AD ACL Auditor

AD ACL Auditor

Security

ISW-ADTools · Neue Version 1.1.0

ISW AD ACL Auditor v1.1.0

Active Directory Berechtigungs-Audit nach BSI IT-Grundschutz — Read-only, defensiv, compliance-fertig.

Über 80 % aller dokumentierten Domain-Compromise-Pfäde gehen über fehlerhaft delegierte Berechtigungen, vergessene Tier-0-Konfigurationen oder eine unsichere AD-Zertifikatsdienste-PKI. Diese Schwachstellen sind in den Standard-Werkzeugen (AD-Benutzer und -Computer, ADSI Edit, PowerShell) nur mit erheblichem Aufwand zu erkennen.

Der ISW AD ACL Auditor erledigt diese Analyse für eine durchschnittliche Domain in unter zehn Sekunden — und liefert die Befunde direkt mit Mapping auf BSI IT-Grundschutz, ISO 27001 Annex A und DSGVO Art. 32. Mit Version 1.1.0 kommt jetzt das Detail-Dialog-UX-Update, RSA-2048-signierte Lizenzdateien und ein strukturiertes Log-Konzept für forensische Auswertungen.

Drei Sätze, die das Tool definieren
Read-only. Agentenlos. Kein Schreibzugriff im Verzeichnis. Keine Veränderungen an der produktiven Umgebung.
Defensiv ausgelegt. Remediation-Vorschläge werden in die Zwischenablage gelegt — nicht automatisch ausgeführt.
Compliance-fertig. Jedes Finding trägt das Mapping auf BSI-Bausteine, ISO-Annex-Kontrollen und DSGVO Art. 32.

Zehn Sicherheits-Module in einem Lauf

Sechs LDAP-basierte Module liefern in unter zehn Sekunden die vollständige Berechtigungs-Sicht der Domain. Vier optional aktivierbare WinRM-Module ergänzen die Endpunkt- und PKI-Registry-Perspektive für maximale Tiefenabdeckung.

Privilegierte Rechte
DCSync, AdminSDHolder-Schreibrechte, Domain-Wurzel-ACLs.
OU- und Container-ACLs
GenericAll, WriteDACL, gefährliche WriteProperty-Rechte.
Tier-0-Modell
Kerberoasting, AS-REP-Roasting, leere Schema-Admins.
Kerberos-Delegationen
Unconstrained, KCD mit/ohne Protocol Transition, RBCD.
AD CS Templates
ESC1, ESC2, ESC3, ESC4, ESC9, ESC15 (CVE-2024-49019).
Schema-Partition
Schreibrechte auf das Forest-Schema (höchste Persistenz).
Endpunkt-Tier-Pfade (WinRM)
Lokale Admins, RDP-User, GPO Restricted Groups auf Servern.
AD CS Registry-ESCs (WinRM)
ESC6 (SAN-Override), ESC8 (Web Enrollment + NTLM), ESC10, ESC11.

Wichtig: Manager-Approval-Hürden werden korrekt respektiert. Wenn ein Template PEND_ALL_REQUESTS gesetzt hat oder mindestens eine RA-Signatur verlangt, generiert das Tool kein ESC1/2/3/15-Finding — Approval ist die Standard-Mitigation und würde sonst False Positives liefern.

Was ist neu in Version 1.1.0?

Detail-Dialog mit klickbaren Tags
Doppelklick auf jedes Finding öffnet einen modalen Dialog mit klickbaren BSI/DSGVO/ISO/NIST-Tags. Auto-Hyperlinks für MITRE-ATT&CK, CVE und Microsoft-KB-Nummern. Inline-Copy-Buttons an jeder Referenz.
RSA-2048 signierte Lizenzdateien
Prüfung vollständig lokal — kein Online-Aktivierung, keine Cloud, kein Phone-Home. Funktioniert auch in Air-Gap-Umgebungen. Schloss-Icon im Header zeigt Lizenzdaten auf Klick.
Strukturiertes Logging mit fünf Stufen
Trace, Debug, Info, Warn, Error — präzise Diagnose von Skip-Reasons und Finding-Erzeugung. Phase-Timer pro Scanner-Lauf macht Performance-Engpässe direkt im Log sichtbar.
Tier-0-Mitgliedsauflösung
User-Konten, die transitiv Mitglied einer Tier-0-Gruppe sind, werden korrekt erkannt — auch bei verschachtelten Gruppen. Behebt False-Positives bei Domain-Admins mit User-RID auf AD-CS-Templates.
WinRM-Verbindungs-Optionen
Port (5985/5986), HTTPS-Transport, Zertifikats-Prüfung überspringen, Authentifizierungs-Verfahren (Negotiate, Kerberos, Basic, CredSSP) und Timeout direkt in der UI konfigurierbar.
ESC4-Trustee-Deduplizierung
Mehrere ACEs eines Trustees auf demselben Template erzeugen jetzt EIN konsolidiertes Finding mit dem höchsten Recht. Reduziert ESC4-Findings typisch um den Faktor 3 bis 4 ohne Informationsverlust.

Compliance-fertige Berichte

Jedes Finding trägt automatisch das Mapping auf die relevanten Standards. Der Auditor übernimmt die Befunde direkt in den Audit-Nachweis — ohne manuelle Übersetzung von technischer Ebene auf Compliance-Ebene.


  • BSI IT-Grundschutz: ORP.4.A8 (Berechtigungsmanagement), ORP.4.A22 (privilegierte Konten), APP.2.2.A6 (sichere AD-Konfiguration), CON.1.A6 (Kryptokonzepte / Zertifikate).

  • ISO 27001 Annex A: A.5.18 (Zugriffsrechte), A.8.2 (privilegierte Zugriffsrechte).

  • DSGVO Art. 32: Sicherheit der Verarbeitung — bei jedem Finding mit direktem Pfad zu personenbezogenen Daten.

  • MITRE ATT&CK: Angriffstechnik-Klassifikation (T1003.006, T1098, T1558.003 und weitere) für jede Konstellation.

Drei Ausgabeformate stehen zur Verfügung: PDF für Geschäftsleitung und externe Auditoren, HTML für IT-Sicherheits-Tickets und Wikis, JSON für SIEM-Integration und Dashboards.

Manipulationssicheres Audit-Log

Jede sicherheitsrelevante Aktion (Scan-Start, Baseline-Speicherung, Bericht-Export, E-Mail-Versand) wird in einem JSONL-basierten Audit-Log mit SHA-256-Hash-Chain dokumentiert. Eine nachträgliche Modifikation einzelner Zeilen ist forensisch erkennbar.

Verifikation per Knopfdruck im Tab „Berichte & Export“. Bei intakter Hash-Chain erscheint die Bestätigung in Grün — bei Manipulation wird die genaue Bruchstelle benannt. Wenige AD-Audit-Tools dokumentieren ihre eigenen Aktionen überhaupt — und noch weniger tun das in einer Form, die forensisch belastbar ist.

Wichtig: Was das Tool nicht ist
Der Auditor ist kein SIEM-Ersatz — er liest den aktuellen Stand des Verzeichnisses, nicht das Verhalten von Konten über die Zeit. Er ist kein Pen-Test-Tool — er führt keine aktiven Angriffe durch, sondern erkennt nur die Voraussetzungen, unter denen ein Angriff möglich wäre.

Made in Germany — kein Cloud, kein Abo

Anders als viele moderne SaaS-basierte AD-Security-Plattformen verbleiben sämtliche Daten auf dem Auditor-Host. Keine Übertragung an Dritte, kein Cloud-Aufruf, keine Telemetrie. Das macht den ISW AD ACL Auditor in folgenden Szenarien zur einzigen sinnvollen Option:

  • Behörden mit BSI-konformer Datenschutz-Vorgabe
  • Hochsicherheits-Domains mit Air-Gap
  • Forensische Untersuchungen ohne Datenabfluss
  • Klein- und Mittelständler mit DSGVO-Bedenken gegenüber US-Cloud-Anbietern

Alle ISW-Tools werden ausschließlich als Einmal-Kauf angeboten — keine Abonnements, keine monatlichen Gebühren, keine Lizenz-Server. Eine einmal erworbene Lizenz behält ihre Gültigkeit unbegrenzt. Updates innerhalb einer Major-Version sind kostenfrei.

Für wen ist das Tool gedacht?

Zielgruppe Mehrwert
IT-Administratoren in Eigenbetrieb Schneller Selbst-Check der eigenen AD-Umgebung ohne externe Berater. Findings sind mit konkreten dsacls-/PowerShell-Snippets versehen — direkt zur Behebung verwertbar. Drift-Funktion zeigt nach jeder Änderung, ob das Hardening greift.
Managed Service Provider (MSP) Skalierbare Audit-Lieferung über alle Kunden hinweg. Ein einziges Tool deckt 400+ Domains ab. Versand der Audit-Berichte direkt an Kunden via integriertem SMTP-Modul. Audit-Log mit SHA-256-Hash-Chain belegt nachweisbar, dass und wann der Audit durchgeführt wurde.
Compliance-Auditoren und ISMS-Verantwortliche PDF-Berichte mit Mapping auf BSI-IT-Grundschutz, ISO 27001 Annex A und DSGVO Art. 32. Manipulationssicheres Audit-Log dokumentiert jede Audit-Aktion. Ergebnisse sind direkt im internen oder externen Audit-Verfahren als Evidenz verwertbar.
IT-Sicherheitsbeauftragte und Penetration-Tester Vollständige Vorab-Analyse der AD-Angriffsoberfläche, bevor Pen-Tester ansetzen. Reduziert teure Pen-Test-Findings auf das, was tatsächlich Adversary-Simulation ist — statt Geld für das Wiederfinden trivialer Hardening-Lücken auszugeben.

Konkrete Zeitersparnis

Tätigkeit Zeitaufwand
LDAP-Module komplett (typische SMB-Domain) < 10 Sekunden
Mit allen WinRM-Modulen (50 Endpunkte) 2–4 Minuten
PDF-Bericht-Erzeugung 1–5 Sekunden
Vergleichbare manuelle Analyse mit Bordmitteln 4–8 Stunden
Gleicher Tiefgang mit kommerziellen SaaS-Tools 1–4 Wochen Setup + laufende Lizenzkosten

Fazit
Der ISW AD ACL Auditor v1.1.0 ist die direkte und ehrliche Antwort auf eine konkrete Frage: Welche Konstellationen in meinem Active Directory öffnen einem Angreifer den Pfad zur Domain- oder Forest-Übernahme? Das Tool beantwortet diese Frage in unter zehn Sekunden, mit vollständigem Compliance-Mapping, manipulationssicherem Audit-Log und ohne dass auch nur ein einziges Byte Ihre Infrastruktur verlässt. Read-only, defensiv, Made in Germany — und als Einmal-Kauf ohne Abo.

Jetzt testen
Kostenlose Demo-Version über die ISW-ADTools-Website. Lizenzen werden als Einmal-Kauf vergeben — keine Abonnements, keine Online-Aktivierung, keine Cloud-Bindung.
Produkt-Seite: isw-adtools.de
Hersteller: it-service-walter.com
Technischer Blog: der-windows-papst.de

© IT-Service Walter · Über 30 Jahre Erfahrung mit Windows-Infrastrukturen seit 1993 · Business-Innovator-Auszeichnung des Deutschen Innovationsinstituts