Was Ist Active Directory Passwortsicherheit?
Die Passwortsicherheit in Active Directory umfasst die Richtlinien, Einstellungen und Kontokonfigurationen, die regeln, wie Anmeldedaten im Domäne erstellt, gespeichert und validiert werden. Wenn diese Kontrollen falsch konfiguriert sind, werden sie zu zuverlässigen Einstiegspunkten für Angreifer — ohne Exploits, ohne Zero-Days, nur mit einem schwachen Passwort oder einem im Beschreibungsfeld hinterlassenen Klartext-Credential.
Passwort-Fehlkonfigurationen sind besonders gefährlich, weil sie still sind. Es wird keine Warnung ausgelöst, wenn ein Passwort nie abläuft. Es wird kein Log-Eintrag erstellt, wenn WDigest aktiviert ist. Angreifer zählen diese Bedingungen lautlos auf und nutzen sie, um Fuß zu fassen, Privilegien zu eskalieren und dauerhaft zu persistieren.
Dieser Artikel behandelt die sechs kritischsten passwortbezogenen Fehlkonfigurationen in Active Directory-Umgebungen.
Wie Es Funktioniert
Active Directory erzwingt Passwortkontrollen über zwei Mechanismen: die Standard-Domänen-Passwortrichtlinie (über GPO auf alle Benutzer angewendet) und Fine-Grained Password Policies (FGPP) (über Password Settings Objects auf bestimmte Benutzer oder Gruppen angewendet).
Wenn keines davon richtig konfiguriert ist, ist das Ergebnis eine Domäne, in der Passwörter schwach, alt oder in einigen Fällen völlig absent sind. Kombiniert mit Legacy-Authentifizierungsprotokollen wie NTLMv1 und WDigest entsteht eine Credential-Angriffsfläche, die mit frei verfügbaren Tools trivial ausnutzbar ist.
Die Angriffskette
Schritt 1 - Schwache Konten Aufzählen
Jeder authentifizierte Domänenbenutzer kann AD nach Konten mit schwachen Passworteinstellungen abfragen:
# Konten mit Passwörtern die nie ablaufen
Get-ADUser -Filter {PasswordNeverExpires -eq $true} -Properties PasswordNeverExpires, PasswordLastSet |
Select-Object SamAccountName, PasswordLastSet | Sort-Object PasswordLastSet
# Konten ohne erforderliches Passwort
Get-ADUser -Filter {PasswordNotRequired -eq $true} -Properties PasswordNotRequired |
Select-Object SamAccountName
# Konten mit Passwort im Beschreibungsfeld
Get-ADUser -Filter * -Properties Description |
Where-Object {$_.Description -match "pass|pwd|kennwort|passwort"} |
Select-Object SamAccountName, Description
Schritt 2 - Legacy-Protokoll-Exposition prüfen
# WDigest prüfen (erzwingt Klartext-Credential-Caching in LSASS)
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential
# NTLMv1 prüfen
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LmCompatibilityLevel
# Wert 0-2 bedeutet NTLMv1 ist erlaubt — sollte 5 sein (nur NTLMv2)
Schritt 3 - Harvesting und Cracking
Mit aktiviertem WDigest erhält jeder Angreifer, der LSASS erreicht (über Mimikatz), direkt Klartext-Passwörter:
# Mimikatz — Klartext-Credentials bei aktiviertem WDigest
sekurlsa::wdigest
# Hashcat — NTLM-Hash-Spray
hashcat -m 1000 ntlm_hashes.txt /usr/share/wordlists/rockyou.txt
Schritt 4 - Persistenz durch Nie-Ablaufende Konten
Konten mit PasswordNeverExpires sind langfristige Persistenz-Ziele. Einmal kompromittiert, überlebt der Angreifer-Zugang unbegrenzt.
Erkennung
Windows Event IDs
| Event ID | Quelle | Worauf zu achten |
|---|---|---|
| 4723 | DC - Security | Passwortänderungsversuch auf sensiblen Konten |
| 4724 | DC - Security | Admin-Passwort-Reset — unerwartete Resets auf privilegierten Konten |
| 4738 | DC - Security | Konto geändert — PasswordNeverExpires Flag geändert |
| 4771 | DC - Security | Kerberos Pre-Auth fehlgeschlagen — wiederholte Fehler können Spraying anzeigen |
SIEM-Erkennungsabfrage (Elastic KQL)
event.code: "4624" AND
winlog.event_data.LmPackageName: "NTLM V1"
Behebung
💡 Schnelle Massnahme: Überprüfen Sie alle Konten mit
PasswordNeverExpiresundPasswordNotRequirednoch heute. Das sind einfache Gewinne — keine Infrastrukturänderung erforderlich.
1. Starke Domänen-Passwortrichtlinie Erzwingen
Set-ADDefaultDomainPasswordPolicy -Identity corp.local `
-MinPasswordLength 14 `
-ComplexityEnabled $true `
-MaxPasswordAge (New-TimeSpan -Days 90) `
-PasswordHistoryCount 24
2. Nie-Ablaufende Passwörter Korrigieren
Get-ADUser -Filter {PasswordNeverExpires -eq $true -and Enabled -eq $true} |
Set-ADUser -PasswordNeverExpires $false
3. Konten ohne Erforderliches Passwort Korrigieren
Get-ADUser -Filter {PasswordNotRequired -eq $true} | ForEach-Object {
Set-ADAccountControl -Identity $_ -PasswordNotRequired $false
}
4. Passwörter aus Beschreibungsfeldern Entfernen
Get-ADUser -Filter * -Properties Description |
Where-Object {$_.Description -match "pass|pwd|kennwort"} | ForEach-Object {
Set-ADUser -Identity $_ -Description ""
}
5. WDigest Deaktivieren
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" `
-Name UseLogonCredential -Value 0
6. Nur NTLMv2 Erzwingen
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
-Name LmCompatibilityLevel -Value 5
So Erkennt EtcSec Dies
EtcSec prüft alle passwortbezogenen Kontrollen in Ihrer Active Directory-Umgebung automatisch.
PASSWORD_NEVER_EXPIRES kennzeichnet alle aktiven Konten mit nie ablaufenden Passwörtern, priorisiert nach Konto-Sensibilität.
PASSWORD_POLICY_WEAK bewertet Ihre Standard-Domänen-Passwortrichtlinie — Mindestlänge, Komplexität, Verlauf und maximales Alter.
PASSWORD_NOT_REQUIRED identifiziert Konten mit gesetztem PASSWD_NOTREQD Flag.
PASSWORD_IN_DESCRIPTION scannt alle AD-Objektbeschreibungen nach credential-ähnlichen Strings.
WDIGEST_ENABLED prüft Registry-Einstellungen auf Domain Controllern für WDigest-Klartext-Credential-Speicherung.
NTLMV1_ALLOWED verifiziert, dass LAN-Manager-Authentifizierung NTLMv1-Antworten domänenweit ablehnt.
ℹ️ Hinweis: EtcSec prüft all dies automatisch bei jedem AD-Audit. Starten Sie ein kostenloses Audit, um Ihre vollständige Passwort-Sicherheitslage zu sehen.
Verwandte Beiträge
Dieses Thema sollte immer gemeinsam mit Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken, Veraltete und Überprivilegierte Konten in AD und Active Directory Sicherheitsüberwachung: Die Events die Wirklich Zählen bewertet werden. Diese Beiträge decken die benachbarten Angriffspfade, die zugrunde liegenden Privilegannahmen und die Kontrolllücken ab, die in realen Identity-Bewertungen meist in derselben Kette auftauchen.
- Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken
- Veraltete und Überprivilegierte Konten in AD
- Active Directory Sicherheitsüberwachung: Die Events die Wirklich Zählen
So prüfen Sie nicht nur ein einzelnes Symptom, sondern ob Sie eine zusammenhängende Angriffskette im Verzeichnis- und Cloud-Identity-Umfeld wirklich schließen.
Prufprioritaten
AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben sollte als reale Exposition in Ihre Active-Directory-Umgebung behandelt werden und nicht als einzelner isolierter Fehler. Zuerst muss der tatsachliche Prufumfang definiert werden: welche privilegierte Gruppen, Dienstkonten, ACLs, GPO-Verknupfungen, Trusts, Delegationen, Zertifikatvorlagen und Admin-Workstations betroffen sind, welche Geschaftsprozesse davon abhangen, welche Privilegien freigelegt werden und welche Notfallausnahmen sich mit der Zeit angesammelt haben. Diese Einordnung verhindert oberflachliche Remediation, weil das technische Symptom oft kleiner ist als der operative Blast Radius. Wenn der gesamte Pfad von Konfiguration uber Berechtigung bis zur Nutzung dokumentiert ist, kann das Team Anderungen priorisieren, die Risiko schnell reduzieren, ohne den Betrieb zu blockieren.
Benachbarte Kontrollen Mitprufen
Sobald Angreifer in Ihre Active-Directory-Umgebung angekommen sind, bleiben sie selten beim ersten Schwachpunkt stehen. Rund um AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben testen sie meist, ob sich der Zugang mit veraltete privilegierte Konten, gefahrliche Gruppenverschachtelung, ubermassige Delegation, schwache Passwortrichtlinien und geerbter ACL-Missbrauch verketten lasst. Deshalb muss die Verteidigung nicht nur die Hauptschwache, sondern auch jede benachbarte Abhangigkeit prufen, die initialen Zugriff in Persistenz oder Eskalation verwandeln kann. Klarheit uber Identitaten, Rollen, Rechte und Vertrauensannahmen ist hier entscheidend. Wenn ein Fix nur ein einzelnes Objekt schliesst, wahrend benachbarte Privilegpfade offen bleiben, verandert sich das reale Risiko kaum. Eine saubere Kettenanalyse ist daher zentral fur eine belastbare Härtung.
Belege und Telemetrie sammeln
Eine belastbare Reaktion auf AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben braucht Belege, die Technik, Detection und Governance gemeinsam auswerten konnen. Ziehen Sie Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, SYSVOL-Anderungen und Zertifikatsaktivitat, vergleichen Sie frische Anderungen mit geplanten Wartungsfenstern und isolieren Sie Konten oder Objekte mit Verhalten ohne klare Geschaftsbegrundung. Diese Belege sollten drei Fragen beantworten: wann die Exposition entstanden ist, wer sie noch nutzen kann, und ob gleichartige Pfade an anderer Stelle in Ihre Active-Directory-Umgebung existieren. Gute Telemetrie trennt ausserdem alte technische Schuld von aktiv ausnutzbarem Verhalten. Diese Trennung ist wichtig, weil die Remediation fur Altlasten anders gesteuert wird als fur eine Schwache mit deutlichen Missbrauchssignalen.
Benachbarte Schwachen mitprufen
Kaum eine Umgebung enthalt AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben allein. In der Praxis finden sich in derselben Tenant- oder AD-Zone oft auch veraltete privilegierte Konten, gefahrliche Gruppenverschachtelung, ubermassige Delegation, schwache Passwortrichtlinien und geerbter ACL-Missbrauch, und genau diese Nachbarschwachen entscheiden, ob der Pfad nur unsauber oder wirklich kritisch ist. Prufen Sie gemeinsame Owner, geerbte Rechte, doppelte Ausnahmen und administrative Abkurzungen, die nie zuruckgebaut wurden. Wenn dieselbe risikoreiche Entscheidung an mehreren Stellen auftaucht, liegt meist ein Prozessproblem und nicht nur ein Einzelfehler vor. Diese erweiterte Sicht verbessert die Chance, den gesamten Angriffspfad zu entfernen statt nur eine sichtbare Stelle zu glatten.
Remediation in sinnvoller Reihenfolge
Bei AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben sollte die Remediation zuerst dort ansetzen, wo Risiko am schnellsten sinkt. Entfernen Sie zunachst die Pfade mit dem hochsten Eskalationswert, harten Sie danach die wichtigsten Identitaten oder Objekte, und bereinigen Sie erst anschliessend sekundare Hygieneprobleme. Nutzen Sie Tiering, Delegationsbereinigung, ACL-Review, Hygiene fur Dienstkonten, GPO-Berechtigungsprufung und ADCS-Hardening als Zielbild. Jede Anderung braucht einen Verantwortlichen, eine Rollback-Notiz und einen klaren Validierungsschritt. So verhindert man, dass ein Verbesserungsprojekt nach dem ersten technischen Erfolg stehen bleibt. Wenn ein kompletter Umbau heute nicht realistisch ist, definieren Sie Zwischenkontrollen und planen Sie die strukturelle Arbeit in den nachsten wochentliche Privilegienprufung und monatliche Kontrollvalidierung.
Validierung nach jeder Anderung
Nach jeder Anderung rund um AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben muss das Ergebnis sowohl aus Admin-Sicht als auch aus Angreifer-Sicht validiert werden. Bestatigen Sie, dass legitime Nutzer und Systeme weiter funktionieren, und zeigen Sie zugleich, dass der gefahrliche Pfad nicht mehr dieselbe Wirkung hat. Wiederholen Sie die Sammlung auf Basis von Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, SYSVOL-Anderungen und Zertifikatsaktivitat, prufen Sie Genehmigungen und stellen Sie sicher, dass kein Nachbarobjekt denselben Umgehungsweg offenhalt. Gute Validierung enthalt ausserdem schriftliche Erfolgskriterien. In reifen Teams gilt ein Fix erst dann als abgeschlossen, wenn der Risikopfad geschlossen, der Betrieb intakt und der neue Zustand mit dem gewunschten Härtungsziel deckungsgleich ist.
Ownership, Eskalation und Governance
Themen wie AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben scheitern, wenn das technische Symptom verschwindet, aber niemand die dauerhafte Kontrolle ubernimmt. Verteilen Sie klare Verantwortung uber Directory Engineering, SOC-Analysten, Identity-Admins und Server-Verantwortliche, definieren Sie Ausnahmeregeln und legen Sie fest, welche Rolle einen risikoreichen Re-Import oder eine Lockerung freigeben darf. Diese Governance ist nicht Selbstzweck. Sie verhindert, dass Migrationen, Notfallanderungen oder Drittanbieter-Integrationen denselben Pfad in wenigen Wochen erneut offnen. Dokumentieren Sie daher, welche Entscheidungen die Schwache moglich gemacht haben, und aktualisieren Sie den Prozess so, dass neue Anfragen gegen die neue Baseline gepruft werden statt gegen alte Abkurzungen.
Fragen fur die Review-Runde
In Review-Terminen zu AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben helfen konkrete Fragen mehr als allgemeine Aussagen. Welche Objekte haben mehr Rechte als notig? Welche Ausnahme lebt nur weiter, weil nach Projektende niemand mehr zuruckgeschaut hat? Welches Team wurde einen Missbrauch zuerst erkennen, und auf welche Belege wurde es sich stutzen? Welche Geschaftsabhangigkeit blockiert die Korrektur heute, und welcher Kompensationskontroll existiert bis dahin? Solche Fragen decken operative Unklarheiten auf, die aus reinen Konfigurationslisten nicht sichtbar werden. Gleichzeitig verbinden sie Identitatsdesign, Logging-Qualitat, Ownership und Change Management in einer gemeinsamen Bewertung.
Erwartung an kontinuierliche Uberwachung
Eine einmalige Bereinigung rund um AD-Passwortsicherheit: Fehlkonfigurationen die Angreifer Lieben liefert weniger versteckte Eskalationspfade, klarere Verantwortlichkeit und bessere Trennung zwischen Betrieb und Privilegien nur dann, wenn Monitoring dauerhaft etabliert wird. Verankern Sie wiederkehrende Prufungen auf Basis von Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, SYSVOL-Anderungen und Zertifikatsaktivitat, sehen Sie sich die sensibelsten Objekte im nachsten wochentliche Privilegienprufung und monatliche Kontrollvalidierung erneut an und behandeln Sie Drift wie ein Sicherheitsereignis. Ziel ist nicht mehr Larm, sondern bessere Erkennung relevanter Anderungen: neue privilegierte Rollen, entspannte Kontrollen, reaktivierte Konten, breitere Ausnahmen oder Owner-Wechsel ohne saubere Ubergabe. Wenn diese Signale regelmassig gepruft werden, wird die Umgebung gleichzeitig sicherer und besser gegenuber Auditoren oder Management erklarbar.
Verwandte Beitrage
Dieses Thema sollte immer zusammen mit Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken, Veraltete und Überprivilegierte Konten in AD, AD Sicherheitsüberwachung: Event IDs und SIEM, NTLM-Relay-Angriffe: Erkennung und Prävention und AD Gruppenverschachtelung: Versteckte DA-Pfade gelesen werden. Zusammen zeigen diese Beitrage, wie sich dieselben Identitats- und Berechtigungsfehler in realen Assessments gegenseitig verstarken.
- Kerberoasting: Wie Angreifer Dienstkonto-Passwörter Knacken
- Veraltete und Überprivilegierte Konten in AD
- AD Sicherheitsüberwachung: Event IDs und SIEM
- NTLM-Relay-Angriffe: Erkennung und Prävention
- AD Gruppenverschachtelung: Versteckte DA-Pfade
Diese internen Verweise helfen dabei, nicht nur einen einzelnen Befund, sondern den gesamten Risikopfad zu bewerten.
