Was Ist Gefährliche Gruppenverschachtelung?
Active Directory-Gruppen sind der primäre Zugriffskontrollmechanismus für Ressourcen in der Domäne. Wenn Gruppen so verschachtelt werden, dass sie unbeabsichtigte Privilegien gewähren, entstehen unsichtbare Privilege-Escalation-Pfade.
Diese Pfade häufen sich über Jahre an und werden nie bereinigt, weil niemand weiß, dass sie existieren. Angreifer nutzen BloodHound, um diese Pfade in Sekunden zu kartieren.
Die Angriffskette
Schritt 1 - Gruppenmitgliedschaftsketten Kartieren
Get-ADGroupMember -Identity "Domain Admins" -Recursive |
Select-Object SamAccountName, ObjectClass
# Kerberoastbare DA-Mitglieder finden
Get-ADGroupMember -Identity "Domain Admins" -Recursive |
Get-ADUser -Properties ServicePrincipalName, PasswordLastSet |
Where-Object {$_.ServicePrincipalName -ne $null}
Schritt 2 - Über die Kette Eskalieren
Sobald das schwächste Glied kompromittiert ist (via Kerberoasting, Passwort-Spray), erbt der Angreifer Domain Admin-Privilegien durch verschachtelte Mitgliedschaft.
Erkennung
SIEM-Erkennungsabfrage (Elastic KQL)
event.code: ("4728" OR "4732" OR "4756") AND
winlog.event_data.TargetUserName: ("Domain Admins" OR "Enterprise Admins" OR "Schema Admins")
💡 Tipp: Alarmieren Sie bei Änderungen der Domain Admins, Enterprise Admins oder Schema Admins-Mitgliedschaft in Echtzeit.
Behebung
💡 Schnelle Massnahme: Listen Sie alle transitiven Domain Admins-Mitglieder auf. Entfernen Sie sofort Service-Konten und Konten ehemaliger Mitarbeiter.
1. Verschachtelte Mitgliedschaften Prüfen
$tier0Gruppen = @("Domain Admins","Enterprise Admins","Schema Admins","Backup Operators")
$ergebnisse = @()
foreach ($gruppe in $tier0Gruppen) {
Get-ADGroupMember -Identity $gruppe -Recursive | ForEach-Object {
$ergebnisse += [PSCustomObject]@{Gruppe=$gruppe; Konto=$_.SamAccountName; Typ=$_.ObjectClass}
}
}
$ergebnisse | Export-Csv tier0_audit.csv -NoTypeInformation
2. Mehrstufiges Admin-Modell Implementieren
| Tier | Umfang | Admin-Konten |
|---|---|---|
| Tier 0 | Domain Controller, AD, PKI | Nur dedizierte DA-Konten |
| Tier 1 | Mitgliedsserver | Server-Admin-Konten |
| Tier 2 | Workstations | Helpdesk-Konten |
Credentials dürfen niemals aufwärts fließen. Ein Tier 2-Helpdesk-Konto darf niemals Mitglied einer Tier 0-Gruppe sein.
So Erkennt EtcSec Dies
DANGEROUS_GROUP_NESTING kennzeichnet transitive Ketten, die unbeabsichtigte Tier 0-Privilegien gewähren.
EXCESSIVE_PRIVILEGED_ACCOUNTS zählt alle Konten mit effektiven Domain Admin-Privilegien.
PATH_ACL_TO_DA und PATH_GPO_TO_DA ergänzen mit berechtigungs- und GPO-basierten Eskalationspfaden.
ℹ️ Hinweis: EtcSec kartiert Gruppenverschachtelung automatisch. Starten Sie ein kostenloses Audit.
