Privilegierter zugriff drift active directory beschreibt die Lücke zwischen dem privilegierten Zugriffsmodell, das eine Organisation zu haben glaubt, und den effektiven Rechten, die heute tatsächlich im Verzeichnis existieren. Der Drift kann mit einer temporären Gruppenmitgliedschaft, einer Helpdesk-Delegation, einem während eines Incidents hinzugefügten Servicekonto oder einer ACL beginnen, die nach Projektende niemand mehr überprüft. Mit der Zeit können solche kleinen Änderungen Angriffspfade wiederherstellen, die ein früheres Audit bereits entfernt hatte.
Dieser Artikel ist auf on-premises Active Directory begrenzt. Er behandelt Microsoft Entra Privileged Identity Management nicht als Ersatzkontrolle und reduziert Drift nicht auf veraltete Administratorkonten. In AD kann privilegierter Zugriff über verschachtelte Gruppen, Directory-ACLs, Replikationsrechte, Änderungen an AdminSDHolder, Wiederverwendung des integrierten Administrator-Kontos, Servicekonten und Notfallausnahmen zurückkehren. Erkennung erfordert Korrelation zwischen Soll-Baseline, aktuellen effektiven Rechten, jüngsten Änderungen und Sicherheitstelemetrie.
Privilegierter zugriff drift active directory: was ist gemeint?
Privileged Access Drift ist die Ansammlung effektiver administrativer Rechte, die nicht mehr zum vorgesehenen Modell der Domäne passen. Eine saubere Zugriffsprüfung kann ergeben, dass nur benannte Administrationsgruppen Tier-0-Assets kontrollieren. Einige Wochen später kann ein Operator ein temporäres Mitglied zu Domain Admins hinzufügen, eine Supportgruppe in eine privilegierte Gruppe verschachteln, WriteDACL auf eine OU delegieren oder einem Migrationskonto Replikationsrechte geben. Wird die Änderung nicht entfernt und erneut gemessen, ist das Review-Ergebnis veraltet.
Wichtig ist: Active-Directory-Privilegien liegen nicht an einer einzigen Stelle. Gruppenmitgliedschaft ist die sichtbare Schicht, aber nur ein Teil der Kontrollfläche. Ein Principal kann gefährlich werden, weil er direkt Mitglied einer privilegierten Gruppe ist, über Verschachtelung dorthin gelangt, die Gruppenmitgliedschaft ändern kann, den Security Descriptor eines Objekts umschreiben kann, DCSync-fähige Replikationsrechte besitzt oder über AdminSDHolder geschützte Konten beeinflussen kann. Deshalb ist ein Artikel über veraltete privilegierte Konten nützlich, aber für privilegierten Zugriffsdrift allein nicht ausreichend.
Ein Drift-Review muss daher eine präzise Frage beantworten: Wer kann heute privilegierte Identitäten, privilegierte Gruppen, Domain Controller, Berechtigungen auf Domänenwurzel, Group Policy, Certificate Services und andere Tier-0-Kontrollflächen beeinflussen? Die Antwort muss direkte Administratoren, indirekte Administratoren, delegierte Operatoren, Service Principals und Principals mit gefährlichen ACL-Pfaden einschließen.
Warum jährliche Access Reviews AD-Drift übersehen
Jährliche oder quartalsweise Reviews sind Momentaufnahmen. Sie sind für Governance nützlich, aber schwach bei einem Verzeichnis, das sich jede Woche ändert. Änderungen an Active-Directory-Gruppenmitgliedschaften sind auditierbar, und Microsoft dokumentiert Security Group Management Events für hinzugefügte und entfernte Mitglieder in globalen, lokalen und universellen Sicherheitsgruppen. Directory-Objektänderungen können ebenfalls über Directory Service Change Events auditiert werden, und Objektzugriffe können sensible Operationen sichtbar machen, wenn Auditing und SACLs konfiguriert sind. Diese Logs zeigen, dass AD nicht statisch ist.
Das praktische Problem ist, dass viele Reviews weiterhin auf Exporte setzen. Eine Tabelle mit Domain Admins vom letzten Monat zeigt nicht, dass gestern eine verschachtelte Gruppe hinzugefügt wurde. Eine Liste privilegierter Benutzer zeigt nicht, dass eine Helpdesk-Gruppe die Mitgliedschaft einer Admin-Gruppe ändern kann. Ein manuelles Review deaktivierter Konten zeigt nicht, dass ein Servicekonto weiterhin DS-Replication-Get-Changes und DS-Replication-Get-Changes-All auf dem Domain Naming Context besitzt.
Deshalb sind wiederkehrende Active-Directory-Audits wichtig. Wenn dieselben Checks einmal im Jahr laufen, weiß die Organisation, was am Audittag falsch war. Wenn sie nach Änderungen und Remediation erneut laufen, kann die Organisation sehen, ob das privilegierte Modell sauber bleibt oder wieder driftet.
Wie privilegierter Zugriffsdrift entsteht
Temporäre Mitgliedschaft wird dauerhaft
Incident Response, Migrationen, Backup-Konfiguration und dringender Anwendungssupport benötigen manchmal erhöhte Rechte. Das Risiko ist nicht die Ausnahme selbst; das Risiko ist eine Ausnahme ohne Owner, Ablaufdatum und Revalidierung. Active Directory respektiert die Mitgliedschaft weiter, bis jemand sie entfernt.
Gruppenverschachtelung versteckt effektive Privilegien
Eine Gruppe kann isoliert harmlos wirken und privilegiert werden, sobald sie in Account Operators, Backup Operators, Domain Admins, Enterprise Admins oder eine andere sensitive Gruppe verschachtelt wird. Verschachtelter Zugriff erschwert Reviews, weil effektive Mitglieder nicht auf dem ersten Gruppenbildschirm sichtbar sind. Eine privilegierte Gruppe muss nach effektiver Mitgliedschaft geprüft werden, nicht nur nach direkten Mitgliedern.
ACL-Drift erzeugt Kontrollpfade
Active-Directory-Autorisierung hängt stark von discretionary access control lists ab. GenericAll, WriteDACL, WriteOwner, AddMember, Self-Membership und ähnliche Rechte können einen Nicht-Admin-Principal praktisch zum Administrator über bestimmte Objekte machen. In einem Angriffspfad-Review lautet die Frage nicht nur, wer in Domain Admins ist. Entscheidend ist, wer einen Principal, eine Gruppe, eine GPO, einen Computer, eine OU oder eine ACL ändern kann, die zu Tier 0 führt. Dieselbe Logik gilt beim Review von ACL-Missbrauch und DCSync-Pfaden.
Replikationsrechte erweitern Credential-Exposure
MITRE dokumentiert DCSync unter OS Credential Dumping, weil ein Angreifer mit ausreichenden Directory-Replikationsrechten das Replikationsverhalten eines Domain Controllers imitieren kann, um Credential-Material zu erhalten. Verteidiger sollten Principals mit DS-Replication-Get-Changes und DS-Replication-Get-Changes-All prüfen, plus alle umgebungsspezifischen Replikationsrechte, die für geschützte Secrets gelten.
AdminSDHolder-Änderungen sind persistence-sensitiv
Microsoft Open Specifications beschreiben AdminSDHolder als das Objekt, das das System nutzt, um Security Descriptors für geschützte administrative Objekte zu verwalten. Wenn der Security Descriptor von AdminSDHolder geändert wird, kann sich die Wirkung über SDProp auf geschützte Konten und Gruppen ausbreiten. Damit ist AdminSDHolder ein persistence-sensitives Objekt, kein normaler Administrationscontainer.
Servicekonten und integrierte Konten schaffen dauerhafte Risiken
Ein Servicekonto in einer privilegierten Gruppe kann schwerer zu rotieren, schwerer einem menschlichen Owner zuzuordnen und leichter zu vergessen sein. Das integrierte Administrator-Konto mit RID 500 sollte nicht zur täglichen Administrationsidentität werden. Wurde es kürzlich genutzt, behandeln Sie das als erklärungsbedürftige Ausnahme, nicht allein als Kompromittierungsnachweis.
Angriffspfade durch Privilege Drift
Privilege Drift ist relevant, weil er Pfade erzeugt, nicht nur unordentliche Access Lists. Ein zusätzliches Administratorkonto ist ein Credential-Ziel. Eine verschachtelte Supportgruppe kann zu einem versteckten Weg in Domain Admins werden. Eine WriteDACL-Berechtigung kann einem Principal erlauben, sich stärkere Rechte zu geben. Eine WriteOwner-Berechtigung kann einem Principal erlauben, Ownership zu übernehmen und danach die ACL zu ändern. AddMember-Rechte auf einer privilegierten Gruppe können genügen, um ein kontrolliertes Konto hinzuzufügen.
DCSync-fähiger Drift ist besonders sensitiv. Hat ein Nicht-Domain-Controller-Principal Replikationsrechte, die DCSync-Verhalten erlauben, reichen Passwortresets einzelner Benutzer nicht aus. Die Organisation muss die Replikationsrechte entfernen, untersuchen, ob Credential-Material offengelegt wurde, und betroffene Secrets entsprechend dem Incident-Response-Scope rotieren.
Delegation und Identitätsinfrastruktur können die Wirkung erweitern. Ein privilegiertes Computerkonto, ein überdelegiertes Servicekonto oder ein schlecht verwalteter Kerberos-Delegationspfad kann Privilege Drift mit Lateral Movement verbinden. Deshalb sollte Drift-Analyse mit Kerberos-Delegationsrisiken, lokaler Administratorpasswortverwaltung wie Windows LAPS und AD-CS-Zertifikatangriffspfaden korreliert werden, wenn Certificate Services im Scope sind.
| Drift-Oberfläche | Praktische Frage | Validierungsnachweis |
|---|---|---|
| Privilegierte Gruppen | Wer ist direktes oder verschachteltes effektives Mitglied? | Genehmigter Owner, Ticket, Ablaufdatum und aktuelle effektive Mitgliedschaft |
| Directory-ACLs | Wer kann privilegierte Objekte oder ihre Security Descriptors ändern? | ACL-Diff, Trustee-Review, Vererbungsquelle und Business Owner |
| Replikationsrechte | Wer kann Domänenreplikationsoperationen durchführen? | Nur erwartete DCs und genehmigte Replikations-Principals |
| AdminSDHolder | Wer kann geschützte administrative Objekte beeinflussen? | Erwarteter Security Descriptor und keine nicht autorisierten ACEs |
Erkennung
Kein einzelnes Windows-Event beweist privilegierten Zugriffsdrift. Erkennung muss eine Baseline erwarteter Privilegien, den aktuellen Directory-Zustand, ACL-Analyse und Telemetrie jüngster Änderungen kombinieren.
Effektive Privilegien zuerst inventarisieren
Beginnen Sie mit einem Inventar effektiver privilegierter Zugriffe. Enumerieren Sie direkte und verschachtelte Mitgliedschaften privilegierter Gruppen. Berücksichtigen Sie integrierte privilegierte Gruppen, Domain-Administrationsgruppen, Gruppen zur Administration von Domain Controllern, Backup- oder Server-Operationsgruppen mit Tier-0-Auswirkung und organisationsspezifische Admin-Gruppen. Vergleichen Sie das Ergebnis mit einer genehmigten Baseline mit benannten Ownern.
Berechtigungen außerhalb der Gruppenmitgliedschaft prüfen
Prüfen Sie anschließend Berechtigungen, nicht nur Mitgliedschaften. Reviewen Sie ACLs auf Domänenwurzel, AdminSDHolder, Domain Controllern, privilegierten Gruppen, privilegierten Benutzern, sensitiven OUs, GPOs und hochwirksamen Servicekonten. Achten Sie auf Rechte, mit denen ein Principal Mitgliedschaften oder Security Descriptors ändern kann, darunter GenericAll, WriteDACL, WriteOwner, AddMember, Self-Membership, Write Property und Control Access. Für Replikation prüfen Sie DS-Replication-Get-Changes und DS-Replication-Get-Changes-All auf dem Domain Naming Context.
Change Events korrelieren, nicht überinterpretieren
Microsoft dokumentiert die Kategorie Audit Security Group Management und die einzelnen Events für hinzugefügte und entfernte Mitglieder. Events 4728 und 4729 decken Änderungen in globalen Sicherheitsgruppen ab, 4732 und 4733 lokale Sicherheitsgruppen, 4756 und 4757 universelle Sicherheitsgruppen. Diese Events sind nützlich, wenn die privilegierte oder verschachtelte Gruppe im Scope ist.
Für Directory-Änderungen zeichnet Event 5136 Änderungen an Directory-Service-Objekten auf, wenn passendes Auditing aktiviert ist. Es kann je nach Auditierung geänderte Attribute wie Gruppenmitgliedschaft oder Security Descriptors sichtbar machen. Event 4662 kann bei auditiertem Objektzugriff und sensitiven Directory-Operationen helfen, einschließlich Write Property, Control Access, WRITE_DAC und WRITE_OWNER, wenn SACLs konfiguriert sind. Behandeln Sie diese Events als Korrelationshinweise, nicht als alleinige Urteile.
Verbinden Sie Telemetrie schließlich mit Absicht. Eine privilegierte Gruppenänderung im Rahmen eines dokumentierten Access Requests kann erwartet sein. Dieselbe Änderung außerhalb eines Wartungsfensters, durch einen ungewöhnlichen Operator oder gefolgt von neuer Authentifizierungsaktivität auf Domain Controllern verdient Untersuchung. Für breiteres Event-Mapping nutzen Sie einen Monitoring-Leitfaden wie AD-Sicherheitsüberwachung Event IDs, um Event-Namen, Scope und Grenzen explizit zu halten.
Remediation und operative Behebung
Remediation muss den Pfad entfernen und den Prozess korrigieren, der seine Rückkehr ermöglicht hat.
Gruppenpfade entfernen und Ausnahmen dokumentieren
Bei Gruppenmitgliedschaftsdrift entfernen Sie nicht genehmigte direkte Mitglieder und lösen gefährliche Verschachtelungen auf. Tun Sie das gegen effektive Mitgliedschaft, nicht nur direkte Mitgliedschaft. Wenn eine verschachtelte Gruppe notwendig bleibt, dokumentieren Sie Owner, Zweck, Genehmigungspfad und Review-Kadenz. Lassen Sie keine breiten Principals wie Authenticated Users oder zu große Operationsgruppen in privilegierten Gruppen.
Gefährliche ACLs vorsichtig entfernen
Bei ACL-Drift löschen Sie Berechtigungen nicht blind. Identifizieren Sie zuerst Objekt, Trustee, Recht, Vererbungsquelle und Business Owner. Entfernen Sie danach Rechte, die ohne dokumentierten Zweck administrative Kontrolle erzeugen. Priorisieren Sie GenericAll, WriteDACL, WriteOwner, AddMember, Self-Membership, übermäßige Write-Property-Rechte und Control-Access-Rechte auf Tier-0-Objekten. Validieren Sie danach, dass legitime operative Delegation weiter funktioniert.
Replikations- und Persistenzpfade widerrufen
Bei DCSync-fähigen Principals entfernen Sie Replikationsrechte von jedem Konto oder jeder Gruppe, die nicht explizit dafür genehmigt ist. Domain Controller benötigen Replikation. Einige Identity-, Migrations- oder Backup-Szenarien können eng begrenzte Rechte erfordern, aber diese Ausnahmen sollten selten, owned, überwacht und geprüft sein. Wenn verdächtige DCSync-Fähigkeit existierte, behandeln Sie die Bereinigung als Credential-Exposure-Frage, nicht nur als ACL-Cleanup.
Bei AdminSDHolder-Drift vergleichen Sie den Security Descriptor mit der erwarteten Baseline und untersuchen, wie er sich geändert hat. Da AdminSDHolder geschützte administrative Objekte beeinflusst, behandeln Sie unerwartete Berechtigungen als persistence-sensitiv. Entfernen Sie nicht autorisierte Einträge und validieren Sie danach geschützte Kontoberechtigungen, nachdem SDProp Zeit hatte, den vorgesehenen Descriptor erneut anzuwenden.
Dauerhafte privilegierte Identitätsexposition reduzieren
Reduzieren Sie Standing Access für privilegierte Identitäten. Trennen Sie tägliche Benutzerkonten von Administratorkonten. Prüfen Sie privilegierte Servicekonten und entfernen Sie sie wenn möglich aus Admin-Gruppen. Reservieren Sie das RID-500-Administrator-Konto für Break-Glass- oder Notfallszenarien und untersuchen Sie routinemäßige jüngste Nutzung. Erwägen Sie die Protected Users-Gruppe für passende menschliche privilegierte Konten, testen Sie aber zuerst Kompatibilität, weil Microsoft Authentifizierungsverhaltensänderungen und Einschränkungen für Mitglieder dokumentiert.
Für Prozessdrift verlangen Sie Ablaufdatum und Ownership für Ausnahmen. Ein nach Remediation sauberes AD driftet erneut, wenn temporärer Zugriff keinen Rücknahmeprozess hat. Die Kontrolle muss beantworten, wer das Privileg genehmigt hat, warum es existiert, wann es abläuft und welcher Nachweis seine Entfernung belegt.
Validierung nach Cleanup
Validierung ist der Punkt, an dem viele Remediation-Vorhaben scheitern. Ein sichtbares Mitglied aus Domain Admins zu entfernen reicht nicht, wenn eine verschachtelte Gruppe, ACL oder ein Replikationsrecht bleibt.
Effektive Mitgliedschaft neu berechnen
Nach Cleanup führen Sie das Inventar effektiver Mitgliedschaften erneut aus. Bestätigen Sie, dass privilegierte Gruppen nur genehmigte direkte und indirekte Mitglieder haben. Bestätigen Sie, dass kein breiter Principal in einer privilegierten Gruppe vorhanden ist. Bestätigen Sie, dass kürzlich erstellte privilegierte Konten und jüngste Änderungen an privilegierten Gruppen zu genehmigten Tickets oder Incident Records passen.
ACL- und Replikationspfade erneut prüfen
Führen Sie danach das ACL-Review erneut aus. Bestätigen Sie, dass entfernte GenericAll-, WriteDACL-, WriteOwner-, AddMember-, Self-Membership- und Replikationsrechte nicht über Vererbung, Gruppenverschachtelung oder Template-Prozesse zurückgekehrt sind. Bestätigen Sie, dass AdminSDHolder keine unerwarteten Einträge mehr enthält und geschützte Objekte den vorgesehenen Security Descriptor widerspiegeln.
Telemetrie nach Remediation validieren
Validieren Sie schließlich die Telemetrie. Suchen Sie nach neuen Gruppenmitgliedschaftsänderungen nach Cleanup. Prüfen Sie Directory-Objektänderungen an sensitiven Objekten. Bestätigen Sie, dass jede erlaubte Ausnahme einen Owner und ein Review-Datum hat. Ziel ist nicht zu beweisen, dass nie wieder eine Änderung passieren kann. Ziel ist zu beweisen, dass aktuelle effektive Rechte zur Baseline passen und künftige Änderungen sichtbar werden.
Wenn Sie ein breiteres Auditprogramm aufbauen, richten Sie diese Validierung an Active-Directory-Sicherheitsaudits aus, damit privilegierter Drift zusammen mit Authentifizierung, Delegation, AD CS, GPO, Passwörtern und Monitoring-Kontrollen gemessen wird.
Wie EtcSec privilegierten Zugriffsdrift erkennt
EtcSec identifiziert und misst Bedingungen privilegierten Zugriffsdrifts in der aktuellen AD-Posture erneut. Die relevanten Katalogchecks umfassen privilegierte Konten, Gruppen, ACLs, Replikationsrechte und AdminSDHolder, statt Drift als einzelnes Symptom zu behandeln.
Für Konto- und Nutzungsdrift prüft EtcSec Bedingungen wie PRIVILEGED_ACCOUNT_STALE, ADMIN_NATIVE_RECENT_LOGON, EXCESSIVE_PRIVILEGED_ACCOUNTS und RECENT_PRIVILEGED_CREATION. Schwellen wie 90 Tage für inaktive privilegierte Konten, 30 Tage für jüngste Nutzung des integrierten Administrator-Kontos, 10 Tage für kürzlich erstellte privilegierte Konten oder 7 Tage für jüngste privilegierte Gruppenänderungen sind Katalog-Policy-Schwellen. Sie dürfen nicht als Microsoft-Standards beschrieben werden.
Für Gruppendrift prüft EtcSec GROUP_EVERYONE_IN_PRIVILEGED, GROUP_AUTHENTICATED_USERS_PRIVILEGED, DANGEROUS_GROUP_NESTING und PRIVILEGED_GROUP_MEMBER_CHANGES. Diese Findings helfen, eine scheinbar saubere direkte Mitgliedschaftsliste von einem effektiven Privilegienpfad durch breite Principals oder verschachtelte Gruppen zu unterscheiden.
Für ACL- und Replikationsdrift prüft EtcSec DCSYNC_CAPABLE, ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ACL_SELF_MEMBERSHIP, ACL_ADD_MEMBER, ADMIN_SD_HOLDER_MODIFIED und ADMINSDHOLDER_BACKDOOR. Diese Findings entsprechen den Kontrollflächen, die Verteidiger nach Cleanup erneut messen müssen: Replikationsrechte, Gruppenänderungsrechte, Security-Descriptor-Kontrolle und Persistenz auf geschützten Admin-Objekten.
EtcSec ersetzt keine SIEM-Untersuchung und keine Incident Response. Seine Rolle in diesem Workflow ist Posture-Messung: riskante Bedingungen identifizieren, erklären, warum sie relevant sind, Remediation verfolgen und messen, ob die Bedingung nach der nächsten Directory-Änderung zurückkehrt.
Verwandte Kontrollen
Privilegierter Zugriffsdrift lässt sich leichter kontrollieren, wenn er als wiederkehrendes Posture-Problem behandelt wird. Ein einmaliges Access Review kann offensichtliche Admin-Konten entfernen; ein wiederkehrender Workflow kann erkennen, wenn dieselben Rechte zurückkehren.
Nutzen Sie Hygiene privilegierter Konten, um die Zahl der Identitäten zu reduzieren, die zu hochwertigen Credential-Zielen werden können. Nutzen Sie ACL- und DCSync-Review, um Pfade zu finden, die nicht in Gruppenmitgliedschaftsberichten auftauchen. Nutzen Sie Monitoring-Events, um zu validieren, wann Änderungen passierten und wer sie durchgeführt hat. Nutzen Sie lokale Administratorpasswortkontrollen wie Windows LAPS, um die Wirkung wiederverwendeter lokaler Admin-Credentials zu reduzieren, während Sie an Domänenprivilegienpfaden arbeiten.
Das operative Ziel ist einfach: Jeder privilegierte Pfad muss absichtlich, owned, minimal und revalidiert sein. Alles andere ist Drift.
Primärreferenzen
- Microsoft Learn: Audit Security Group Management
- Microsoft Learn: Event 4728 - A member was added to a security-enabled global group
- Microsoft Learn: Event 4729 - A member was removed from a security-enabled global group
- Microsoft Learn: Event 4732 - A member was added to a security-enabled local group
- Microsoft Learn: Event 4733 - A member was removed from a security-enabled local group
- Microsoft Learn: Event 4756 - A member was added to a security-enabled universal group
- Microsoft Learn: Event 4757 - A member was removed from a security-enabled universal group
- Microsoft Learn: Event 5136 - A directory service object was modified
- Microsoft Learn: Event 4662 - An operation was performed on an object
- Microsoft Open Specifications: AdminSDHolder
- Microsoft Learn: Protected Users security group
- MITRE ATT&CK: Account Manipulation T1098
- MITRE ATT&CK: DCSync T1003.006
- Lokaler EtcSec-Katalog: Active Directory vulnerability catalogue - docs/vulnerabilities/active-directory/AD_VULNERABILITY_CATALOG.md
