Security · Active Directory

Pass-the-Hash und Lateral Movement: Wie Angreifer lokale Adminrechte ausnutzen — und wie man es verhindert

Lesezeit: ca. 9 Minuten · Jörn Walter · IT-Service Walter

Ein Angreifer braucht in vielen Windows-Umgebungen nur einen einzigen Einstiegspunkt — einen kompromittierten Rechner mit einem lokalen Administratorkonto. Von dort aus kann er sich in wenigen Minuten durch die gesamte Domäne bewegen, ohne einmal ein Passwort zu kennen.

Dieses Angriffsmuster nennt sich Lateral Movement, und die häufigste technische Grundlage dafür ist Pass-the-Hash. Beides ist keine Theorie — es gehört zum Standardrepertoire moderner Angreifer und ist in nahezu jeder unzureichend gehärteten Windows-Umgebung ausnutzbar.

Inhalt

Was ist Pass-the-Hash?
Der typische Angriffsablauf Schritt für Schritt
Warum lokale Admins das entscheidende Problem sind
Risikofaktoren in der Praxis
Konkrete Gegenmaßnahmen
Der erste Schritt: Überblick verschaffen

1. Was ist Pass-the-Hash?

Windows speichert Passwörter nicht im Klartext, sondern als Hash — genauer als NTLM-Hash. Dieser Hash wird für die Authentifizierung verwendet. Das klingt sicher, ist es aber nicht: Windows akzeptiert bei NTLM-Authentifizierung den Hash direkt, ohne das zugrunde liegende Passwort zu kennen.

Pass-the-Hash bedeutet daher: Ein Angreifer extrahiert den NTLM-Hash eines Kontos aus dem Arbeitsspeicher (LSASS-Prozess) eines bereits kompromittierten Systems — und verwendet diesen Hash direkt für die Authentifizierung an anderen Systemen. Kein Passwort-Cracking notwendig.

ℹ Technischer Hintergrund

Der LSASS-Prozess (Local Security Authority Subsystem Service) hält Hashes authentifizierter Benutzer im Arbeitsspeicher. Tools wie Mimikatz können diesen Prozess auslesen — sofern der Angreifer lokale Adminrechte auf dem Zielsystem hat. Genau hier liegt die entscheidende Voraussetzung.

2. Der typische Angriffsablauf Schritt für Schritt

Initialer Zugang

Der Angreifer gelangt über Phishing, eine verwundbare Anwendung oder schwache Credentials auf einen ersten Workstation-Rechner — vorerst mit normalen Benutzerrechten.

Privilege Escalation

Durch eine lokale Schwachstelle oder einen Konfigurationsfehler erhält der Angreifer lokale Administratorrechte auf dem ersten System.

Hash-Extraktion aus LSASS

Mit lokalen Adminrechten liest er den LSASS-Prozess aus und extrahiert NTLM-Hashes aller Konten, die sich jemals an diesem System angemeldet haben — inklusive eventuell gecachter Domänen-Admin-Credentials.

Lateral Movement per Pass-the-Hash

Mit dem extrahierten Hash authentifiziert er sich an weiteren Systemen — ohne das Passwort zu kennen. Wenn der lokale Administrator auf mehreren Systemen dasselbe Passwort hat, ist der Weg durch die gesamte Domäne offen.

Domänenübernahme

Gelangt er auf diese Weise an einen Domain Controller oder an ein System, auf dem sich ein Domain Admin angemeldet hat, ist die vollständige Domänenübernahme möglich — oft innerhalb weniger Stunden nach dem initialen Zugang.

3. Warum lokale Admins das entscheidende Problem sind

Der kritische Faktor beim Pass-the-Hash-Angriff ist nicht das Passwort — es ist die unkontrollierte Verbreitung lokaler Administratorrechte im Netzwerk. Drei Szenarien machen das besonders gefährlich:

SZENARIO 1

Einheitliches lokales Admin-Passwort

Wenn alle Workstations dasselbe lokale Administrator-Passwort haben, reicht ein einziger kompromittierter Hash für den Zugriff auf alle Geräte.

SZENARIO 2

Domänenbenutzer in lokaler Admin-Gruppe

Ihr Hash ist auf jedem System extrahierbar, auf dem sie lokaler Admin sind — und damit eine Brücke zwischen Systemen.

SZENARIO 3

Aktiver Builtin-Administrator

Der eingebaute Administrator (SID-RID 500) ist ein bekanntes Angriffsziel — nie gesperrt, in jeder lokalen Admin-Gruppe vorhanden.

⚠ Wichtig

Das Umbenennen des Builtin-Administrators schützt nicht zuverlässig. Der Account ist über seine feste SID (S-1-5-21-…-500) identifizierbar — unabhängig vom Kontonamen. Angreifer nutzen genau diese SID zur gezielten Erkennung.

4. Risikofaktoren in der Praxis

Risikofaktor	Auswirkung	Bewertung
Einheitliches lokales Admin-Passwort	Ein Hash öffnet alle Systeme	Kritisch
Builtin-Administrator aktiv	Bekanntes Ziel, nie gesperrt	Kritisch
Domänenbenutzer in lokaler Admin-Gruppe	Hash auf jedem System extrahierbar	Hoch
Domain Admins melden sich an Workstations an	DA-Hash auf Workstation extrahierbar	Kritisch
Kein LAPS im Einsatz	Einheitliche lokale Passwörter wahrscheinlich	Hoch
Shadow Admins durch verschachtelte Gruppen	Unsichtbare Admin-Pfade im AD	Hoch

5. Konkrete Gegenmaßnahmen

Maßnahme 1

LAPS einführen (Local Administrator Password Solution)

Microsoft LAPS vergibt für jeden Rechner ein einzigartiges, automatisch rotiertes lokales Administrator-Passwort und speichert es sicher im Active Directory. Damit ist das “ein Hash für alle Systeme”-Szenario dauerhaft eliminiert. Windows LAPS ist seit Windows Server 2022 und Windows 11 nativ integriert.

LAPS ist der wichtigste einzelne Schritt zur Absicherung gegen Pass-the-Hash — und kostet nichts.

Maßnahme 2

Builtin-Administrator deaktivieren

Den eingebauten Administrator (RID-500) per GPO deaktivieren. LAPS legt stattdessen ein eigenes verwaltetes Konto an. Das Umbenennen allein reicht nicht — die SID bleibt identifizierbar.

Maßnahme 3

Lokale Admin-Gruppen systematisch bereinigen

Regelmäßig prüfen, wer in der lokalen Administrators-Gruppe sitzt — auf jedem einzelnen Rechner der Domäne. Domänenbenutzer, die dort direkt eingetragen sind, müssen entfernt werden. Zugriffsberechtigungen sollten über dedizierte Gruppen per GPO gesteuert werden.

Maßnahme 4

Credential Guard aktivieren

Windows Credential Guard schützt den LSASS-Prozess durch Virtualisierung — gespeicherte Hashes sind dadurch für Angreifer nicht mehr direkt auslesbar, selbst mit lokalen Adminrechten. Voraussetzung: Windows 10/11 Enterprise oder Server 2016+ mit aktivierter VBS.

Maßnahme 5

Domain Admins nie auf Workstations anmelden

Domain-Admin-Konten dürfen sich ausschließlich an Domain Controllern und dedizierten Admin-Workstations (PAW) anmelden — nie an normalen Benutzer-Workstations. Denn genau dort könnte ein Angreifer bereits warten und den DA-Hash abgreifen.

6. Der erste Schritt: Überblick verschaffen

Alle Gegenmaßnahmen setzen eines voraus: Einen vollständigen Überblick darüber, wer überhaupt in den lokalen Administrators-Gruppen aller Domänen-Rechner sitzt. In kleinen Umgebungen noch manuell machbar — bei 50, 100 oder 500 Rechnern ohne Tool schlicht nicht praktikabel.

✓Welche Konten sind auf welchem Rechner lokaler Admin?

✓Ist der Builtin-Administrator (RID-500) aktiv — auch nach Umbenennung?

✓Sind Domänenbenutzer direkt in lokalen Admin-Gruppen eingetragen?

✓Gibt es unbekannte oder nicht klassifizierbare Konten in diesen Gruppen?

✓Wie viele lokale Admins hat ein Rechner insgesamt — ist das verhältnismäßig?

ISW Local Admin Auditor

Der ISW Local Admin Auditor scannt alle Computerkonten der Domäne parallel, liest die Mitglieder jeder lokalen Administrators-Gruppe aus und bewertet die Ergebnisse automatisch nach Risikostufen — inklusive zuverlässiger RID-500-Erkennung auch bei umbenannten Builtin-Administratoren. Ergebnisse als PDF-Bericht direkt für den nächsten Audit verwendbar.

Mehr erfahren →

Fazit

Pass-the-Hash ist kein exotischer Angriff für Hochsicherheitsumgebungen — er ist Alltag in modernen Penetrationstests und realen Angriffen auf mittelständische Windows-Domänen. Die technische Grundlage ist einfach: Unkontrollierte lokale Adminrechte, ein einheitliches lokales Passwort und kein Schutz des LSASS-Prozesses.

Die wichtigsten Gegenmaßnahmen — LAPS, Bereinigung der lokalen Admin-Gruppen, Deaktivierung des Builtin-Administrators — sind ohne große Investitionen umsetzbar. Voraussetzung ist jedoch der Überblick: Wer sitzt wo als lokaler Admin?