Kerberos-Härtung in Active Directory
Kerberos ist das Herzstück der Authentifizierung in jedem Active Directory – und gleichzeitig eines der am häufigsten unterschätzten Angriffsziele. Golden Tickets, Kerberoasting, Unconstrained Delegation: All diese Techniken funktionieren genau dann besonders gut, wenn die Kerberos-Konfiguration über Jahre gewachsen und nie systematisch überprüft wurde.
Die gute Nachricht: Die wichtigsten Schwachstellen lassen sich rein über LDAP-Abfragen gegen den Domain Controller auslesen – ohne invasive Tools, ohne Agenten, ohne Risiko für den laufenden Betrieb. In diesem Artikel zeige ich dir die 11 LDAP-basierten Checks in 3 Kategorien, die in jeder AD-Umgebung Pflicht sein sollten.
Kategorie 1: Konten- & Passwort-Hygiene
Das krbtgt-Konto signiert alle Kerberos-Tickets in deiner Domäne. Ist sein Passwort älter als 180 Tage, kann ein bereits kompromittierter Hash unbegrenzt für Golden-Ticket-Angriffe genutzt werden. Microsoft empfiehlt eine zweimalige Rotation alle 6–12 Monate.
Konten mit servicePrincipalName und gleichzeitiger Mitgliedschaft in privilegierten Gruppen sind Kerberoasting-Goldminen. Jeder Domain-User kann ein TGS für sie anfordern und das Passwort offline knacken.
Konten mit DONT_REQ_PREAUTH sind angreifbar via AS-REP-Roasting. Ein UAC-Bit-Check über LDAP findet sie zuverlässig – in vielen Umgebungen existieren solche Konten aus Kompatibilitätsgründen längst vergessen weiter.
Kategorie 2: Verschlüsselung & Funktionsebene
Konten mit aktiviertem DES (USE_DES_KEY_ONLY) sind innerhalb von Sekunden zu brechen. Dieser Check sollte in jeder modernen Domäne ein Treffer von 0 zurückliefern.
RC4-HMAC ist die bevorzugte Beute beim Kerberoasting, weil es deutlich schneller offline zu cracken ist als AES. Über msDS-SupportedEncryptionTypes lässt sich pro Konto auslesen, welche Verfahren aktiv sind.
Spiegelbild zu Check 5: Konten ohne explizit gesetztes AES128/AES256 fallen im Zweifel auf RC4 zurück. Besonders kritisch bei Service-Accounts mit SPN.
Funktionsebenen unterhalb von Windows Server 2012 R2 verhindern moderne Schutzmechanismen wie Protected Users oder Authentication Policies. Ein einzelner LDAP-Read auf msDS-Behavior-Version deckt das auf.
Kategorie 3: Delegation & Ticket-Policy
Konten mit TRUSTED_FOR_DELEGATION speichern TGTs eingehender Benutzer im Speicher – ein Klassiker, um an Domain-Admin-TGTs zu kommen. Nichts gehört in der Praxis konsequenter ausgemustert.
Über msDS-AllowedToDelegateTo wird sichtbar, welches Konto auf wessen Dienst delegieren darf. Besonders kritisch: Delegation auf krbtgt, LDAP oder HTTP auf Domain Controllern.
RBCD wird über msDS-AllowedToActOnBehalfOfOtherIdentity auf dem Zielobjekt gesetzt – und zwar von dem, der die Schreibrechte darauf hat. Ein klassischer Privilege-Escalation-Pfad, der ohne LDAP-Audit unsichtbar bleibt.
Default Domain Policy: Service-Ticket-Lifetime, User-Ticket-Lifetime und Renewal-Window. Werte deutlich über 10 Stunden / 7 Tage erhöhen das Zeitfenster für Pass-the-Ticket-Angriffe und sollten begründet sein.
Der ISW Kerberos Audit Analyzer v1.0 führt alle hier beschriebenen Checks vollautomatisch aus, bewertet jeden Befund nach Risiko und liefert einen druckfertigen PDF-/HTML-Report mit Handlungsempfehlungen.
Schnell-Check für dein AD
- ✓ krbtgt-Passwort jünger als 180 Tage?
- ✓ Keine privilegierten Konten mit SPN?
- ✓ Pre-Authentication für alle Konten erzwungen?
- ✓ DES domänenweit deaktiviert?
- ✓ AES als Standard erzwungen?
- ✓ Funktionsebene mindestens 2012 R2?
- ✓ Keine Unconstrained Delegation?
- ✓ RBCD-Einträge dokumentiert und genehmigt?
- ✓ Ticket-Lifetimes auf Standardwerten?