ANSSI Active Directory Leitfaden: So setzen Sie die Sicherheitsempfehlungen praktisch um

Der Suchcluster anssi active directory leitfaden führt oft zu einer falschen Erwartung: Es gibt kein einzelnes ANSSI-PDF, das für sich allein ausreicht, um Active Directory „konform“ zu machen. Für eine moderne AD-Umgebung besteht die brauchbare Grundlage aus einem Satz komplementärer Leitfäden. Das Hauptdokument ist der am 18. Oktober 2023 veröffentlichte ANSSI-Leitfaden zur sicheren Administration von Informationssystemen, die auf Active Directory basieren. Er muss aber zusammen mit dem ANSSI-Leitfaden von 2021 zur sicheren Administration von Informationssystemen, dem Leitfaden von 2022 zur Windows-Protokollierung in einer Active-Directory-Umgebung und dem Leitfaden von Dezember 2023 zur Tier-0-Remediation gelesen werden, wenn es nicht mehr nur um Härtung, sondern um die Wiedererlangung der Kontrolle nach einer Kompromittierung geht.

Diese Unterscheidung verändert die praktische Nutzung der Dokumente. Der AD-Leitfaden von 2023 deckt nicht alles ab. Er sagt ausdrücklich, dass Cloud-Themen und Microsoft Entra ID außerhalb des Geltungsbereichs liegen, und verweist für Administrator-Arbeitsplätze selbst auf den allgemeinen Leitfaden zur sicheren Administration: Internetzugang, Härtung, Verschlüsselung und Nutzungsbeschränkungen. Nach einem „ANSSI Active Directory Leitfaden“ zu suchen, ist also nur dann sinnvoll, wenn man zuerst versteht, welches Dokument welchem Zweck dient, bevor daraus technische Kontrollen abgeleitet werden.

Wichtiger Hinweis: Die hier zitierten ANSSI-Veröffentlichungen sind technische Leitfäden. Sie dienen als methodische und architektonische Referenz, begründen für sich allein aber weder eine automatische gesetzliche Pflicht noch eine „ANSSI-Zertifizierung für Active Directory“. Wenn Ihr Projekt zusätzlich in einen Kontext wie NIS2, ISO 27001 oder ähnliche Rahmenwerke fällt, müssen regulatorischer Text und technische Maßnahmen sauber voneinander getrennt werden.

Was deckt der ANSSI Active Directory Leitfaden ab?

Der ANSSI-Leitfaden von 2023 zur sicheren Administration von Informationssystemen, die auf Active Directory basieren, behandelt das zentrale Problem, das viele Teams unterschätzen: Die Kompromittierung des Verzeichnisdienstes entsteht nicht nur durch „eine falsche AD-Einstellung“, sondern häufig durch eine Kombination aus schlechten Administrationspraktiken, fehlender logischer Segmentierung und offenen Kontrollpfaden aus anderen Komponenten des Informationssystems.

Der Text ist deshalb weniger als Checkbox-Liste zu lesen, sondern vielmehr als Vertrauensmodell. Er erklärt, wie in Vertrauenszonen gedacht werden soll, wie Tier 0 identifiziert wird, wie Kontrollpfade zum Verzeichnisdienst reduziert werden, warum der Einsatz von NTLM und Kerberos direkte Auswirkungen auf die Segmentierung hat und weshalb Detektion als normaler Bestandteil der AD-Architektur entworfen werden muss und nicht als späte Zusatzschicht.

Dieser Leitfaden ersetzt die anderen ANSSI-Dokumente nicht. Er ergänzt sie. Er soll auch weder den kompletten Cloud-Teil noch rechtliche Governance-Themen oder alle Details zu einem gesicherten Admin-Arbeitsplatz abdecken. Genau deshalb muss ein technischer Leser, der „ANSSI auf AD anwenden“ will, von einem Dokumentenkorpus ausgehen und nicht von einer einzigen Veröffentlichung.

Welche ANSSI-Dokumente heute maßgeblich sind

Die folgende Tabelle ist die in der Praxis nützlichste Lesart:

Der wichtige Punkt ist einfach: Der AD-Leitfaden von 2014 ist im öffentlichen ANSSI-Korpus inzwischen veraltet. Die heute brauchbare Grundlage ist daher der Leitfaden von 2023, ergänzt je nach Bedarf durch die Leitfäden von 2021, 2022 und die Tier-0-Remediation 2023.

Die ANSSI-Prinzipien, die ein gehärtetes Active Directory strukturieren

Die ANSSI-Logik lautet nicht: „Härte eine GPO nach der anderen.“ Sie beginnt mit einer grundlegenderen Frage: Welche Ressourcen besitzen ein vergleichbares Vertrauens-, Sensitivitäts- und Expositionsniveau, und wie wird verhindert, dass eine lokale Kompromittierung in Richtung Verzeichnisdienst oder Tier 0 eskaliert?

In diesem Ansatz ist Segmentierung kein abstraktes Netzdiagramm. Sie ist eine Kombination aus Maßnahmen:

• die sensibelsten Ressourcen identifizieren;
• Angriffs- und Kontrollpfade zu diesen Ressourcen analysieren;
• Assets in Ebenen oder Tiers kategorisieren;
• Administrationspraktiken anwenden, die zu dieser Kategorisierung passen;
• die Exposition jedes Tiers reduzieren;
• die Systeme und Werkzeuge, die Administration tragen, härten;
• Protokollierung und Detektion im Einklang mit dieser Architektur aufbauen.

Das ist für Active Directory entscheidend, weil sich die Risikogrenze nicht auf Domänencontroller beschränkt. Der AD-Leitfaden 2023 betont, dass andere Bausteine des Informationssystems zu Kontrollpfaden in das Verzeichnis werden können: Virtualisierung, Speicher, Backup, Verwaltungswerkzeuge, Vertrauensstellungen, integrierte Konten, Konfigurationscontainer oder jedes System, das Authentifizierungsgeheimnisse auslesen oder wiederverwenden kann.

In der Praxis ist ein nach dem ANSSI-Geist „gehärtetes“ AD deshalb nicht bloß ein Verzeichnis mit guten Parametern. Es ist eine Umgebung, in der Vertrauensbeziehungen explizit beschrieben sind, Privilegien getrennt werden und sich nachweisen lässt, dass ein Administrator oder ein System einer niedrigeren Ebene keinen einfachen Pfad zum Vertrauenskern besitzt.

Vertrauenszonen, Segmentierung und dedizierte Administration

Das Schlüsselwort lautet hier Vertrauenszone. Im Leitfaden AD 2023 stützt sich die ANSSI auf diese Logik, um die Segmentierung des Informationssystems zu strukturieren. Es geht nicht darum, alles einheitlich zu isolieren, sondern Ressourcen logisch zu gruppieren, die ein vergleichbares Sensitivitäts- und Expositionsniveau teilen, und dann zu verhindern, dass sich eine lokale Kompromittierung frei bis in die kritischsten Zonen ausbreitet.

In der Praxis zwingt das dazu, Administration als eigene Aktivität zu behandeln. Der ANSSI-Leitfaden von 2021 zur sicheren Administration von Informationssystemen ist in mehreren Punkten sehr klar:

• Administrationskonten dürfen ausschließlich für Administrationshandlungen genutzt werden;
• sie dürfen nicht für Büroarbeit oder Anmeldungen an Arbeitsplätzen verwendet werden, die nicht der Administration vorbehalten sind;
• native Built-in-Konten dürfen nicht das Fundament des regulären Betriebs bilden;
• individuelle Administrationskonten sind zu bevorzugen, um Nachvollziehbarkeit und Rechte-Trennung sicherzustellen;
• der Administrationsarbeitsplatz muss als sensibles Asset beherrscht werden;
• Internet und mit dem Internet verbundene E-Mail dürfen aus dieser Umgebung nicht erreichbar sein.

Wenn sich privilegierte Konten noch auf normalen Büroarbeitsplätzen anmelden, wenn Administrator-Geheimnisse auf polyvalenten Systemen landen oder wenn Admin-Sprünge über weniger vertrauenswürdige Umgebungen erfolgen, widerspricht die Architektur bereits dem ANSSI-Modell, selbst wenn GPOs und ACLs sauber wirken.

Eine Bastion kann Teil der Antwort sein, aber die ANSSI behandelt sie als Architekturfall und nicht als magische Lösung. Dedizierte Admin-Arbeitsplätze haben nur dann einen Wert, wenn die Nutzung dazu passt: kein Web-Browsing, keine Mail, keine unnötige Software, keine Vermischung von Betrieb und Büroarbeit.

Wenn diese Prinzipien in konkrete Kontrollen übersetzt werden sollen, darf man nicht bei den Tools anfangen. Zuerst muss geprüft werden, wer was administriert, von welchem System, mit welchem Konto, über welchen Netzpfad und in Richtung welcher Vertrauenszone. An diesem Punkt wird eine praktische Checkliste für das Audit der Active Directory-Sicherheit nützlich, weil sie es erlaubt, ANSSI-Prinzipien in beobachtbare Prüfungen zu überführen.

Tier 0, privilegierte Konten und Administrationspfade

Der AD-Leitfaden 2023 greift die historische Logik der Tier-Segmentierung auf und erinnert daran, dass Tier 0 den Vertrauenskern der Organisation bildet. Die Ressourcen dieser Ebene können direkt oder indirekt Berechtigungen auf andere Tiers vergeben und damit das Verzeichnis kontrollieren.

Der klassische Fehler besteht darin, Tier 0 auf Domänencontroller zu reduzieren. Die ANSSI geht weiter. In der Logik der Segmentierung wie auch in der Logik der Remediation müssen zusätzlich privilegierte Objekte, Vertrauensstellungen, System- und Konfigurationscontainer, integrierte Konten, Authentifizierungsgeheimnisse und die Systeme betrachtet werden, auf denen diese Geheimnisse exponiert sein können. Der Leitfaden zur Tier-0-Remediation betont zudem einen sehr konkreten Punkt: gehärtete Administrationsarbeitsplätze und Systeme, die Geheimnisse privilegierter Konten enthalten können, gehören zum Problemraum. Wenn ein Angreifer auf solchen Systemen einen Fuß in der Tür behält, findet er häufig erneut einen Weg zurück in den Vertrauenskern.

Ein weiterer wichtiger technischer Punkt: Im Rahmen der Remediation erinnert die ANSSI daran, dass die Sicherheitsgrenze der Forest und nicht die einzelne Domäne ist. Technische Ziele gelten deshalb erst dann als erreicht, wenn sie parallel in allen Domänen eines kompromittierten Forests umgesetzt wurden. Andernfalls kann eine bereits behandelte Domäne erneut aus einer noch nicht bereinigten Domäne kompromittiert werden.

Diese Sicht zwingt dazu, ein zu enges Audit „Objekt für Objekt“ zu verlassen. In einem realen AD müssen analysiert werden:

• noch aktive Gruppen und Konten mit hohen Privilegien;
• zu weit gefasste Delegationen;
• nicht dokumentierte Kontrollpfade;
• privilegierte Geheimnisse außerhalb von Tier 0;
• technische Abhängigkeiten zu Backup, Virtualisierung, PKI oder anderen Komponenten, die AD-Rechte wiedergewinnen können;
• alte oder überprivilegierte Konten ohne klare fachliche Rechtfertigung.

Diese Lesart überschneidet sich unmittelbar mit Themen wie veralteten und überprivilegierten Konten in AD, ADCS-Zertifikatangriffen von ESC1 bis ESC8 oder Kerberos-Delegation von unkontrolliert bis RBCD. Der ANSSI-Punkt ist nicht, immer mehr Alarme zu stapeln. Es geht darum, die realen Pfade zu reduzieren, zu dokumentieren und dann zu überwachen, über die sich die Kontrolle über das Verzeichnis wiedererlangen lässt.

Protokollierung und Detektionsfähigkeit in einer AD-Umgebung

Ein weiteres häufiges Missverständnis besteht darin, Detektion als unabhängige SIEM-Schicht zu behandeln, die nichts mit dem Active-Directory-Projekt zu tun hat. Der ANSSI-Leitfaden von 2022 zur Protokollierung in einer Microsoft-Active-Directory-Umgebung zeigt das Gegenteil: Nützliche Protokollierung ist eine Architekturfrage.

Das Dokument behandelt die Umsetzung von Windows-Auditrichtlinien, lokale Speicherung und Rotation von Logs, die zentrale Sammlung von Ereignissen, die Auswahl relevanter Logquellen, den Einsatz von Sysmon für erweiterte Protokollierung und eine Sammlung auf Basis von Windows Event Forwarding (WEF) und Windows Event Collector (WEC). Die Botschaft lautet nicht „aktivieren Sie alles“. Sie lautet vielmehr: Wählen Sie die Protokolle, die Detektion und Untersuchung wirklich unterstützen, sammeln Sie diese zentral in einem konsistenten Perimeter und segmentieren Sie auch Ihre Sammelserver.

Der Leitfaden ist dabei ausdrücklich operativ. Er beschränkt sich nicht darauf zu sagen, dass protokolliert werden muss, sondern steigt auf Windows-Mechanismen und die Organisation der Sammlung herunter. Er erinnert auch an eine nützliche Grenze: Sein Fokus liegt auf Systemen, die regelmäßig verbunden sind. Stark isolierte oder nur sehr schwach verbundene Systeme benötigen daher angepasste Mechanismen.

Für ein nach dem ANSSI-Geist gehärtetes AD muss die Detektion konkrete Fragen beantworten können:

• welche privilegierten Administrationshandlungen stattgefunden haben;
• von welchen Arbeitsplätzen und mit welchen Konten sie ausgeführt wurden;
• welche Änderungen privilegierte Objekte, GPOs und Kontrollpfade betreffen;
• welche Geheimnisse noch außerhalb vertrauenswürdiger Umgebungen zirkulieren können;
• welche kritischen Ereignisse die Sammelinfrastruktur tatsächlich erreichen;
• welche Untersuchungstiefe möglich ist, wenn Tier 0 betroffen ist.

Das Ziel ist nicht, das gesamte Detektions-Ökosystem zu ersetzen. Es geht darum, eine Protokollierungsbasis aufzubauen, die Administration, Authentifizierung, strukturelle Änderungen im Verzeichnis und den Zustand kritischer Assets sichtbar macht. Genau an dieser Stelle werden Themen wie deaktivierte LDAP-Signierung oder Kerberoasting gegen Dienstkonten praktisch relevant: Sie zeigen, welche Exposition entweder in präventiven Kontrollen oder in der Detektionsfähigkeit sichtbar werden muss.

So wenden Sie diese Empfehlungen in einem realen AD an

Die richtige Methode besteht nicht darin, einen ANSSI-Leitfaden in tausend atomare Aufgaben zu zerlegen. In einem realen Verzeichnis ist es sinnvoller, in sieben Schritten vorzugehen.

1. Den Referenzkorpus festlegen

Entscheiden Sie, welches Dokument welche Entscheidung trägt. Der AD-Leitfaden 2023 für Segmentierung und Tier 0. Der Administrationsleitfaden 2021 für Konten, Arbeitsplätze und Admin-Netze. Der Protokollierungsleitfaden 2022 für Sammlung und Aufbewahrung. Der Leitfaden Tier-0-Remediation 2023 für Post-Compromise-Szenarien.

2. Vertrauenszonen und Tiers kartieren

Listen Sie die Ressourcen auf, die das Verzeichnis kontrollieren oder beeinflussen können: Domänencontroller, PKI, Backup, Hypervisoren, Verwaltungswerkzeuge, privilegierte Konten, kritische GPOs, Vertrauensstellungen und Admin-Systeme. Ein Vergleich von Active-Directory-Sicherheitsaudit-Tools wird relevant, wenn diese Kontrollpfade im großen Maßstab objektiviert werden sollen.

3. Administrationspfade dokumentieren

Meldet sich ein Tier-0-Administrator von einem dedizierten System aus an? Über welches Netz? Mit welchem individuellen Konto? Gibt es noch gemischte Nutzungen zwischen Büroarbeit und Administration? Bleiben privilegierte Konten auf ihren Perimeter beschränkt, oder finden sich ihre Geheimnisse auf Systemen niedrigerer Vertrauensstufen wieder?

4. Protokolle und Mechanismen überprüfen, die die Segmentierung unterlaufen

Der AD-Leitfaden 2023 widmet ein eigenes Kapitel den Gefahren von NTLM und Kerberos für die Segmentierung. Daher müssen Mechanismen überprüft werden, die die Wiederverwendung von Geheimnissen, eine breite Verteilung von Identitätsmaterial oder zu offene Delegationen erlauben. An dieser Stelle ist es sinnvoll, Kontrollen mit Themen wie Kerberos-Delegation, AD- & Azure-Compliance für NIS2, ISO 27001 und CIS oder ADCS-Expositionen abzugleichen, wenn die PKI eine Rolle in den Kontrollpfaden spielt.

5. Eine tragfähige Protokollierung aufbauen

Aktivieren Sie die relevanten Logs, sammeln Sie sie zentral, sichern Sie die Sammelserver und synchronisieren Sie die Zeitbasis. Versuchen Sie nicht, am ersten Tag „alles zu sehen“. Machen Sie zuerst privilegierte Verwaltungsaktionen, kritische Änderungen und Aktivitäten sichtbar, die den Vertrauenskern beeinflussen können.

6. Ein strukturiertes Remediation-Backlog erzeugen

Nicht jede Abweichung hat das gleiche Gewicht. Ein altes, noch aktives Admin-Konto, eine übermäßige Delegation auf ein privilegiertes Objekt, ein nicht dedizierter Admin-Arbeitsplatz, eine schlecht kontrollierte Vertrauensstellung oder eine nicht funktionierende Logsammlung haben nicht dieselben Folgen. Das richtige Backlog wird nicht nach Technologiefamilien sortiert, sondern nach Auswirkung auf Segmentierung und Tier 0.

7. Wissen, wann Härtung nicht mehr reicht und Remediation nötig wird

Wenn bereits aktive Kompromittierungspfade, Persistenz auf privilegierten Assets oder ein Vertrauensverlust in den Vertrauenskern festgestellt werden, muss der Rahmen gewechselt werden. Dann ist der Tier-0-Remediation-Leitfaden relevanter als eine klassische Hardening-Checkliste.

Validierung nach der Härtung

Ein AD ist nicht schon deshalb „ANSSI-ausgerichtet“, weil ein Dokumentationsordner existiert. Es muss möglich sein, präzise Validierungsfragen zu beantworten.

Zur Segmentierung

• Lässt sich Tier 0 noch von einem Arbeitsplatz, einem Konto oder einem Werkzeug niedrigerer Stufe erreichen?
• Öffnen Backup-, Virtualisierungs-, PKI- oder Drittadministrations-Ressourcen einen Kontrollpfad zum Verzeichnis?
• Wurden Vertrauensstellungen und Delegationen mit einer Vertrauenslogik und nicht nur nach funktionalen Kriterien überprüft?

Zur Administration

• Sind privilegierte Konten individuell und ausschließlich Administrationshandlungen vorbehalten?
• Sind Admin-Arbeitsplätze dediziert, beherrscht und ohne Internet oder mit dem Internet verbundene E-Mail?
• Können Geheimnisse privilegierter Konten noch im Speicher von Systemen landen, die nicht zum Vertrauenskern gehören?

Zur Detektion

• Sind kritische Logs tatsächlich aktiviert und zentral gesammelt?
• Sind die Sammelserver selbst segmentiert und überwacht?
• Ist eine Untersuchung zu Änderungen an privilegierten Objekten, ungewöhnlicher Administration oder einer möglichen Tier-0-Kompromittierung mit den verfügbaren Daten realistisch möglich?

Zur Doktrin

• Wissen die Teams, welcher ANSSI-Leitfaden für welches Thema herangezogen werden muss?
• Wurde der Leitfaden von 2014 tatsächlich aus dem Referenzsockel entfernt?
• Werden NIS2- oder ISO-Anforderungen als verwandte, aber getrennte Themen behandelt, ohne dem ANSSI-AD-Leitfaden Aussagen zuzuschreiben, die er nicht trifft?

Wie EtcSec hilft, diese Abweichungen nachzuweisen

EtcSec soll keinen technischen Leitfaden in ein Marketing-Label verwandeln. Der Mehrwert eines spezialisierten Audits liegt an anderer Stelle: Es macht die Abweichungen sichtbar, die ANSSI-Texte beschreiben, die Teams in realen Umgebungen aber nur schwer objektivieren können.

Konkret sollte ein Audit, das an dieser Logik ausgerichtet ist, Folgendes ermöglichen:

• die Kontrollpfade zu Tier 0 und privilegierten Objekten zu kartieren;
• privilegierte Konten, delegierte Rechte und Expositionen zu inventarisieren, die keine klare Rechtfertigung mehr haben;
• Bereiche sichtbar zu machen, in denen die logische Segmentierung durch reale Nutzung unterlaufen wird;
• zu prüfen, ob Protokollierung und Sammlung Detektion und Untersuchung tatsächlich unterstützen;
• Remediations zu priorisieren, die das Risiko einer Wiedererlangung der Kontrolle über das Verzeichnis reduzieren.

In dieser Logik hilft EtcSec, technische Abweichungen zu verifizieren. Es ersetzt weder Architekturentscheidungen noch interne Governance noch die eigentliche Post-Incident-Remediation, wenn der Vertrauenskern bereits verloren gegangen ist.

Primärquellen

• ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD (18 octobre 2023)
• ANSSI - Recommandations relatives à l'administration sécurisée des SI (11 mai 2021)
• ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory (28 janvier 2022)
• ANSSI - Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory (version 1.0, décembre 2023)
• ANSSI - Recommandations de sécurité relatives à Active Directory (29 août 2014, veraltet)
• Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
• Microsoft Learn - Sysmon Overview