Active-Directory-Umgebungen (AD) sind ein zentraler Bestandteil vieler Unternehmensnetze. Auf der einen Seite nutzen Ransomware-Gangs und andere Angreifer Fehlkonfigurationen im On-Premises-Verzeichnisdienst von Microsoft, um sich in der attackierten Organisation zunächst auszubreiten und sie anschließend komplett lahmzulegen oder zu kompromittieren. Auf der anderen Seite fällt einem Security Consultant bei Kundenprojekten häufig auf, dass Systemverwaltern Kenntnisse fehlen über wesentliche sicherheitsrelevante Eigenschaften des Verzeichnisdienstes. Zum Beispiel: Im Standard kann jeder Benutzer einen neuen Rechner zu einer Domäne hinzufügen. Und: Der Forest ist die Sicherheitsgrenze, nicht die Domäne.

Dieser Vortrag zeigt, wie Angreifer im On-Premises-AD vorgehen und mit welchen meist kostenfreien Tools und Konfigurationen Admins und Sicherheitsverantwortliche ihre Domänenumgebung schützen können.