Active Directory
Microsofts zentraler Verzeichnisdienst für die Verwaltung von Identitäten, Berechtigungen und Gruppenrichtlinien in Windows-Netzwerken.
Active Directory (AD) ist der zentrale Verzeichnisdienst in den meisten Unternehmensnetzwerken. Es verwaltet Nutzerkonten, Computerkonten, Gruppenrichtlinien, Zertifikate und Zugriffsberechtigungen. Durch seine zentrale Rolle ist AD auch das primäre Angriffsziel — die überwiegende Mehrheit aller Cyberangriffe auf Unternehmen nutzt Active Directory als Angriffsvektor.
Wie Active Directory funktioniert
Active Directory organisiert alle Objekte eines Netzwerks — Benutzer, Computer, Gruppen, Drucker — in einer hierarchischen Struktur aus Domänen, Organizational Units (OUs) und Forests. Die Authentifizierung erfolgt über das Kerberos-Protokoll, bei dem ein Domain Controller Tickets ausstellt, die den Zugriff auf Ressourcen ermöglichen. Gruppenrichtlinien (GPOs) steuern zentral die Konfiguration aller domänenverbundenen Computer — von Passwortrichtlinien über Softwareinstallation bis zur Firewall-Konfiguration.
Diese Zentralisierung ist gleichzeitig die größte Stärke und die größte Schwäche von Active Directory. Wer die Kontrolle über AD gewinnt, kontrolliert die gesamte IT-Infrastruktur. Ein kompromittierter Domain Admin kann Passwörter ändern, Gruppenrichtlinien manipulieren, Hintertüren installieren und Daten exfiltrieren — ohne dass einzelne Systeme gesondert angegriffen werden müssen.
AD vs. Entra ID
| Merkmal | Active Directory (On-Premise) | Microsoft Entra ID (Cloud) |
|---|---|---|
| Protokolle | Kerberos, NTLM, LDAP | OAuth 2.0, SAML, OpenID Connect |
| Verwaltung | Domain Controller im eigenen Netz | Cloud-basiert, von Microsoft betrieben |
| GPO-Support | Vollständig | Nicht vorhanden (Intune als Alternative) |
| Fokus | On-Premise-Ressourcen | Cloud-Anwendungen, SaaS |
| Synchronisation | Quelle für Azure AD Connect | Empfänger der synchronisierten Identitäten |
Active Directory und Microsoft Entra ID (ehemals Azure AD) sind unterschiedliche Systeme, die über Azure AD Connect synchronisiert werden können. In hybriden Umgebungen bildet das On-Premise-AD oft weiterhin die Vertrauensbasis — und damit das kritischste Angriffsziel. Fehlkonfigurationen bei der Synchronisation können dazu führen, dass On-Premise-Schwachstellen in die Cloud vererbt werden.
Häufige Schwachstellen
In der Praxis finden sich in fast jedem Active Directory dieselben Schwachstellenmuster: Kerberoasting ermöglicht das Offline-Cracking von Service-Account-Passwörtern. Überprivilegierte Konten gewähren Nutzern weit mehr Rechte als nötig. Fehlende Tier-Trennung erlaubt es privilegierten Konten, sich auf unsicheren Systemen anzumelden. Veraltete Protokolle wie NTLMv1 sind anfällig für Pass-the-Hash-Angriffe. Und fehlende Überwachung von Änderungen an kritischen AD-Objekten — etwa der Domain-Admins-Gruppe — lässt Angreifer unbemerkt agieren.
Active Directory absichern
Die Absicherung von Active Directory erfordert einen mehrschichtigen Ansatz. Das Tiering-Modell trennt administrative Konten nach Sicherheitsstufen, sodass ein kompromittierter Tier-2-Admin keinen Zugriff auf Domain Controller erhält. LAPS eliminiert identische lokale Admin-Passwörter auf allen Rechnern. PAM sichert privilegierte Zugänge mit Just-in-Time-Access und Session Recording ab. Und ein SIEM überwacht kritische Änderungen am AD in Echtzeit.
Ebenso wichtig ist die Härtung der Domain Controller selbst: Deaktivierung unnötiger Dienste, Einschränkung der Anmeldemöglichkeiten, Konfiguration nach CIS Benchmarks und regelmäßige Überprüfung der AD-Berechtigungsstruktur auf Konfigurationsdrift.
Relevanz für KMUs
Active Directory ist auch im Mittelstand allgegenwärtig — vom Fünf-Personen-Betrieb mit einem einzelnen Domain Controller bis zum Unternehmen mit mehreren Standorten und Forests. Die häufigsten Probleme in der Praxis sind historisch gewachsene Berechtigungsstrukturen, nicht deaktivierte Konten ehemaliger Mitarbeitender und fehlende Segmentierung zwischen Server- und Client-Netzen. Ein strukturiertes AD-Assessment deckt diese Schwachstellen auf und liefert einen priorisierten Maßnahmenplan.