contactbox close button
Ihr Ansprechpartner

Anita Tuma

Marketing

T:
M:

E-Mail schicken Download Vcard
chatbox close button

Sie haben Fragen? Dann schreiben Sie uns jetzt im Facebook Messenger.

Um uns eine Nachricht zu schicken, möchten wir Sie auf die entsprechenden Datenschutzbestimmungen hinweisen. Bitte beachten Sie, dass die Nutzung & Verarbeitung Ihrer Daten über den Facebook-Dienst in Ihren eigenen Facebook-Einstellungen zu verwalten ist.

Teilen:

Microsoft Security Kompakt – wichtige Tipps in Kürze (Teil 3)

Veröffentlicht am Montag, 13 10 2025 / Christian Andresen / Themen: Tipps und Tricks

Die Geister in deiner Domäne:
Alte Admins & vergessene Berechtigungen

Active Directory-Umgebungen wachsen oft über viele Jahre – mit wechselnden Administratoren, Projekten und Migrationen.
Was dabei fast immer passiert: alte Accounts, vergessene Gruppen und unkontrollierte Delegationen bleiben zurück.

Für Angreifer sind das perfekte Einstiegspunkte:

  • ein ehemaliger Mitarbeiteraccount, der noch aktiv ist
  • ein Dienstkonto mit „Password never expires“
  • oder ein Mitglied in einer vergessenen privilegierten Gruppe

All das reicht, um unbemerkt Kontrolle über die Domäne zu erlangen.

Typische Risiken

  1. Verwaiste Benutzerkonten

    2. – Ex-Mitarbeiter oder Test-Accounts bleiben aktiv
    – Oft ohne MFA oder mit altem Passwortschutz

  2. Dienstkonten ohne Eigentümer

    3. – Niemand weiß mehr, wofür sie existieren
    – „Password never expires“ sorgt für jahrzehntealte Credentials

  3. Überfüllte privilegierte Gruppen

    4. – Adminrechte werden großzügig verteilt, aber nie wieder entzogen
    – Oft über Jahre historisch gewachsen

  4. Vergessene Delegationen

    5. – Alte Gruppen haben Schreibrechte auf OUs oder dürfen Passwörter zurücksetzen.
    – Potenzial für lateral movement und privilege escalation.

Privilegierte Gruppen im Fokus

Diese Gruppen sollte man immer unter besonderer Beobachtung haben:

  • Domain Admins – Vollzugriff auf alle Domain-Ressourcen
  • Enterprise Admins – Kontrolle über den gesamten Forest
  • Schema Admins – Änderungen am Schema (besonders gefährlich)
  • Server Operators – können Server herunterfahren, Dienste ändern, Eventlogs löschen
  • Backup Operators – dürfen Dateien unabhängig von NTFS-Rechten sichern und wiederherstellen
  • Account Operators – können Benutzer und Gruppen verwalten (außer die Top-Admin-Gruppen)

Diese Gruppen sind oft übersehen – aber jedes Mitglied hier hat indirekt Domänen- oder Systemkontrolle.

Schritt 1: Inaktive Accounts aufspüren

# Benutzer, die seit 90 Tagen nicht mehr angemeldet waren
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly |
Select-Object Name, LastLogonDate

# Computer, die seit 180 Tagen inaktiv sind
Search-ADAccount -AccountInactive -TimeSpan 180.00:00:00 -ComputersOnly

Schritt 2: Mitglieder privilegierter Gruppen prüfen

# Kritische Gruppen in einer Schleife auswerten
$groups = @(
  'Domain Admins',
  'Enterprise Admins',
  'Schema Admins',
  'Server Operators',
  'Backup Operators',
  'Account Operators'
)

foreach ($g in $groups) {
  Write-Output "`n### Mitglieder von $g ###"
  Get-ADGroupMember $g | Select-Object Name, ObjectClass
}

Ergebnisse dokumentieren, regelmäßig prüfen und nur minimal notwendige Mitglieder zulassen.

Schritt 3: Dienstkonten analysieren 

# Konten mit "Password never expires"
Get-ADUser -Filter {PasswordNeverExpires -eq $true -and Enabled -eq $true} `
-Properties PasswordNeverExpires, LastLogonDate

# Dienstkonten ohne Beschreibung
Get-ADUser -Filter * -Properties Description |
Where-Object { $_.Description -eq $null -and $_.Enabled -eq $true }

Schritt 4: Delegierte Rechte auf OUs prüfen 

# Delegationen auf einer OU anzeigen
dsacls "OU=ServiceAccounts,DC=contoso,DC=com"

Besser geht’s mit Freeware wie AD ACL Scanner oder BloodHound, wenn du einen kompletten Überblick willst.

Best Practices

  • Regelmäßige Audits: Monatlich alle privilegierten Gruppen durchgehen
  • Accounts dokumentieren: Jeder Account braucht einen Owner
  • Just-in-Time Adminrechte: Dauerhafte Mitgliedschaft in Admin-Gruppen vermeiden
  • Veraltete Delegationen löschen: Lieber neue, saubere Berechtigungen setzen
  • Monitoring: Änderungen an privilegierten Gruppen müssen Alerts auslösen

Checkliste: Privileged Accounts Audit

  • Alle Benutzer in Domain Admins, Enterprise Admins, Schema Admins dokumentiert
  • Mitglieder von Server Operators, Backup Operators, Account Operators überprüft
  • Dienstkonten mit Password never expires erfasst
  • Accounts ohne Owner oder Beschreibung identifiziert
  • Inaktive Accounts (>90 Tage) deaktiviert oder gelöscht
  • Delegierte Rechte auf OUs und Objekte überprüft

Fazit

Vergessene Accounts und unkontrollierte Berechtigungen sind kein Schönheitsfehler, sondern eine ernsthafte Gefahr.
Ein Angreifer braucht nur einen einzigen unentdeckten Account, um die gesamte Domäne zu übernehmen.

Regelmäßige Audits, klare Zuständigkeiten und strikte Kontrolle privilegierter Gruppen sind Pflicht – und kosten meist nur Sitzfleisch, keine extra Lizenzkosten.

Tags : # # #
Teilen:
Zurück zur Übersicht