Ein Sicherheitsvorfall im Active Directory gehört zu den kritischsten Ereignissen in einer IT‑Umgebung. Da Active Directory das zentrale Vertrauenssystem für Benutzer, Systeme und Anwendungen ist, reicht es nach einer Kompromittierung nicht aus, einzelne Konten zu sperren oder Passwörter punktuell zu ändern. In der Regel muss davon ausgegangen werden, dass Angreifer weitreichende Rechte erlangt und mögliche Persistenzmechanismen hinterlassen haben.
Dieser Beitrag richtet sich an IT‑Administratoren und beschreibt, welche Maßnahmen nach einem Active‑Directory‑Incident notwendig sind, um die Kontrolle über die Umgebung zurückzugewinnen und das Vertrauen in die Identitätsinfrastruktur wiederherzustellen. Der Fokus liegt auf einer strukturierten Checkliste für den Notfall – von der Forensik über Credential‑Resets bis hin zu Cloud‑ und Zertifikatsinfrastrukturen.
Checkliste: Maßnahmen nach
Active-Directory-Sicherheitsvorfall
1. Ausgangszustand sichern (Forensik)
- Backup aller Domain Controller vor dem bekannten Angriffszeitpunkt sichern (System State / VHD)
- Backup des aktuellen Zustands nach Entdeckung erstellen
- Sicherungen schreibgeschützt und unverändert aufbewahren
- Zugriffe auf Backup‑Speicher prüfen und einschränken
2. Zugangsdaten vollständig zurücksetzen
- Alle Benutzerkennwörter zurücksetzen (empfohlen: zweimal)
- Alle Administrator‑Kennwörter zurücksetzen
- Alle Service‑Account‑Passwörter ändern
- Alle Computer‑ und Domain‑Controller‑Maschinenkonten zurücksetzen
- KRBTGT‑Konto zweimal zurücksetzen (Replikation zwischen den Resets abwarten)
- Prüfen, ob automatische Maschinenkennwortänderungen deaktiviert wurden
3. AD‑Objekte und Persistenzmechanismen prüfen
- AdminSDHolder‑Berechtigungen überprüfen
- LAPS‑Kennwörter aller Systeme neu setzen und abrufen
- Geplante Aufgaben auf Servern und Clients prüfen
- WMI‑Event‑Filter und zugehörige Skripte kontrollieren
- Autostart‑Einträge und relevante Registry‑Keys prüfen
- Anmeldehilfen (z. B. utilman, sethc) auf Manipulation prüfen
- Drucker, Druckertreiber und Print‑Server überprüfen
- Abgleich aller Findings zwischen allen Domain Controllern
4. Zertifikats‑ und Identitätsinfrastruktur absichern
- AD CS: relevante Zertifikate widerrufen und neu ausstellen
- Alle seit dem Vorfall ausgestellten Zertifikate prüfen
- Zertifikats‑Templates und Berechtigungen kontrollieren
- NTAuth‑Zertifikate prüfen
- ADFS: Token‑Signing‑ und Encryption‑Zertifikate rotieren
- Entra ID: App‑Registrierungen prüfen
- Entra ID: privilegierte Rollen und Berechtigungen prüfen
- Entra‑Connect‑Kennwörter ändern und Konfiguration prüfen
5. Cloud‑ und E‑Mail‑Umgebung prüfen
- Alle Benutzer‑Refresh‑Tokens invalidieren
- Conditional‑Access‑Richtlinien überprüfen
- Azure Audit‑ und Sign‑In‑Logs prüfen
- Exchange Online:
- Inbox‑Regeln prüfen
- E‑Mail‑Weiterleitungen prüfen
- Freigaben und delegierte Postfächer prüfen
6. Tiefenanalyse und Incident‑Hunting
- Prozess‑Analyse auf allen Tier‑0‑Systemen
- Sicherheits‑ und Ereignislogs der Domain Controller auswerten
- IOC‑Scans durchführen (z. B. LOKI, THOR oder äquivalent)
- Optional: Netzwerk‑Traffic analysieren (Port‑Mirroring)
- SCCM / RMM / Deployment‑Systeme prüfen:
- Task Sequences
- Skripte
- Pakete
7. Abschluss und Prävention
- Incident vollständig dokumentieren
- Lessons Learned festhalten
- Tier‑Modell (Tier 0–2) prüfen und ggf. nachschärfen
- Notfall‑ und Wiederherstellungsprozesse aktualisieren
- Regelmäßige Incident‑Recovery‑Tests einplanen
- Monitoring und Alerting überprüfen und erweitern
