Active Directory härten für NIS2
Tier-Modell, LAPS, NTLM-Restriction, Kerberos-AES, LDAP Channel Binding
Active Directory ist in den meisten deutschen Unternehmen das Kronjuwel der IT-Infrastruktur – und damit das wichtigste Angriffsziel. Für § 30 BSIG sind gleich mehrere der zehn Kernmaßnahmen unmittelbar mit AD verknüpft: Zugriffskontrolle, Kryptografie, MFA, Authentifizierung. Dieser Artikel zeigt die konkreten technischen Härtungsmaßnahmen, die ein BSI-Prüfer als belastbar akzeptiert.
Das Tier-Modell: Grundlage für alles
Microsoft hat das Tier-Modell vor über zehn Jahren etabliert, das BSI übernimmt es als verbindliche Empfehlung im IT-Grundschutz. Die Idee ist denkbar einfach: Administrative Identitäten werden nach Schutzbedarf in drei Schichten getrennt. Wer als Tier-0-Admin (Domain Admin) sein E-Mail-Postfach öffnet, verschenkt das höchste Privileg an den ersten Phishing-Link.
| Tier 0 | Domain Controller, AD CS, ADFS, PKI, Azure AD Connect – jede Kompromittierung = Forest-Kompromittierung |
| Tier 1 | Produktiv-Server, Anwendungen, Datenbanken |
| Tier 2 | Clients, Endgeräte, Standardbenutzer |
Die eiserne Regel: Ein Tier-0-Konto darf sich niemals an einem Tier-1- oder Tier-2-System anmelden, ein Tier-1-Konto nie an einem Tier-2-System. Durchgesetzt wird das über User Rights Assignment-GPOs („Deny logon locally“, „Deny logon as batch job“, „Deny logon through Remote Desktop Services“).
Lokale Administrator-Passwörter: Windows LAPS
Identische lokale Admin-Passwörter auf allen Clients sind der Klassiker für Lateral Movement. Windows LAPS (Local Administrator Password Solution) seit Windows Server 2022/Windows 11 rotiert das lokale Administratorpasswort automatisch und speichert es verschlüsselt in AD oder Azure AD. Aktivierung über Gruppenrichtlinie:
Configure password backup directory: Active Directory
Password Settings:
Complexity: Large + small + numbers + special
Length: 20
Age (Days): 30
Post-authentication actions: Reset password and logoff
Post-authentication reset delay (hours): 8
Für Server-Konten, Service-Accounts und gMSA-Setups ist ein dediziertes Rotations-Werkzeug die saubere Lösung. ISW AD Password Rotator setzt das mit 4-Augen-Prinzip, vollständigem Audit-Log und DSGVO-konformer Berichts-Engine um – auditierbar bei der nächsten BSI-Prüfung.
NTLM einschränken
NTLM ist 26 Jahre alt, kryptografisch überholt und Angriffsvektor für Pass-the-Hash, Relay-Attacken und Coercion-Angriffe (PetitPotam, PrinterBug). Microsoft hat den Phase-Out angekündigt: NTLM v1 wird in modernen Windows-Versionen bereits standardmäßig deaktiviert, NTLM v2 folgt sukzessive.
| Stufe 1: Audit | GPO „Network security: Restrict NTLM: Audit Incoming NTLM Traffic“ aktivieren, mindestens 4 Wochen mitloggen |
| Stufe 2: Ausnahmen pflegen | Server-Ausnahmen via „Add server exceptions in this domain“, alte Anwendungen identifizieren |
| Stufe 3: Restriction | „Deny all domain accounts“ auf DCs aktivieren, NTLM v1 komplett verbieten |
Kerberos: RC4 muss weg
Microsoft hat 2025 mit CVE-2026-20833 eine kritische Sicherheitslücke in der RC4-Implementierung gepatcht und gleichzeitig den Phase-Out von RC4 in Kerberos beschleunigt. Ab April 2026 (Phase 2) und spätestens Juli 2026 (Enforcement) wird RC4 in produktiven AD-Umgebungen problematisch.
msDS-SupportedEncryptionTypes trägt, ist nach dem Enforcement-Termin im Sommer 2026 nicht mehr authentifizierungsfähig. Wer das jetzt nicht migriert, riskiert handfeste Betriebsstörungen.Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes |
Where-Object { $_.”msDS-SupportedEncryptionTypes” -band 0x4 }
Set-ADUser -Identity svc_app01 `
-Replace @{ “msDS-SupportedEncryptionTypes” = 0x18 }
Die zentrale Default-Policy über GPO setzen: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options → „Network security: Configure encryption types allowed for Kerberos“ – nur AES128 und AES256 aktivieren.
LDAP Channel Binding und LDAP Signing
Standardmäßig akzeptieren DCs LDAP-Verbindungen ohne Signing und ohne Channel Binding – ein offenes Tor für Relay-Angriffe. Beide Settings sollten enforced sein:
| Domain controller: LDAP server signing requirements | Require signing |
| Domain controller: LDAP server channel binding token requirements | Always |
Vor der Umstellung sollten die Event-IDs 2887 (unsigned LDAP) und 3039 (Channel Binding) auf den DCs ausgewertet werden, um Alt-Anwendungen zu identifizieren, die LDAP ohne Signing nutzen.
SMB Signing und SMB-Verschlüsselung
SMB ist neben Kerberos das am häufigsten angegriffene Authentifizierungs-Protokoll. Für NIS2-konforme Umgebungen gilt:
- SMBv1 vollständig deaktivieren auf allen Servern und Clients (PowerShell:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol) - SMB Signing erzwingen auf allen DCs und Member-Servern
- SMB Encryption für sensible Shares aktivieren (
Set-SmbShare -Name Finanzen -EncryptData $true) - NetBIOS-NetSession-Abfrage einschränken (verhindert anonyme Enumeration)
ISW SMB Security Analyzer prüft diese Punkte auf allen Servern einer Domäne und liefert einen PDF-Report mit konkretem Handlungsbedarf je Server – ideal als Anlage für das BSI-Audit-Dossier.
Privilegierte Konten absichern
- Protected Users Group: Tier-0-Admins als Mitglieder – verhindert NTLM, deaktiviert Credential-Caching, erzwingt AES-Kerberos
- Authentication Policies / Authentication Policy Silos: Tier-Trennung kryptografisch durchsetzen
- AdminSDHolder: regelmäßig prüfen (Inheritance auf geschützten Accounts wieder eingeschaltet?)
- Smart-Card-Logon oder Windows Hello for Business für Tier-0/Tier-1-Konten als MFA
- Service Principal Names (SPN): keine SPNs auf privilegierten Konten (Kerberoasting-Schutz)
Credential Guard und LSA Protection
Auf allen Windows-10/11-Clients und Windows-Server-2022+/2025-Systemen aktivieren:
- Windows Defender Credential Guard – isoliert LSASS in einer virtualisierungsbasierten Sicherheitszone, verhindert Mimikatz-artige Credential-Extraktion
- LSA Protection (RunAsPPL) – verhindert Code-Injection in LSASS
- Hypervisor-Protected Code Integrity (HVCI) – schützt Kernel-Speicher
Verifikation: PingCastle und ISW-Tools
Nach der Härtung muss verifiziert werden, dass die Maßnahmen greifen. Etabliert sind:
| PingCastle | Kostenloses AD-Health-Assessment, liefert Maturitätslevel und konkrete Schwachstellen |
| ISW GPO Analyzer Pro | Prüft GPOs gegen BSI IT-Grundschutz, liefert Compliance-Score je Policy mit BSI-Baustein-Referenzen |
| ISW Kerberos Audit Analyzer | Erkennt RC4-Reste, Kerberoasting-Risiken, fehlende Pre-Auth |
| ISW SMB Security Analyzer | SMB-Signing-Status, SMBv1-Detection, Share-Berechtigungen |
Mindest-Härtungs-Checkliste für NIS2
- Tier-Modell mit GPO-Durchsetzung (Deny Logon)
- Windows LAPS auf allen Clients und Servern
- NTLM-Audit mindestens 4 Wochen, dann Restriction
- Kerberos auf AES-only, RC4 verboten
- LDAP Channel Binding „Always“, LDAP Signing „Require“
- SMBv1 deaktiviert, SMB Signing erzwungen
- Protected Users Group für Tier-0
- Credential Guard + LSA Protection auf Clients
- AdminSDHolder vierteljaehrlich auditieren
- MFA für alle Admins (Smart Card / Hello for Business)