Wenn ein Standardbenutzer zur Gefahr wird – Active Directory gezielt absichern

  1. Ein interner Benutzer mit Standardrechten, ohne Administratorzugriffe und ohne spezielles Wissen. Und doch: In einem unserer Tests reichte genau diese Ausgangslage aus, um

  2. durch fehlerhafte Berechtigungen, ungesicherte Protokolle und fehlende Segmentierung innerhalb weniger Stunden vollständige Kontrolle über die Windows-Domäne zu erlangen.

  3. Ohne Malware. Ohne Exploits. Nur mit den Möglichkeiten, die auch reale Angreifer tagtäglich nutzen.

  4. Active Directory ist das Herzstück vieler Unternehmensnetzwerke und ein beliebtes Ziel. Genau deshalb ist ein gezielter AD Penetrationstest entscheidend.

Was ist ein AD Penetrationstest?

Ein Active Directory Penetrationstest ist eine zielgerichtete Sicherheitsüberprüfung Ihrer Windows-Domänenstruktur, wie sie typischerweise in Unternehmensnetzwerken eingesetzt wird.

Wir simulieren den Weg eines internen Angreifers, zum Beispiel über ein kompromittiertes Mitarbeitergerät, und analysieren, wie weit sich dieser durch das Active Directory bewegen

könnte. Ziel ist es, Schwachstellen in Berechtigungen, Benutzerstrukturen, Gruppenrichtlinien, Netzwerkdiensten und der internen Kommunikation aufzudecken, bevor sie in der Realität ausgenutzt werden.

Weil Active Directory in fast jedem Unternehmen das Rückgrat der Benutzerverwaltung und Rechtevergabe bildet und trotzdem oft vernachlässigt wird. 

In vielen Fällen wächst die AD-Struktur über Jahre hinweg. Neue Benutzer, alte Gruppen und temporäre Berechtigungen sammeln sich an. Vieles davon bleibt bestehen, auch wenn es längst nicht mehr gebraucht wird. Genau dadurch entstehen Angriffspfade, die in keinem Schaubild sichtbar sind, aber in der Praxis ausgenutzt werden können. 

Ein AD Penetrationstest hilft Ihnen, veraltete Strukturen aufzudecken, Fehlkonfigurationen zu korrigieren und Ihre Domänenstruktur dauerhaft abzusichern, bevor kleine Schwächen zu großen Sicherheitslücken werden.

Wir analysieren unter anderem: 

  • Benutzer- & Gruppenberechtigungen: 
    Schwache Passwörter, privilegierte Gruppen, Rollen-Missbrauch
  • Angriffsgraphen: 
    Berechnungen von Angriffswegen zu privilegierten Accounts (BloodHound)
  • GPO-Schwachstellen: 
    Unsichere Gruppenrichtlinien oder Scripte
  • Pass-the-Hash & Credential Reuse: 
    Wiederverwendete oder speicherbare Zugangsdaten
  • Kerberos-Missbrauch: 
    Kerberoasting, AS-REP Roasting, Overpass-the-Hash
  • Netzwerkfreigaben & Schwachstellen: 
    Unkontrollierter Zugriff auf interne Ressourcen
  • Protokollanalyse: 
    Unsichere Protokolle wie SMBv1, NTLMv1, LDAP ohne TLS

In kaum einer Umgebung greifen Berechtigungen, Gruppenrichtlinien und Rollen so stark ineinander wie in einem Active Directory. Genau deshalb reicht es nicht aus, nur einzelne Systeme zu prüfen. Es braucht ein strukturiertes Vorgehen, das Beziehungen, Seiteneffekte und potenzielle Angriffspfade ganzheitlich berücksichtigt. 

Unser Vorgehen ist gezielt, nachvollziehbar und sicher: 

Scoping & Vorbereitung 

  • Klare Abgrenzung der Testumgebung
  • Gemeinsame Definition von Benutzerrollen & Sichtbarkeit 

Initialer Zugriff & Enumeration 

  • Nutzung eines Standardbenutzer-Accounts
  • Sammlung von Informationen: Benutzer, Gruppen, Systeme, Policies 

Angriffswege identifizieren 

  • Berechnung möglicher Wege zu höheren Rechten (mit BloodHound)
  • Identifikation schwacher Konfigurationen und Zugriffsrechte 

Ausnutzung (kontrolliert) 

  • Nachvollziehbare Angriffssimulation auf Schwachstellen (z. B. Privilege Escalation, Pass-the-Hash)
  • Kein Schaden: keine Veränderungen am Systemzustand 

Bericht & Abschluss 

  • Executive Summary
  • Technischer Bericht inkl. Risikoeinstufung (CVSS)
  • Empfehlungen für Sofortmaßnahmen & nachhaltige Verbesserungen
  • Auf Wunsch: Gemeinsames Abschlussgespräch & Nachtest zur Bestätigung geschlossener Lücken