AD-Sicherheit: Tiering-Modell und RODC

Active Directory ist der Schlüssel zu allem in einer Windows-Unternehmensumgebung. Wer einen Domänencontroller kompromittiert, hat Zugriff auf alle Benutzerkonten, alle Passwort-Hashes, alle Ressourcen. Genau das machen moderne Ransomware-Gruppen: Sie kämpfen sich durch das Netzwerk und eskalieren Privilegien bis sie Domain-Admin-Rechte haben – dann verschlüsseln sie alles. Das AD-Tiering-Modell (auch: Administrative Tier Model oder Privileged Access Model) ist Microsofts Antwort darauf: Sicherheitsebenen die verhindern, dass Credential-Diebstahl auf niedrigerer Ebene zur Kompromittierung der höheren Ebene führt.

1) Das Drei-Stufen-Tiering-Modell

Das Grundprinzip ist einfach: Wer auf Tier 0 (DCs, Schema, kritische Infrastruktur) zugreifen darf, darf sich nicht auf Tier-2-Rechnern anmelden. Warum? Wenn ein Angreifer einen Tier-2-PC kompromittiert, findet er dort die Anmeldedaten des Admins der sich dort eingeloggt hat – und wenn der Admin Tier-0-Rechte hat, hat der Angreifer sie jetzt auch. Durch das Tiering bleiben Credentials sauber auf ihrer Ebene. Klicke ein Tier für Details:

AD-Tiering-Modell – Tier anklicken

0 Tier 0 – Identity Control Plane DCs, AD, PKI, ADFS

Tier 0 umfasst alle Systeme die direkten Einfluss auf die Identität aller anderen Systeme haben: Domänencontroller, AD-Admin-Tools, PKI-Server (ADCS), ADFS. Tier-0-Admins (Domain Admins, Enterprise Admins) dürfen sich nur an Tier-0-Systemen und dedizierten PAWs (Privileged Access Workstations) anmelden. Sie dürfen sich NIEMALS an Tier-1- oder Tier-2-Systemen anmelden.

1 Tier 1 – Server Control Plane Applikationsserver, Datenbanken, Fileserver

Tier 1 umfasst alle Server die wichtige Dienste bereitstellen, aber keine AD-Kontrolle haben: Dateiserver, SQL-Server, Exchange, Web-Server. Tier-1-Admins verwalten diese Server – aber sie dürfen sich nicht an Tier-0-Systemen (DCs) anmelden. Tier-1-Credentials dürfen nie auf Tier-2-Endgeräten eingegeben werden.

2 Tier 2 – Endgeräte Control Plane Workstations, Laptops, Endnutzer-PCs

Tier 2 sind die normalen Endbenutzer-Workstations. Helpdesk-Admins die PCs verwalten haben Tier-2-Credentials. Diese dürfen nie auf Servern (Tier 1) oder DCs (Tier 0) genutzt werden. Normaler Benutzerlogin erfolgt immer auf Tier-2-Geräten. Die meisten Angriffe beginnen auf Tier 2 – deshalb ist die Isolation so wichtig.

PAW (Privileged Access Workstation): Tier-0- und Tier-1-Admins sollen sich von dedizierten gehärteten Workstations anmelden, nicht von ihren normalen Büro-PCs. Eine PAW hat keine E-Mail, kein Internet, keine Office-Software – nur Admin-Tools. Wenn der Tier-0-Admin seinen normalen PC für Mails nutzt und dieser kompromittiert wird, sind seine Tier-0-Credentials in Gefahr.

2) Häufige AD-Angriffsvektoren und Gegenmaßnahmen

Für die IHK-Prüfung und für die Praxis ist es wichtig, die häufigsten Angriffe gegen Active Directory zu kennen. Die meisten davon zielen auf Credential-Diebstahl oder Ticket-Missbrauch ab:

AD-Angriffsvektoren – Angriff und Gegenmittel

Pass-the-Hash (PtH)

Angreifer stiehlt NTLM-Hash aus dem Speicher (z.B. via Mimikatz aus LSASS) und nutzt ihn direkt für Authentifizierung – ohne das Klartextpasswort zu kennen.

✓ NTLM deaktivieren wo möglich, Credential Guard aktivieren, kein Local-Admin auf Workstations

Pass-the-Ticket (PtT)

Gestohlenes Kerberos-Ticket (TGT oder Service Ticket) wird für Zugriffe genutzt. Kein Passwort nötig – das Ticket ist für seine Gültigkeitsdauer ausreichend.

✓ Protected Users Security Group, kurze Ticket-Gültigkeiten, Monitoring auf ungewöhnliche Ticket-Nutzung

Golden Ticket

Angreifer hat den NTLM-Hash des krbtgt-Kontos gestohlen und kann damit selbst TGTs für beliebige Benutzer ausstellen – mit beliebigen Berechtigungen, beliebig lange gültig.

✓ Tier-0-Schutz für DCs, krbtgt-Passwort regelmäßig doppelt rotieren, Anomalie-Monitoring

Kerberoasting

Alle Benutzer können Service Tickets für Dienste mit SPN anfordern. Das Ticket ist mit dem Passwort-Hash des Dienstkontos verschlüsselt – offline knackbar per Brute Force.

✓ Lange zufällige Passwörter für Dienstkonten (gMSA), Monitoring auf massenhafte TGS-Requests

Protected Users Security Group: Benutzer in dieser Gruppe können keine NTLM-Authentifizierung nutzen (nur Kerberos), keine Credential-Delegation, keine RC4-Verschlüsselung. Tier-0-Admins sollten immer in dieser Gruppe sein. Achtung: Teste zuerst ob alle genutzten Dienste Kerberos unterstützen – sonst können sich diese Benutzer an manchen Diensten nicht mehr anmelden.

3) RODC – Read-Only Domain Controller

Ein RODC (Read-Only Domain Controller) ist ein DC der nur eine lesende Kopie der AD-Datenbank hält. Änderungen an Benutzern, Passwörtern oder Konfigurationen müssen an einem normalen (schreibbaren) DC vorgenommen werden und replizieren dann zum RODC. Wann sinnvoll? Für Standorte mit eingeschränkter physischer Sicherheit – z.B. eine Zweigstelle in einem nicht gesicherten Raum, oder ein DC in einer DMZ für RADIUS-Authentifizierung. Wenn der RODC gestohlen oder kompromittiert wird, ist der Schaden begrenzt: Der Angreifer kann das AD nicht verändern, und er hat nur Hashes der Benutzer die explizit auf dem RODC gecacht werden dürfen (Password Replication Policy).

Zusammenfassung

AD-Tiering: Tier 0 (DCs/AD), Tier 1 (Server), Tier 2 (Endgeräte). Tier-0-Admins dürfen sich nie auf Tier-1/2-Systemen anmelden – Credential-Isolation. Häufigste Angriffe: Pass-the-Hash/Ticket, Golden Ticket (krbtgt-Hash), Kerberoasting. Protected Users Group schützt Tier-0-Accounts. RODC für physisch unsichere Standorte – beschränkte Passwort-Replikation, read-only.

AD-Sicherheit: Tiering-Modell und RODC

1) Das Drei-Stufen-Tiering-Modell

2) Häufige AD-Angriffsvektoren und Gegenmaßnahmen

3) RODC – Read-Only Domain Controller

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title