausnahmen", die seit Jahren bestehen.
Privileged Access Workstations (PAWs)
Dedizierte Admin-Konten allein reichen nicht aus, wenn die Verwaltung der Domain Controller von einem regulären Arbeitsplatzrechner erfolgt. Selbst wenn der Administrator sein Tier-0-Konto verwendet, liegt das Credential-Material auf einem System, das auch für E-Mail, Internetrecherche und andere risikobehaftete Aktivitäten genutzt wird. Ein Angreifer, der diesen Rechner kompromittiert — etwa über eine Phishing-Mail oder ein kompromittiertes Browser-Plugin — kann die Tier-0-Anmeldedaten im Speicher abfangen.
Privileged Access Workstations lösen dieses Problem durch physische oder logische Trennung. Eine PAW ist ein dediziertes System, das ausschließlich für administrative Aufgaben einer bestimmten Tier-Ebene verwendet wird. Kein E-Mail-Client, kein Browser für allgemeine Internetnutzung, keine Office-Anwendungen — nur die Werkzeuge, die für die jeweilige Verwaltungsaufgabe benötigt werden. Das PAW-Konzept gilt grundsätzlich für alle Tiers — Tier-0-PAWs für die AD-Verwaltung, Tier-1-PAWs (oder dedizierte Jump-Server) für die Server-Administration. In diesem Kapitel konzentrieren wir uns auf die Tier-0-PAW als höchste Priorität; die Absicherung der Tier-1-Verwaltung behandelt Kapitel 3.
Anforderungen an eine Tier-0-PAW
Die PAW muss gehärtet sein: aktuelle Windows-Version mit allen Sicherheitsupdates, Credential Guard aktiviert (isoliert NTLM-Hashes und Kerberos-Tickets in einer virtualisierten Umgebung), AppLocker oder Windows Defender Application Control zur Einschränkung ausführbarer Software, Netzwerkzugang ausschließlich zu Tier-0-Systemen. Internetzugriff ist auf der PAW nicht vorgesehen — Updates werden über WSUS oder einen dedizierten Update-Mechanismus bereitgestellt.
Physisch dedizierte Hardware bietet den stärksten Schutz, ist aber nicht in jeder Umgebung wirtschaftlich darstellbar. Als Kompromiss kann eine gehärtete VM auf einem abgesicherten Hypervisor dienen, solange der Host selbst als Tier-0-System behandelt und entsprechend geschützt wird. Vermeiden Sie es, die PAW als VM auf einem regulären Arbeitsplatzrechner zu betreiben — das verschiebt das Problem nur in die Virtualisierungsschicht.
Schrittweiser Aufbau
Beginnen Sie mit einer einzelnen PAW für die kritischsten Tier-0-Aufgaben und erweitern Sie schrittweise. In kleinen Umgebungen genügt oft ein einziges gehärtetes System, auf das sich die wenigen Tier-0-Administratoren per physischem Zugang oder über ein strikt abgeschottetes Netzwerksegment verbinden. Der Aufwand ist überschaubar, der Sicherheitsgewinn erheblich.
GPO-Anmeldebeschränkungen
Die technische Durchsetzung der Tier-Trennung erfolgt primär über Gruppenrichtlinien (GPOs). Zwei Einstellungen sind dabei zentral: „Anmelden über Remotedesktopdienste verweigern" und „Lokal anmelden verweigern". Mit diesen Richtlinien stellen Sie sicher, dass Tier-0-Konten sich ausschließlich an Tier-0-Systemen authentifizieren können.
Konfiguration der Anmeldebeschränkungen
Erstellen Sie eine GPO, die auf die OU aller Tier-1- und Tier-2-Systeme verknüpft wird, und konfigurieren Sie folgende Einstellungen unter „Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten":
| GPO-Einstellung | Zuweisung | Wirkung |
|---|---|---|
| Anmelden über Remotedesktopdienste verweigern | Tier-0-Kontengruppe | Verhindert RDP-Anmeldung von Tier-0-Konten an Nicht-Tier-0-Systemen |
| Lokal anmelden verweigern | Tier-0-Kontengruppe | Verhindert interaktive Konsolenanmeldung auf Nicht-Tier-0-Systemen |
| Anmelden als Batchauftrag verweigern | Tier-0-Kontengruppe | Verhindert Scheduled Tasks unter Tier-0-Konten auf niedrigeren Tiers |
| Anmelden als Dienst verweigern | Tier-0-Kontengruppe | Verhindert Windows-Dienste unter Tier-0-Konten auf niedrigeren Tiers |
Spiegeln Sie diese Logik: Eine separate GPO auf Tier-0-Systemen verweigert Tier-2-Konten die Anmeldung an Domain Controllern. So wird der Credential-Fluss in beide Richtungen technisch unterbunden.
Testen Sie jede GPO-Änderung zunächst in einer eingeschränkten Pilotgruppe. Eine fehlerhafte Anmeldebeschränkung kann Administratoren aus kritischen Systemen aussperren. Dokumentieren Sie für jeden Notfall einen Break-Glass-Prozess — ein physisches Konto mit bekanntem Passwort, das in einem versiegelten Umschlag im Tresor liegt und nur für den Wiederherstellungsfall vorgesehen ist.
Authentication Policies und Silos
Ab Windows Server 2012 R2 bietet Active Directory ein zusätzliches Werkzeug zur Absicherung privilegierter Konten: Authentication Policies und Authentication Policy Silos. Während GPOs die Anmeldung auf Zielsystemen einschränken, kontrollieren Authentication Policies bereits auf der Ebene des Key Distribution Centers (KDC), ob ein Kerberos-Ticket für ein bestimmtes Konto überhaupt ausgestellt wird. Voraussetzung ist ein Domain Functional Level von mindestens Windows Server 2012 R2 sowie die Aktivierung von Kerberos Armoring (FAST) auf allen Domain Controllern — ohne FAST können die Policies nicht durchgesetzt werden.
Eine Authentication Policy definiert Bedingungen, unter denen ein Konto ein Ticket Granting Ticket (TGT) oder ein Service Ticket erhalten darf. Sie können beispielsweise festlegen, dass das Konto admin-t0-mueller ausschließlich TGTs erhalten darf, wenn die Anfrage von einem System aus der Gruppe „Tier-0-Computer" stammt. Versucht ein Angreifer, dieses Konto von einem kompromittierten Endgerät aus zu verwenden, verweigert der Domain Controller die Ticket-Ausstellung — unabhängig davon, ob der Angreifer über das korrekte Passwort oder einen gestohlenen Hash verfügt.
Authentication Policy Silos fassen zusammengehörige Konten und Policies zu einer Einheit zusammen. Ein Tier-0-Silo enthält die Tier-0-Admin-Konten und die zugehörigen Computer-Objekte der Domain Controller und PAWs. Konten innerhalb des Silos können sich nur an Systemen authentifizieren, die ebenfalls zum selben Silo gehören.
Aktivieren Sie Authentication Policies zunächst im Audit-Modus. In diesem Modus protokolliert der Domain Controller Verstöße, ohne die Authentifizierung tatsächlich zu blockieren. Analysieren Sie die protokollierten Ereignisse über einen Zeitraum von mindestens zwei Wochen, um sicherzustellen, dass keine legitimen Zugriffe unterbunden werden, bevor Sie in den Enforce-Modus wechseln.
Sofortmaßnahmen aus der Bestandsaufnahme
Die Bestandsaufnahme aus Kapitel 1 hat vermutlich Befunde ergeben, die nicht auf den regulären Tiering-Rollout warten können. Diese Sofortmaßnahmen adressieren die kritischsten Risiken und sollten parallel zur PAW-Einrichtung und GPO-Konfiguration umgesetzt werden.
Unautorisierte DCSync-Rechte entfernen
Jedes Konto mit den Berechtigungen „Replicating Directory Changes" und „Replicating Directory Changes All" auf dem Domänenobjekt kann per DCSync sämtliche Passwort-Hashes aus der Domäne extrahieren. Entfernen Sie diese Rechte bei allen Konten, die sie nicht zwingend benötigen. Legitimerweise benötigen nur Domain Controller und der Azure AD Connect / Entra Connect Service Account diese Berechtigungen. Jeder andere Eintrag — insbesondere Service Accounts von Monitoring-Tools oder Migrationsprojekten — ist ein unmittelbares Risiko.
AdminSDHolder bereinigen
Prüfen Sie die ACL des AdminSDHolder-Containers auf nicht autorisierte Einträge. Unautorisierte Schreibrechte auf diesem Objekt propagieren sich automatisch auf alle geschützten Konten, einschließlich Domain Admins und Enterprise Admins. Entfernen Sie jeden Eintrag, der nicht zu den Standard-Berechtigungen gehört, und dokumentieren Sie die erwartete ACL als Referenz für künftige Prüfungen.
Service Accounts aus privilegierten Gruppen entfernen
Service Accounts, die Mitglied in Domain Admins oder anderen Tier-0-Gruppen sind, stellen ein besonders hohes Risiko dar — insbesondere wenn sie über einen SPN verfügen und damit anfällig für Kerberoasting sind. Erstellen Sie für jeden betroffenen Dienst einen dedizierten Service Account mit den minimal erforderlichen Rechten nach dem Least-Privilege-Prinzip. Verwenden Sie wo möglich Group Managed Service Accounts (gMSAs), deren Passwörter automatisch vom Active Directory rotiert werden und nicht von einem Administrator verwaltet werden müssen.
Nächster Schritt
Mit dedizierten Admin-Konten, PAWs, GPO-Anmeldebeschränkungen und Authentication Policies haben Sie die Tier-0-Umgebung abgesichert. Die kritischsten Befunde aus der Bestandsaufnahme sind adressiert, und die Credential-Isolation für die Identitätssteuerungsebene ist technisch erzwungen. In Kapitel 3 erweitern wir dieses Konzept auf Tier 1 und Tier 2 — mit LAPS-Rollout für lokale Administratorpasswörter, der Absicherung von Mitgliedsservern und der Trennung der Endgeräteverwaltung.
Sie möchten Ihre Tier-0-Absicherung von Experten begleiten lassen? Unser Identity & Access Hardening umfasst die vollständige Implementierung des Tiering-Modells — von der PAW-Einrichtung über GPO-Konfiguration bis zur Authentication-Policy-Aktivierung. Wir setzen die Härtung schrittweise um, ohne Ihren laufenden Betrieb zu unterbrechen. Jetzt Tier-0-Härtung anfragen