Finden Sie Active-Directory-Angriffspfade, bevor es ein Angreifer tut
EtcSec führt 340 benannte Erkennungen in 14 Active-Directory-Kategorien aus. Die Abdeckung orientiert sich an den Kontrollfehlern, die in realen Angriffsketten immer wieder auftauchen: Kerberos-Missbrauch, Tier-0-Drift, Übernahmepfade über ACLs, unsichere GPO-Einstellungen, Trust-Exposition und Eskalation über ADCS-Zertifikate.
Die Sammlung bleibt read-only. ETC Collector fragt LDAP oder LDAPS ab, liest SYSVOL per SMB für die GPO-Analyse und kann optionale Netzwerkprobes für sensible Oberflächen wie Spooler oder schwache TLS-Stacks ergänzen. Auf Domain Controllern werden keine Agents installiert und keine AD-Objekte verändert.
Das Audit benennt die konkreten Findings hinter dem Risiko: PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_NEVER_EXPIRES, ADMIN_ASREP_ROASTABLE, KERBEROASTING_RISK, GOLDEN_TICKET_RISK, WEAK_ENCRYPTION_DES sowie Delegation Findings auf Benutzern und Computern.
Statt eines einzigen Privileged-Accounts-Blocks trennt die Plattform veraltete Admins, verwaiste adminCount-Flags, Servicekonten in sensiblen Gruppen, Foreign Security Principals und Protected-Users-Lücken.
ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ACL_SELF_MEMBERSHIP, WRITESPN_ABUSE und verwandte ACE-Muster werden als einzelne Findings ausgegeben, damit ersichtlich ist, welches Objekt, welcher Trustee und warum die Berechtigung relevant ist.
Die Pro-Ebene ergänzt ESC1 bis ESC11, drei graphbasierte Attack-Path-Detektoren und Mappings für CIS, NIST SP 800-53, ANSSI und DISA STIG. Das ist entscheidend, wenn ein Audit Eskalationspfade und nicht nur Hygiene erklären soll.
Die 14 Kategorien entsprechen realen Kompromittierungspfaden in AD
Der Katalog ist breit, aber nicht beliebig. Jede Kategorie schließt einen konkreten blinden Fleck in der Angriffskette, von schwachen Passwörtern und Kerberos bis hin zu ADCS-Zertifikaten und Monitoring-Lücken.
Privilegierte Konten und Tier 0
33 Erkennungen zu veralteten Admins, Servicekonten in privilegierten Gruppen, SID-History-Missbrauch, Shadow Credentials, Protected-Users-Lücken und Foreign Security Principals.
Kerberos und Delegation
14 Erkennungen zu AS-REP Roasting, Kerberoasting, constrained und unconstrained Delegation, krbtgt-Alter, RC4- und DES-Downgrade-Bedingungen sowie unbekannten Delegationszielen.
Passwörter und Authentifizierung
10 Erkennungen für Klartextspeicherung, reversible Verschlüsselung, Passwortalter und Konten, bei denen Benutzer ihre Passwörter nicht selbst rotieren können.
GPO und Windows-Hardening
33 Erkennungen für Passwörter in SYSVOL, WDigest, Zerologon, PrintNightmare, UNC-Hardening, LSA-Schutz, Firewall und Privilege-Abuse.
ADCS-Zertifikateskalation
11 Erkennungen, die die ESC1-ESC11-Taxonomie abdecken: verwundbare Templates, CA-ACLs, permissive SAN-Konfiguration, schwache Mappings und relay-fähige HTTP- oder RPC-Flächen.
Berechtigungen, Trusts, Monitoring, Netzwerk und Compliance
ACL-Analyse, Trust-Grenzen, Audit-Policy-Qualität, LDAP- oder SMB-Signing, DNS-Sicherheit und Compliance-Mappings im selben Workflow.
Warum Security-Teams EtcSec für wiederkehrende AD-Reviews einsetzen
Viele AD-Tools sind immer noch auf einen einmaligen HTML-Report optimiert. EtcSec ist für wiederholte Ausführung, konkrete Remediation-Listen und ein operativ vertretbares Sammlungsmodell gebaut.
Schreibgeschützte Sammlung
ETC Collector authentifiziert sich mit einem read-only Verzeichniskonto und SMB-Lesezugriff auf SYSVOL. Er verändert weder Benutzer, Gruppen, GPOs noch PKI-Objekte.
Schnell genug für operative Zyklen
Die veröffentlichte Domäne mit 546 Benutzern, 100 Computern und 154 Gruppen war mit aktivierten Netzwerkprobes in 6,58 Sekunden fertig. Kleine und mittlere Umgebungen können daher nach Rollenänderungen oder Wartungsfenstern erneut auditiert werden.
Benannte Findings statt einer opaken Zahl
Operatoren erhalten konkrete Findings mit Severity und Objektkontext. Das ist entscheidend, wenn der nächste Schritt darin besteht, Arbeit an IAM, Windows, PKI oder Applikationsteams zu verteilen.
Ein Workflow für Standalone und SaaS
Derselbe Collector kann lokal im Standalone-Server-Modus laufen oder als Daemon in EtcSec eingebunden werden, um historisches Tracking und Multi-Site-Orchestrierung bereitzustellen.
Was ein vollständiges Active-Directory-Audit Operatoren erklären sollte
Eine Landing Page zu AD-Sicherheit ist nur dann nützlich, wenn sie erklärt, wie Daten gesammelt werden, welche Kategorien wirklich zählen und wie Findings mit Remediation und Governance zusammenhängen. Die folgenden Abschnitte stützen sich auf den veröffentlichten Katalog und die Collector-Dokumentation.
Sammlungsmodell, Belegquellen und Laufzeiterwartung
Das Active-Directory-Audit beginnt mit paralleler LDAP-Sammlung von Benutzern, Gruppen, Computern, OUs, Domaineinstellungen, Trust-Beziehungen und Security Descriptors. Die GPO-Analyse liest SYSVOL per SMB, um registry.pol, GptTmpl.inf und referenzierte Skripte zu parsen. Falls Azure- oder Entra-Daten konfiguriert sind, bleiben sie in einem separaten Fluss und verändern den AD-Sammlungspfad nicht.
Der zentrale operative Punkt ist, dass nichts auf Domain Controllern installiert werden muss. Der Workflow besteht aus Sammlung, Parsing, Analyse, Graph-Aufbau und Rückgabe. Dadurch bleibt die Beweiskette in internen Reviews erklärbar: Man kann genau benennen, welches Protokoll verwendet wurde, welche Objektklasse abgefragt wurde und warum ein Finding entstanden ist.
Die 14 Kategorien und was jede davon belegt
| Kategorie | Kontrollen | Was der Operator daraus ableiten kann |
|---|---|---|
| Password | 10 | Ob Kontokonfigurationen bereits Klartext-, reversible, veraltete oder schlecht verwaltete Passwörter offenlegen. |
| Kerberos | 14 | Ob Ticketing, Pre-Auth, Delegation oder Verschlüsselung Roasting-, Downgrade- oder Impersonation-Pfade öffnen. |
| Accounts | 33 | Ob privilegierte und Servicekonten in Zustände abgedriftet sind, die Persistenz oder Übernahme erleichtern. |
| Groups | 15 | Ob sensible Gruppenmitgliedschaften Macht konzentrieren oder verbergen. |
| Computers | 31 | Ob Workstations und Server Oberflächen für laterale Bewegung oder missbrauchbare Delegation offenlassen. |
| Advanced | 50 | Ob LDAP- oder SMB-Signing, DCSync-Rechte, Quotas oder AdminSDHolder tiefere Angriffe ermöglichen. |
| Permissions | 21 | Ob ACLs genug Kontrolle geben, um Passwörter zurückzusetzen, SPNs zu ändern oder DACLs umzuschreiben. |
| ADCS | 11 | Ob die Zertifikatsinfrastruktur ESC-artigen Missbrauch und zertifikatsbasierte Eskalation erlaubt. |
| GPO | 33 | Ob die Richtlinienverteilung im Domänenkontext Passwörter leakt oder kritische Windows-Schutzmechanismen deaktiviert. |
| Trusts | 7 | Ob Trust-Grenzen SID Filtering, Selective Authentication oder moderne Kerberos-Schutzmaßnahmen vermissen lassen. |
| Attack Paths | 3 | Ob die Graph-Analyse explizite Eskalationsrouten zu Domain Admin zeigen kann. |
| Monitoring | 9 | Ob die Audit-Policy stark genug für Detection und Incident Response ist. |
| Compliance | 23 | Ob dieselben Findings als Nachweis für CIS, NIST, ANSSI oder DISA nutzbar sind. |
| Network | 15 | Ob LDAP, SMB, DNS und zugehörige Netzwerkeinstellungen noch Relay oder schwache Transporte offenlassen. |
Die Erkennungsfamilien, die Remediation wirklich treiben
Credential-Exposition und schwache Passwortverwaltung
Die Kategorie Password benennt genau die Probleme, die Helpdesk und IAM-Teams beheben müssen: PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_CLEARTEXT_STORAGE, UNIX_USER_PASSWORD, PASSWORD_IN_DESCRIPTION und PASSWORD_VERY_OLD.
- Trennt Kontokonfiguration von Policy-Schwäche.
- Erkennt riskante Beschreibungen und Unix-Attribute, nicht nur UAC-Flags.
- Liefert objektbezogene Listen statt nur einen Kategoriescore.
Kerberos-Missbrauchspfade
ADMIN_ASREP_ROASTABLE, ASREP_ROASTING_RISK, GOLDEN_TICKET_RISK, UNCONSTRAINED_DELEGATION, KERBEROASTING_RISK, KERBEROS_AES_DISABLED und DELEGATION_UNKNOWN_TARGET erklären, warum eine Umgebung ausnutzbar ist, nicht nur dass Kerberos „schwach“ ist.
- Hebt privilegierte AS-REP-Fälle separat hervor.
- Deckt sowohl Verschlüsselungs-Downgrade als auch Delegationsfehler ab.
- Macht krbtgt-Hygiene als Persistenzrisiko sichtbar.
Tier-0-Drift und Servicekonten
Privilegienexposition verteilt sich auf SERVICE_ACCOUNT_PRIVILEGED, SERVICE_ACCOUNT_INTERACTIVE, ADMIN_COUNT_ORPHANED, PRIVILEGED_ACCOUNT_STALE, NOT_IN_PROTECTED_USERS und FOREIGN_SECURITY_PRINCIPALS.
- Hilfreich, wenn Ownership zwischen IAM, Messaging und Applikationsteams verteilt ist.
- Hilft beim Abbau von Restprivilegien und nicht nur bei deren Entdeckung.
- Macht oft vergessene Operator-Gruppen und Built-ins sichtbar.
Übernahme über ACLs und DCSync-Bedingungen
Die Permission-Findings zeigen GenericAll, WriteDACL, WriteOwner, Self-Membership, ForceChangePassword und Replikationsrechte außerhalb normaler DC-Konten einschließlich verantwortlichem Objekt und Trustee.
- Die Ausgabe dient der Remediation und nicht nur einem Angriffsgraphen.
- DCSync-fähige Identitäten sind direkt sichtbar.
- WriteSPN und Passwort-Resets werden getrennt geführt, weil ihr Missbrauch unterschiedlich aussieht.
GPO und Windows-Hardening
GPO_PASSWORD_IN_SYSVOL, HARDENED_UNC_PATHS_WEAK, WDIGEST_ENABLED, LSA_PROTECTION_DISABLED, ZEROLOGON_PATCH_ENFORCEMENT, PRINTNIGHTMARE_VULNERABLE und Privilege-Abuse verbinden Identitätssicherheit mit Windows-Hardening.
- Wichtig, wenn AD-Risiko in Policies und nicht nur in Identitätsobjekten steckt.
- Deckt Credential-Exfiltration ebenso wie großflächige Execution-Flächen ab.
- Lässt sich gut an Endpoint- oder Server-Owner zuweisen.
Zertifikateskalation und Graph-Analyse
ADCS-Findings wie ESC1_VULNERABLE_TEMPLATE, ESC4_VULNERABLE_TEMPLATE_ACL, ESC8_HTTP_ENROLLMENT und ESC10_WEAK_CERTIFICATE_MAPPING ergänzen die drei Attack-Path-Findings, die Eskalation über den Graph modellieren.
- Hilfreich in Umgebungen, in denen PKI bereits kritisch ist.
- Zeigt, wo Zertifikatsinfrastruktur Privilegien erzeugt.
- Verbindet rohe Findings mit einer Pfaderklärung.
Die Severity-Verteilung ist wichtig, weil Remediation teamübergreifend ist
Der Katalog gewichtet kritische Findings mit 10, hohe mit 3, mittlere mit 1 und niedrige mit 0,2. Das ist für Scoring nützlich, aber das operative Ergebnis ist die Verteilung: einige wenige kritische Themen erfordern oft sofortige Eindämmung, während High und Medium den Hardening-Backlog definieren.
In der Praxis liegt Remediation fast nie nur bei einem Team. IAM bearbeitet privilegierte Gruppen und Passwortrichtlinien, Windows Engineering besitzt GPO-Hardening und Endpoints, PKI bearbeitet den ADCS-Backlog und Governance fokussiert sich auf Compliance-Mappings. Das Audit muss Findings deshalb zuweisbar aufteilen.
- Nutzen Sie Critical für sofortige Eindämmung oder dringendes Hardening.
- Gruppieren Sie High nach Verantwortlichem: IAM, Windows, PKI oder Infrastruktur.
- Nutzen Sie Medium für wiederkehrende Backlogs und quartalsweise Reviews.
- Halten Sie Low sichtbar, ohne dass diese Themen echte Privilegpfade überdecken.
Wo der Open-Source-Collector endet und wo EtcSec mehr liefert
Der Collector ist die Evidence Engine. Er kümmert sich um Sammlung, Parsing, Erkennung, optionale Graph-Analyse und JSON-Ausgabe. Im Standalone-Server-Modus kann alles in Ihrer Infrastruktur bleiben, inklusive lokaler GUI und REST API auf Port 8443. Im Daemon-Modus wird dasselbe Binary in die SaaS-Plattform eingebunden, pollt Kommandos alle 30 Sekunden und hält AD-Sammlung lokal.
EtcSec baut darüber Dashboards, historisches Trending, Multi-Site-Orchestrierung und Remediation-Workflow. Das ist sowohl für SEO als auch für Kaufentscheidungen wichtig: Die Seite verspricht keine abstrakte Black Box, sondern eine präzise Collection Engine mit optionaler Operating Layer.
Häufige Fragen
Was deckt das Active-Directory-Audit genau ab?
Der veröffentlichte Katalog listet 340 Erkennungen in 14 Kategorien auf: Password (11), Kerberos (14), Accounts (34), Groups (17), Computers (33), Advanced (50), Permissions (21), ADCS (11), GPO (34), Trusts (7), Attack Paths (3), Monitoring (9), Compliance (81) und Network (15).
Diese Zusammensetzung ist wichtig, weil sie sowohl Identitätsobjekte als auch Windows-Kontrollen rund um Identität abdeckt.
Benötigt das Audit erhöhte Rechte oder einen Agent auf Domain Controllern?
Nein. Das dokumentierte Modell basiert auf read-only LDAP oder LDAPS und SMB-Lesezugriff auf SYSVOL. Auf Domain Controllern wird kein Agent installiert und der Collector verändert das Verzeichnis nicht.
Wie schnell erhält man einen verwertbaren Bericht?
Der veröffentlichte Benchmark auf einer Domäne mit 546 Benutzern, 100 Computern und 154 Gruppen endete mit aktivierten Netzwerkprobes nach 6,58 Sekunden. Damit sind wiederkehrende Reviews nach wichtigen Änderungen realistisch und nicht nur jährliche Audits.
Wie vergleicht sich EtcSec mit PingCastle bei AD-Reviews?
Die Vergleichsdokumentation zeigt ETC Collector mit 59 von 61 PingCastle-Regeln und 876 von 896 Risikopunkten und ergänzt ADCS-ESC-Analyse, Attack-Graphen, Entra-ID-Abdeckung und Compliance-Mappings, die PingCastle nicht anbietet.
Verwandte Seiten zur Identity Security
Sehen Sie, wie derselbe Collector Conditional Access, MFA, PIM, App-Berechtigungen und Guest-Governance in Entra ID prüft.
Prüfen Sie die benannten Erkennungen und Kategorien, die die AD- und Entra-Seiten speisen.
Verstehen Sie Standalone-Modus, Daemon, lokale GUI, REST API und den Open-Source-Footprint.
Vergleichen Sie den Open-Source-Collector mit der SaaS-Layer für Dashboards, Scheduling und Nachverfolgung.
Starten Sie Ihr Active-Directory-Sicherheitsaudit
Deployen Sie den Collector, führen Sie das Audit mit schreibgeschützten Credentials aus und erhalten Sie ein Findings-Set, das IAM-, Windows-, PKI- und Governance-Teams tatsächlich umsetzen können.