Ein wiederkehrendes Active Directory Audit sollte mehr bedeuten, als dieselbe Checkliste einmal pro Jahr erneut auszuführen. Active Directory ist eine lebende Steuerungsebene: Mitgliedschaften in privilegierten Gruppen ändern sich, ACLs driften auseinander, GPOs werden bearbeitet, Zertifikatvorlagen entwickeln sich weiter und die Protokollierungsabdeckung verschlechtert sich mit der Zeit. Eine jährliche Punkt-in-Zeit-Prüfung kann weiterhin sinnvoll sein, sagt aber nichts darüber aus, ob Ihr Verzeichnis in der Woche danach noch sicher geblieben ist. Ein besseres Modell ist ein wiederkehrendes Active Directory Audit: dieselben hochkritischen Kontrollen in einem festen Rhythmus erneut messen, neue Drift schnell untersuchen und jeden erneuten Lauf nutzen, um die Behebung zu verifizieren, statt bis zum nächsten Beratungszyklus zu warten.
Das ist wichtig, weil das Verzeichnis für Veränderungen gebaut ist. Microsoft dokumentiert eigene Ereignisse für Änderungen an Sicherheitsgruppen, für Änderungen an Verzeichnisobjekten und für Änderungen an Domänenrichtlinien. Die ANSSI-Empfehlungen von 2023 für Umgebungen auf Basis von Microsoft Active Directory konzentrieren sich auf sichere Administration und Segmentierung, während die ANSSI-Leitlinie zur Active-Directory-Protokollierung die Erfassung und Überwachung abdeckt. Zusammengenommen stützen sie ein wiederkehrendes Prüfmodell weit besser als einen einmaligen Bericht, der danach im Regal verschwindet. In der Praxis halten jene Organisationen ihr AD gesünder, die dieselben Kontrollfamilien wiederholt prüfen und Posture Drift als Betriebsproblem behandeln, nicht als jährliche Beschaffung.
Was ein wiederkehrendes Active Directory Audit tatsächlich abdeckt
Ein wiederkehrendes Active Directory Audit ist nicht dasselbe wie ein SIEM, und es ist auch nicht dasselbe wie ein Pentest. Es liegt zwischen einmaliger Überprüfung und vollständig ereignisgesteuerter Erkennung. Ziel ist es, den strukturellen Sicherheitszustand des Verzeichnisses in einer Frequenz neu zu bewerten, die zur tatsächlichen Änderungsrate der Umgebung passt.
In Active Directory bedeutet das, mindestens vier Ebenen erneut zu prüfen:
- privilegierte Identitäten und Gruppenmitgliedschaften;
- delegierte Rechte und gefährliche ACL-Pfade;
- Sicherheitseinstellungen der Domäne und der Domänencontroller;
- Überwachungs- und Wiederherstellungskontrollen, die bestimmen, ob Sie den nächsten Vorfall erkennen oder überstehen können.
Dieser Umfang ist breiter als eine enge Härtungsprüfung und enger als eine kontinuierliche Endpoint-Telemetrie. Es geht um wiederholte Messung jener Angriffsfläche, die in AD-Umgebungen weiterhin reale Kompromittierungspfade erzeugt: Replikationsrechte, Kerberos-Delegation, schwache LDAP-Posture, Wiederverwendung lokaler Administratorkennwörter, veraltete privilegierte Konten, Zertifikatsmissbrauchspfade und blinde Flecken in der Audit-Richtlinie.
Warum Punkt-in-Zeit-AD-Audits schnell veralten
Das ist kein Marketing-Sprech. Es ist eine Eigenschaft der tatsächlichen Funktionsweise von Windows und AD.
Microsoft dokumentiert, dass das Management von Sicherheitsgruppen eigene Audit-Ereignisse erzeugt, wenn Mitglieder hinzugefügt oder entfernt werden. Dieselben Audit-Referenzen dokumentieren auch Ereignisse für Änderungen an Verzeichnisobjekten und für Änderungen an Domänenrichtlinien. Das allein zeigt bereits, warum ein einmal pro Jahr exportiertes PDF den Zustand des Verzeichnisses nicht lange repräsentieren kann: Die Objekte, die Privilegien und Exposition definieren, sollen sich gerade ändern.
Einige der wichtigsten Drift-Punkte sind operativ, nicht theoretisch:
- ein Benutzer wird für ein Projekt zu einer sensiblen Gruppe hinzugefügt und danach nie wieder entfernt;
- ein Dienstkonto erhält einen neuen SPN oder einen zu weit gefassten Delegationseintrag;
- eine GPO oder Standardrichtlinie wird geändert, um ein kurzfristiges Problem zu lösen, und anschließend nie zurückgesetzt;
- die Durchsetzung von LDAP signing oder channel binding bleibt schwächer als vorgesehen, weil ein Altsystem den Rollout blockiert hat;
- die LAPS-Abdeckung sinkt, weil neue Server außerhalb der verwalteten OU landen oder ein neues Image ohne die richtige Richtlinie ausgerollt wurde;
- AD-CS-Vorlagen oder PKI-ACLs ändern sich während Zertifikatsarbeiten;
- alte Administratorkonten bleiben aktiviert, weil niemand die privilegierte Kontenprüfung nach dem ursprünglichen Audit erneut durchgeführt hat.
Deshalb ist das Argument gegen ausschließlich jährliche Reviews einfach: Ein Punkt-in-Zeit-Audit erfasst das Verzeichnis am Tag der Datenerhebung. Es sagt nicht, ob dieselben hochkritischen Kontrollen nach Personalwechseln, Projekten, Migrationen, Übernahmen, PKI-Arbeiten, GPO-Änderungen oder Notfall-Privilegvergaben noch intakt sind.
Die Kontrollfamilien, die in jedem Zyklus erneut geprüft werden sollten
Ein gutes wiederkehrendes Verfahren prüft nicht alles mit derselben Dringlichkeit neu. Es misst jene Kontrollen erneut, die besonders schlecht altern.
1. Privilegierte Gruppen und veraltete Admin-Konten
Wenn privilegierte Mitgliedschaften zu den häufigsten Ursachen für Posture Drift gehören, sollten sie zu den ersten Dingen zählen, die erneut gemessen werden. Microsoft empfiehlt ausdrücklich, erfolgreiche Sicherheitsgruppenverwaltung zu auditieren, um Gruppenerstellung, Gruppenänderungen, Löschungen und neue Mitglieder sichtbar zu machen. Das ist wichtig, weil das reale Risiko selten lautet: „Domain Admins war schon immer für alle offen.“ Viel häufiger lautet es: „Die Mitgliedschaft hat sich geändert, niemand hat es bemerkt, und die Ausnahme wurde zur Normalität.“
Die wiederkehrende Prüfung sollte hier beantworten:
- wer heute direkte oder indirekte privilegierte Mitgliedschaften besitzt;
- welche privilegierten Konten veraltet sind oder kaum noch genutzt werden;
- ob integrierte Administratorkonten für tägliche Arbeit verwendet werden;
- ob privilegierte Benutzer weiterhin außerhalb zusätzlicher Schutzmechanismen wie Protected Users oder stärkerer Authentifizierungsmuster bleiben.
An dieser Stelle wird Veraltete und überprivilegierte Konten in AD von Theorie zu Betriebspraxis.
2. Gefährliche ACLs, Replikationsrechte und Kontrollpfade
Ein Verzeichnis kann auf Gruppenebene gesund aussehen und trotzdem Übernahmepfade über ACLs offenlegen. Replikationsrechte, WriteDACL, WriteOwner, GenericAll, Self-Membership-Rechte und Änderungen an AdminSDHolder sind genau die Art von Problemen, die nicht bis bis zur nächsten Jahresprüfung warten sollten.
Microsoft dokumentiert den AdminSDHolder-Mechanismus, weil geschützte Objekte dieses Sicherheitsdeskriptormodell erben. Genau dadurch wird er zu einem Steuerungsebenenobjekt, das wiederholt geprüft werden sollte. Wenn ein gefährliches Recht auf einem sensiblen Objekt landet und dort monatelang bestehen bleibt, ist es irrelevant, dass Sie irgendwann einmal ein sauberes Audit hatten.
Die wiederkehrende Prüfung sollte sich hier auf Folgendes konzentrieren:
- DCSync-fähige Principals und Replikationsrechte außerhalb des erwarteten DC-Scopes;
- gefährliche Schreibrechte auf privilegierten Benutzern, Gruppen, OUs, GPOs und Computern;
- Abweichungen bei AdminSDHolder und andere ACL-Änderungen, die Persistenz begünstigen;
- zertifikatsbezogene Eskalationspfade, wenn AD CS vorhanden ist.
Deshalb sollte ACL-Missbrauch und DCSync: Wie stille Rechte Domain Admin öffnen nicht als einmaliger Berichtspunkt behandelt werden.
3. Kerberos-Delegation, Shadow Credentials und Zertifikatsmissbrauch
Einige AD-Expositionen bleiben unauffällig, bis sie ausgenutzt werden. Kerberos-Delegation, msDS-KeyCredentialLink, Zertifikatszuordnungen und Rechte auf Zertifikatvorlagen sind klassische Beispiele. Wenn Sie sie nur in einer jährlichen Bewertung prüfen, akzeptieren Sie praktisch eine lange Expositionsdauer für die nächste Fehlkonfiguration.
Diese Kontrollen verdienen wiederkehrende Validierung, weil sie veränderungssensitiv sind:
- unbeschränkte, beschränkte und resource-based constrained delegation;
- Shadow-Credentials-Exposition über
msDS-KeyCredentialLink; - weak certificate mapping oder riskante AD-CS-Zertifikatvorlagen;
- neue Zertifikatsmissbrauchsketten, die durch Drift in Vorlagen oder CA-Konfiguration entstehen.
Passende Vertiefungen gibt es bereits in Kerberos-Delegationsangriffe: von unbeschränkt bis RBCD, Shadow Credentials: Missbrauch von msDS-KeyCredentialLink in Active Directory, Weak Certificate Mapping in AD CS: warum starke Bindung wichtig bleibt und ADCS-Zertifikatangriffe: wie ESC1 bis ESC8 zu Domain Admin führen.
4. Sicherheits-Posture der Domänencontroller und Protokollierungsabdeckung
Ein wiederkehrendes Verfahren muss auch erneut prüfen, ob die Umgebung den nächsten Vorfall überhaupt noch beobachten kann. Microsoft dokumentiert WEF als Mechanismus zum Weiterleiten ausgewählter Ereignisse an einen Collector und weist ausdrücklich darauf hin, dass WEF passiv ist: WEF erzeugt die Ereignisse nicht selbst. Wenn Ereigniserzeugung, Audit-Kategorien, Log-Größen oder PowerShell-Protokollierung von der vorgesehenen Richtlinie abweichen, verschlechtert sich Ihre Sichtbarkeit, selbst wenn das letzte Audit zum Zeitpunkt seiner Ausführung korrekt war.
Deshalb sollte die wiederkehrende Prüfung Folgendes einschließen:
- Audit-Richtlinienabdeckung auf Domänencontrollern;
- Größe und Aufbewahrung des Security Logs;
- PowerShell-Protokollierungsabdeckung;
- Durchsetzung von LDAP signing und channel binding;
- SMB-signing-Anforderungen auf DCs;
- WEF oder andere zentrale Erfassung für genau die Ereignisse, auf die Sie angewiesen sind.
Das ist die praktische Brücke zwischen AD-Sicherheitsüberwachung: Event-IDs, die wirklich zählen und einem Audit-Verfahren, das nach dem ersten Bericht weiter Nutzen stiftet.
5. Kennworthygiene lokaler Administratoren und Drift bei Workstation- und Server-Rollouts
Einige Findings sind keine „einmal kaputt, für immer kaputt“-Befunde. Sie tauchen wieder auf, weil sich die Infrastruktur schneller verändert als der Rollout des vorgesehenen Standards. Windows LAPS ist ein gutes Beispiel. Microsoft dokumentiert Windows LAPS als Windows-Funktion, die das Kennwort eines lokalen Administratorkontos automatisch verwaltet und sichert. Dass die Funktion existiert, bedeutet aber nicht, dass Ihr gesamter Bestand heute tatsächlich abgedeckt ist.
Die wiederkehrende Prüfung sollte daher verifizieren:
- ob LAPS tatsächlich breit genug ausgerollt ist;
- ob neue Systeme im verwalteten Scope landen;
- ob privilegierte lokale Kennwörter weiterhin zu breit lesbar bleiben;
- ob nicht verwaltete Systeme wieder pass-the-hash-ähnliche Seitwärtsbewegungsrisiken einführen.
Das ist das Betriebsmodell hinter Windows LAPS nicht bereitgestellt: warum gemeinsame lokale Admin-Kennwörter weiter relevant sind.
Eine praktikable Kadenz, die besser funktioniert als ein jährlicher Schnappschuss
Es gibt keine universelle Frequenz, die für jede Organisation passt. Die richtige Kadenz hängt von Änderungsrate, Administrationsmodell und davon ab, ob AD CS, mehrere Forests oder hybride Identität zusätzliche Komplexität einbringen. In der Praxis funktioniert ein gestuftes Modell besser als ein einziges Jahresreview.
| Kadenz | Ziel | Was erneut gemessen werden sollte |
|---|---|---|
| Wöchentlich | Privilegien-Drift und Richtlinienänderungen früh erkennen | privilegierte Mitgliedschaften, neu angelegte privilegierte Konten, kürzlich erzeugte Objekte, aktuelle SIDHistory-Änderungen, Änderungen an Standardrichtlinien, hochriskante ACL-Änderungen |
| Monatlich | Strukturelle Exposition erneut validieren | DCSync-fähige Principals, Delegation, LDAP/SMB signing, LAPS-Abdeckung, veraltete Konten, Dienstkontenhygiene, Protokollierungskonfiguration |
| Vierteljährlich | Architekturbezogene Angriffspfade prüfen | AD-CS-Exposition, Vertrauensstellungen, AdminSDHolder, machine account quota, OU- und GPO-Struktur, Tiering- und Administrationspfad-Annahmen |
| Nach jeder größeren Änderung | Qualität von Behebung und Rollout verifizieren | Fusionen, PKI-Arbeiten, GPO-Neudesign, neue Administrationstools, neue Server-Baseline, Tiering-Änderungen, Bereinigung privilegierter Rollen |
Es geht nicht darum, mehr Meetings zu erzeugen. Es geht darum, die Zeit zwischen Änderung, Messung und Verifikation zu verkürzen.
Wie sich das mit EtcSec in kontinuierliches Posture Monitoring übersetzen lässt
Hier wird das Modell nützlicher als ein jährlicher Beratungsbericht.
Der aktuell veröffentlichte AD-Katalog von ETC Collector listet 340 Detektionen in 14 Kategorien, mit Abdeckung für privilegierte Konten, Kerberos, Berechtigungen, GPO, Vertrauensstellungen, Überwachung und Compliance sowie ADCS-Kontrollen und Angriffspfade in Pro. Das ist wichtig, weil ein wiederkehrendes Verfahren nur dann funktioniert, wenn derselbe Detektorsatz konsistent erneut ausgeführt werden kann, ohne jede Überprüfung wieder in ein Beratungsprojekt zu verwandeln.
Noch wichtiger: Das Bereitstellungsmodell passt zur Arbeitsweise:
- der Collector auditiert AD im Read-only-Modus über LDAP/LDAPS und SMB für SYSVOL;
- am Verzeichnis werden keine Änderungen vorgenommen;
- auf Domänencontrollern muss kein Agent ausgerollt werden;
- im Daemon-Modus läuft der Collector als persistenter Hintergrunddienst, fragt die SaaS-Plattform alle 30 Sekunden nach Befehlen, führt Audits lokal aus und meldet die Ergebnisse remote zurück;
- die API stellt den Status des letzten Audits bereit und unterstützt synchrone oder asynchrone Wiederholungen, genau das also, was ein wiederkehrendes Verfahren braucht.
Dadurch passt das Produkt besser zu einem kontinuierlichen Posture-Modell als zu einem jährlichen PDF. Es geht nicht um „Echtzeit-Erkennung“ im SIEM-Sinn. Es geht darum, dass dieselben Kontrollfamilien mit geringer Reibung immer wieder neu gemessen werden können und dass sich Behebungen durch erneutes Auditing verifizieren lassen, statt bis zum nächsten Budgetzyklus zu warten.
Die EtcSec-Kontrollen, die in einem wiederkehrenden Verfahren am meisten zählen
Ein wiederkehrendes Verfahren ist nur glaubwürdig, wenn es auf konkrete Prüfungen abgebildet werden kann. Auf Basis des aktuellen ETC-Vulnerability-Katalogs eignen sich folgende Findings besonders gut für wiederholte Posture-Reviews:
| Prüfbereich | EtcSec-Findings für regelmäßige Neubewertung | Warum sie schlecht altern |
|---|---|---|
| Privilegien-Drift | PRIVILEGED_ACCOUNT_STALE, PRIVILEGED_GROUP_MEMBER_CHANGES, RECENT_PRIVILEGED_CREATION, ADMIN_NATIVE_RECENT_LOGON, GROUP_EVERYONE_IN_PRIVILEGED, GROUP_AUTHENTICATED_USERS_PRIVILEGED | Mitgliedschaften und Ausnahmen sammeln sich still an |
| ACL- und Replikationspfade | DCSYNC_CAPABLE, ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ADMIN_SD_HOLDER_MODIFIED, ADMINSDHOLDER_BACKDOOR | ein einziges delegiertes Recht kann den ursprünglichen Change lange überdauern |
| Kerberos und Identitätsmissbrauch | UNCONSTRAINED_DELEGATION, CONSTRAINED_DELEGATION, RBCD_ABUSE, SHADOW_CREDENTIALS, KERBEROASTING_RISK, ASREP_ROASTING_RISK | diese Einstellungen ändern sich bei Service-Rollouts, Migrationen und Admin-Ausnahmen |
| LDAP- und Relay-Posture | LDAP_SIGNING_DISABLED, LDAP_CHANNEL_BINDING_DISABLED, SMB_SIGNING_DISABLED, NTLM_RELAY_OPPORTUNITY | Kompatibilitätsarbeit schwächt diese Kontrollen oft im Lauf der Zeit |
| LAPS und Endpoint-Hygiene | LAPS_NOT_DEPLOYED, LAPS_DOMAIN_COVERAGE_LOW, LAPS_PASSWORD_READABLE, COMPUTER_NO_LAPS | neue Systeme und OUs verfehlen oft die beabsichtigte Baseline |
| Überwachungsbereitschaft | AUDIT_POLICY_WEAK, POWERSHELL_LOGGING_DISABLED, AUDIT_LOGON_EVENTS_DISABLED, AUDIT_ACCOUNT_MGMT_DISABLED, AUDIT_POLICY_CHANGE_DISABLED, SECURITY_LOG_SIZE_SMALL, DC_AUDIT_POLICY_INCOMPLETE | Protokollierungsqualität driftet, wenn GPOs weiterentwickelt werden und Serverteams Ausnahmen einbauen |
| AD CS und Zertifikatspfade (Pro) | ESC1-ESC11, ADCS_WEAK_PERMISSIONS, ESC6_EDITF_ATTRIBUTESUBJECTALTNAME2, PATH_CERTIFICATE_ESC | Zertifikatsdienste ändern sich bei Arbeiten an Vorlagen, PKI und Ausstellung |
Diese Liste macht aus einem Audit ein Verfahren. Statt jedes Jahr erneut für die Wiederentdeckung derselben Kontrollfamilien zu zahlen, kann das Team fortlaufend jene Bereiche neu prüfen, die am ehesten zuerst driften.
Remediation und Validierung nach jedem Korrekturzyklus
Wiederkehrende Reviews funktionieren nur, wenn jede Behebung mit einer Verifikation endet. Andernfalls fällt das Verfahren auf Ticket-Tracking ohne erneute Messung zurück.
Nach jedem Change Window sollte das Team eine einfache operative Sequenz ausführen:
- dasselbe Audit direkt nach der Änderung erneut starten;
- prüfen, ob das Ziel-Finding im nächsten Bericht verschwunden ist;
- kontrollieren, ob sich das Risiko in eine andere Kontrollfamilie verschoben hat, etwa von Gruppenmitgliedschaft zu gefährlicher ACL;
- verifizieren, dass die Remediation nicht die Überwachung geschwächt hat, etwa durch Änderungen an GPOs, Protokollierung oder Durchsetzung;
- akzeptierte Ausnahmen dokumentieren und die nächste Messung terminieren.
Nach jedem Change Window sollten außerdem einige Basisfragen beantwortbar sein:
- ist das adressierte Finding im nächsten Audit verschwunden;
- hat sich das Risiko lediglich verlagert, zum Beispiel von einer Gruppenmitgliedschaft zu einem ACL-Problem;
- hat die Behebung die Überwachung geschwächt, etwa durch Änderungen an GPOs, die Protokollierung oder Richtliniendurchsetzung beeinflussen;
- hat eine angeblich isolierte Ausnahme einen neuen Pfad über Delegation, Replikationsrechte oder Zertifikatskonfiguration geschaffen;
- hat sich der Security Score aus dem richtigen Grund verbessert, also durch weniger relevante Findings und nicht nur durch weniger gescannte Objekte.
Hier spielt ein wiederkehrendes Verfahren seinen Vorteil gegenüber einer jährlichen Bewertung aus. Sie müssen nicht monatelang warten, um zu prüfen, ob eine Privilegienbereinigung, ein LAPS-Rollout, ein LDAP-signing-Projekt oder eine AD-CS-Härtung tatsächlich Bestand hatte.
Wo das jährliche Beratungsmodell weiterhin sinnvoll ist
Das bedeutet nicht, dass einmalige externe Reviews wertlos wären. Sie bleiben für tiefe Architekturprüfungen, Incident Response, Red-Team-Validierung und Governance-Meilensteine wichtig. Sie sind jedoch kein Ersatz für die wiederkehrende Messung des Verzeichnisses selbst.
Ein reifes Modell sieht meist so aus:
- tiefgehende externe Prüfung, wenn Architektur, Vertrauensgrenzen oder Incident-Kontext das rechtfertigen;
- wiederkehrende, Collector-getriebene Posture-Messung für die Kontrollfamilien mit der höchsten Drift dazwischen;
- gezielte Nacharbeit, wenn neue Findings auftauchen oder Behebungen stocken.
Das ist belastbarer, als ein teures Audit zu kaufen, den Bericht abzulegen und zu hoffen, dass das Verzeichnis im selben Zustand bleibt, während Administratoren, Projekte und Notfalländerungen es weiter umformen.
Wie EtcSec den Unterschied zwischen Bericht und Verfahren erkennt
EtcSec ist dann am stärksten, wenn AD-Sicherheitsprüfung in einen Betriebsrhythmus übersetzt wird:
- denselben Detektorsatz wiederholt ausführen;
- neue Privilegien-Drift schnell sichtbar machen;
- Härtungsänderungen nach jedem Rollout verifizieren;
- ADCS, Kerberos, ACLs und Überwachungs-Posture im selben Prüfzyklus halten;
- den Prozess aus dem SaaS steuern, während die Datenerhebung im Kundennetz verbleibt.
Das ist die entscheidende Unterscheidung. Ein wiederkehrendes Active Directory Audit bedeutet nicht einfach nur „öfter auditieren“. Es ist der Wechsel von gelegentlicher Assurance zu kontinuierlichem Posture Monitoring durch wiederholte, reibungsarme Neumessung.
Primärquellen
- Microsoft Learn - Audit Security Group Management
- Microsoft Learn - Event 5136: A directory service object was modified
- Microsoft Learn - Event 4739: Domain Policy was changed
- Microsoft Learn - LDAP signing for Active Directory Domain Services on Windows Server
- Microsoft Learn - Windows LAPS overview
- Microsoft Learn - AdminSDHolder (MS-ADTS)
- Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
- ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD
- ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory
