Active Directory Domain Services (oder auch nur Active Directory) bilden in vielen Organisationen das Fundament der Identitäts- und Zugriffsverwaltung. Sie entscheiden darüber, wer sich anmelden darf, auf welche Ressourcen zugegriffen wird und welche administrativen Handlungen zulässig sind. Damit ist Active Directory nicht nur ein technischer Dienst, sondern ein zentrales Element moderner IT-Infrastrukturen. Entsprechend hoch ist die sicherheitstechnische Relevanz der darin abgebildeten Berechtigungsstrukturen.

Diese zentrale Rolle macht den Verzeichnisdienst zugleich zu einem bevorzugten Angriffsziel. Während klassische Angriffsszenarien häufig auf Schwachstellen in einzelnen Anwendungen oder Betriebssystemen abzielen, richtet sich der Fokus hier auf die Manipulation dieser zentralen Instanz und damit auch ihrer Berechtigungsstrukturen. Insbesondere die Zugriffskontrolle über sogenannte Access Control Lists (ACLs) stellen hierbei einen wirkungsvollen Angriffspunkt dar. Sie definieren, welche Subjekte innerhalb des Verzeichnisdienstes welche Rechte besitzen. Ihre gezielte Veränderung erlaubt es, weitreichende Privilegien zu erlangen, ohne offensichtliche administrative Spuren zu hinterlassen.

Zugriffskontrolle als strukturelles Prinzip

Um die Berechtigungsstruktur des Active Directory zu verstehen, muss zunächst das Berechtigungsmodell an sich erklärt werden.

Die Zugriffskontrolle in Active Directory folgt einem Discretionary-Access-Control-Modell. In diesem Modell entscheiden berechtigte Sicherheitsprinzipale (Security Principals) selbst über die Vergabe von Zugriffsrechten. Sicherheitsprinzipale sind eindeutig identifizierbare Entitäten wie Benutzer-, Gruppen- oder Computerkonten, die jeweils eine klar definierte Identität und Rolle innerhalb des Systems besitzen. Die technische Umsetzung dieses Modells erfolgt über Sicherheitsdeskriptoren (Security Descriptors), die jedem sicherheitsrelevanten Objekt (Sicherheitsprinzipal) zugeordnet sind. Diese beschreiben formal die geltenden Zugriffsrechte sowie die Konfiguration der zugehörigen Protokollierung.

Ein Sicherheitsdeskriptor setzt sich aus mehreren Komponenten zusammen: dem Besitzer des Objekts, einer optionalen Gruppenzuordnung (aus historischen Kompatibilitätsgründen), einer System Access Control List (SACL) sowie einer Discretionary Access Control List (DACL). Während die SACL festlegen, welche Zugriffsversuche protokolliert werden, ist die DACL entscheidend für die tatsächliche Zugriffskontrolle selbst. Sie legt fest, welche Aktionen erlaubt oder explizit verweigert werden.

Abbildung 1: Aufbau von Sicherheitsdeskriptoren

Abbildung 1: Aufbau von Sicherheitsdeskriptoren


Wenn nun Zugriff auf ein Objekt angefordert wird, wird einer dieser Sicherheitsdeskriptoren, zu Rate gezogen, um mit Hilfe der ACL zu sehen, ob dasjenige Subjekt erstens überhaupt Zugriff haben darf und zweitens welche Art von Zugriff erlaubt wird, sowie was davon protokolliert wird.

Aus forensischer Sicht ist insbesondere die DACL von Bedeutung, da Manipulationen an dieser Stelle unmittelbare Auswirkungen auf die effektiven Berechtigungen eines Objekts haben und häufig gezielt zur Rechteausweitung eingesetzt werden können.

Berechtigungen als semantische Infrastruktur

Die DACL besteht aus einer geordneten Liste einzelner Access Control Entries (ACEs). Jede ACE beschreibt eine konkrete Zugriffsregel. Sie definiert, welchem Subjekt – identifiziert über eine Security Identifier (SID) – bestimmte Rechte gewährt oder verweigert werden. Dabei ist entscheidend, dass nicht nur „Zugriff“ im Allgemeinen geregelt wird, sondern sehr präzise Operationen, etwa das Lesen einzelner Attribute, das Ändern von Gruppenmitgliedschaften, das Löschen von Objekten oder das Übernehmen des Besitzes.

Diese Rechte werden über eine Zugriffsmaske (Access Mask) abgebildet, ein insgesamt 32 Bit großes Bitfeld, in dem jedes gesetzte Bit eine spezifische Berechtigung repräsentiert. Mehrere gesetzte Bits ergeben eine Kombination von Rechten, deren Wirkung sich aus der Summe der einzelnen Berechtigungen ergibt.

Abbildung 2 Aufbau Access Mask

Abbildung 2: Aufbau Access Mask 
(Quelle: https://learn.microsoft.com/de-de/windows/win32/secauthz/access-mask-format?source=recommendations)


Besonders kritisch sind die sogenannten Standardrechte. Sie sind objektunabhängig und erlauben grundlegende administrative Operationen. Dazu zählen unter anderem das Löschen von Objekten, das Lesen sicherheitsrelevanter Informationen sowie die Änderung des Besitzes oder der Access Control Lists selbst.

Aus sicherheitstechnischer und forensischer Perspektive sind hierunter insbesondere die Rechte WRITE_DAC und WRITE_OWNER kritisch. WRITE_DAC erlaubt die direkte Änderung der DACL eines Objekts. Ein Subjekt mit diesem Recht kann sich selbst oder anderen zusätzliche Berechtigungen einräumen. WRITE_OWNER ermöglicht es, den Besitzer eines Objekts zu ändern und damit indirekt ebenfalls Kontrolle über dessen Berechtigungen zu erlangen.

Diese Rechte sind weiter verbreitet als angenommen. Sie werden delegiert, vererbt oder implizit über Gruppenmitgliedschaften vergeben. Ihre Wirkung ist häufig nicht bewusst, ihre missbräuchliche Nutzung stellt jedoch einen zentralen Mechanismus ACL-basierter Rechte Eskalationen dar.

Neben den Standardrechten existieren objektspezifische Rechte. Sie sind enger an die Funktion eines Objekts gebunden und ermöglichen gezielte unauffälligere Eingriffe in die Struktur des Verzeichnisdienstes und sind daher aus Sicht Cyber-Krimineller besonders attraktiv. Bei Gruppenobjekten betreffen sie etwa das Hinzufügen oder Entfernen von Mitgliedern, bei Benutzerobjekten das Ändern sensibler Attribute. 

Eine besondere Rolle spielen dabei die sogenannten Extended Rights. Sie erlauben spezielle Operationen, die über einfache Lese- oder Schreibzugriffe hinausgehen. Technisch werden sie über GUIDs referenziert und sind für Administratoren häufig nur schwer nachvollziehbar. Bestimmte Extended Rights ermöglichen beispielsweise die Replikation von Verzeichnisdaten und damit potenziell den Zugriff auf Passwort-Hashes oder andere hochsensible Informationen. Wer sie also gezielt vergibt oder erhält, kann tief in die Funktionsweise des Verzeichnisdienstes eingreifen – bis hin zum vollständigen Auslesen der gesamten Active-Directory-Datenbank.

Um die bisher aufgezeigte Komplexität der Berechtigungen beherrschbar zu machen, kennt Windows zusätzlich generische Rechte wie GENERIC_READ, GENERIC_WRITE oder GENERIC_ALL. Diese sind als Abkürzungen gedacht und werden intern auf eine Kombination aus Standard- und objektspezifischen Rechten abgebildet und, im Gegensatz zu allen vorherig genannten Rechten, nicht als einzelnes Bit in der Zugangsmaske gesetzt. Welche konkreten Berechtigungen damit verbunden sind, hängt wiederum vom jeweiligen Objekttyp ab.

Insbesondere GENERIC_ALL ist hierbei als Angriffsvektor attraktiv. Es steht für vollständigen Zugriff auf ein Objekt und beinhaltet unter anderem die Möglichkeit, dessen DACL zu verändern oder den Besitz zu übernehmen. In der Praxis kann die Vergabe eines solchen Rechts ausreichen, um eine vollständige Rechteeskalation zu ermöglichen.

Zusammenfassung: Komplexität als Sicherheitsrisiko

Active Directory kennt verschiedene Ebenen von Rechten. Es gibt Standardrechte, die auf nahezu jedes Objekt anwendbar sind. Es gibt objektspezifische Rechte, die tief in die Funktionalität einzelner Objekttypen eingreifen. Und es gibt generische Rechte, die als Abkürzungen fungieren.

Berechtigungen in Active Directory sind keine einfachen Schalter nach dem Prinzip „erlaubt“ oder „verboten“. Sie bilden vielmehr eine semantische Infrastruktur, in der einzelne Rechte miteinander kombiniert, vererbt, überschrieben oder implizit erweitert werden. Was ein Benutzer tatsächlich darf, ergibt sich selten aus einer einzelnen Zuweisung, sondern aus der Summe vieler kleiner Entscheidungen, die oft über Jahre hinweg getroffen wurden.

Diese Komplexität ist gewollt. Sie ermöglicht es, Administration gezielt zu delegieren, Verantwortlichkeiten zu trennen und organisatorische Strukturen technisch abzubilden. Doch sie führt auch dazu, dass kaum jemand in der Lage ist, das resultierende Berechtigungsmodell vollständig zu überblicken. Genau hier wird das Active Directory als Angriffsvektor attraktiv.

Manipulationen von Access Control Lists erfolgen in der Regel über legitime Mechanismen des Systems. Sie verletzen keine technischen Regeln und erzeugen daher häufig keine auffälligen Fehlermeldungen. Die dabei entstehenden Spuren sind formal korrekt und dazu noch über verschiedene Datenquellen verteilt.

Für Angreifer ist das verlockend. ACL-Manipulationen nutzen legitime Funktionen des Systems. Sie bewegen sich innerhalb der vorgesehenen Mechanismen. Sie ähneln administrativen Tätigkeiten und sind damit schwer von regulärem Betrieb zu unterscheiden. In vielen Umgebungen werden sie nicht einmal protokolliert – oder zumindest nicht so, dass sie ohne gezielte Suche auffallen würden.

Für die digitale Forensik entsteht daraus ein Dilemma. Die Spuren existieren, doch sie sind verteilt, fragmentiert und technisch anspruchsvoll zu interpretieren. Die zentrale Frage lautet daher nicht, ob Spuren existieren, sondern wie zuverlässig sie gefunden und interpretiert werden können.

Ausblick

Im nächsten Teil dieser Reihe wird anhand eines realistischen Angriffsszenarios gezeigt, wie genau solche Rechtekombinationen ausgenutzt werden, wie sich scheinbar harmlose Delegationen zu voll-ständiger Kontrolle addieren – und welche forensischen Spuren dabei tatsächlich entstehen.

Für eine individuelle Beratung zum Thema Härtung von Active Directory Umgebungen kontaktieren Sie uns gern. Unser Technical Consulting Team unterstützt Sie dabei, Ihre AD-Umgebung gezielt abzusichern und dafür zu sorgen, dass mögliche Risiken und sicherheitsrelevante Aspekte rechtzeitig erkannt und berücksichtigt werden.


Cyberangriff?


Für Soforthilfe im Falle eines Cyberangriffs, kontaktieren Sie unsere Spezialistinnen und Spezialisten.



Zu unserem Notfallservice

Dieser Artikel wurde verfasst von