In Red-Teaming Reports und Incident Response Einsätzen tauchen oft die selben Schwachstellen auf. Wer sie behebt, schliesst einige der beliebtesten Angriffswege. Betreiben Sie Active Directory on‑prem oder Microsoft Entra ID (ehemals Azure AD) in der Cloud? Dann trägt diese Checkliste zur effizienten Risikosenkung bei.
Zu viele permanente Admins
Gruppen wie Domain Admin, Enterprise Admin, Global Admin und Privileged Role Admin enthalten viele Accounts, die keinen 24×7‑Zugriff brauchen. Alte Projekte enden, Personen wechseln die Rolle, Service‑Konten werden „temporär“ hinzugefügt … und nie wieder entfernt. Ein einziger gephishter oder per Password‑Spray erratener Account reicht, um die ganze Umgebung zu übernehmen.
- Blast‑Radius verkleinern: Gruppenmitgliedschaften prüfen und alles rauswerfen, was keinen aktuellen Business‑Need hat.
- Just‑in‑Time statt Dauer‑Admin: Rollen über Privileged Identity Management (PIM) nur bei Bedarf mit Genehmigung und Ablauf aktivieren.
- Monatlich prüfen: Automatisierten Report einrichten und als festen Agenda‑Punkt ins Change‑Board aufnehmen.
Alte & schwache Authentifizierungsverfahren
On‑prem sind NTLMv1, LM‑Hashes, ungesicherte LDAP‑Verbindungen, deaktiviertes SMB‑Signing unerwünschte Überbleibsel aus Windows‑2000‑Zeiten. In der Cloud sind Basic Auth für POP/IMAP/SMTP in Exchange Online oder alte Office‑Clients die MFA und Conditional Access umgehen vorhanden. Laut Microsoft erfolgen 99 % aller erfolgreichen Password‑Sprays über Legacy‑Protokolle, die nie MFA triggern.
- Basic Auth in Entra ID blockieren: Security Defaults oder eine Conditional‑Access‑Regel aktivieren.
- NTLMv1 abschalten & SMB‑Signing erzwingen: Per GPO ausrollen; Domain‑Controller auf NTLM‑Fallback monitoren.
- Phishing‑resistente MFA überall: FIDO2, Windows Hello for Business oder Smartcards einsetzen.
Unkontrollierte Service‑ & Anwendungs‑Identitäten
Verwaiste Service‑Accounts On‑prem mit unveränderten Passwörtern seit Jahren – meist von MFA ausgenommen. Entra‑ID‑Enterprise‑Apps mit Mandantenrechten wie Mail.ReadWrite oder Directory.Read.All. Entra Connect wird nicht als Tier‑0‑Asset behandelt, obwohl sein MSOL_‑Konto DCSync‑Rechte besitzt. Unspektakuläre Konten haben oft hohe Rechte + wenig Monitoring – perfekte Hintertüren. Eine Kompromittierung von Entra Connect verbindet Cloud und On‑prem sofort.
- Inventarisieren und rotieren: Alle Service‑Principals & Service‑Accounts erfassen, möglichst auf Managed Identities umstellen.
- Graph‑Berechtigungen einschränken: Application‑Access‑Policies oder Resource‑Specific Consent nutzen.
- Hybrid‑Connectoren als Tier 0 schützen: Entra‑Connect‑Hosts wie Domain‑Controller behandeln und ihre Credentials in einem Vault sichern.
Fazit
Identitäten bleiben eine primäre Angriffsfläche. Wenn Sie diese Fehlkonfigurationen beheben, entziehen Sie Angreifern wichtige Abkürzungen und zwingen sie zu deutlich höherem Aufwand – oft hoch genug, um sich leichtere Ziele zu suchen.
