Eine digitale Wand mit Code aus dem Bereich Cyber Security

Active Directory Penetration Testing

Ob KMU oder globaler Konzern – unsere Active Directory Penetration Tests liefern Ihnen genau die Einblicke, die Sie für den Schutz Ihrer Infrastruktur brauchen

Darum sollten Sie Ihr Active Directory auf den Prüfstand stellen

Active Directory ist das Rückgrat der meisten Unternehmensnetzwerke. Ein Angreifer, der die Kontrolle über die Domäne erlangt, erhält im Grunde die Kontrolle über das gesamte Unternehmen. Active Directory ist heute längst nicht mehr auf interne IT-Netzwerke beschränkt – es erstreckt sich zunehmend auch auf OT-Umgebungen und ist häufig eng mit Azure und Entra ID verknüpft. Da Active Directory die Authentifizierung und den Zugriff in Ihrem gesamten Unternehmen kontrolliert, bleibt es ein zentrales und kritsches Ziel für Angreifer.

Mit der Weiterentwicklung der Umgebungen – mit Altsystemen, hybriden Konfigurationen und Cloud-Erweiterungen – wachsen auch die Angriffsflächen. Dank unserer langjährigen Erfahrung in den Bereichen Active Directory und OT sind wir in der Lage, potenzielle Angriffspfade präzise zu identifizieren und deren Auswirkungen in der realen Welt einzuschätzen – ganz gleich, ob in der IT oder in der OT. Besonders die Erkennung von Angriffspfaden, die von der IT in die OT übergreifen, stellt einen zentralen Schwerpunkt unserer Active Directory Assessments dar.

Häufige Schwachstellen in Active Directories

Active Directory weist häufig sicherheitsrelevante Schwachstellen auf, da viele Umgebungen historisch gewachsen sind und nie systematisch gehärtet wurden. Dies macht sie zu einem attraktiven Ziel für Angreifer.

  • schwache Passwörter von Service Accounts
  • unbeabsichtigte Vergabe von Rechten über vererbte Gruppenzugehörigkeiten
  • fehlkonfigurierte Berechtigungen
  • kritische Fehlkonfiguration beim Einsatz von AD CS (PKI)
  • zu weitreichende Berechtigungen auf Netzwerkfreigaben mit vertraulichen Informationen
  • fehlendes oder nicht ausreichend umgesetztes Zugriffsmodell

Wie wir Sie untersützten

Unser Active Directory Penetration Test dient dazu, die tatsächlichen Risiken innerhalb Ihrer Identitätsinfrastruktur zu identifizieren – von Pfaden zur Rechteausweitung und Fehlkonfigurationen bis hin zu unzureichend geschützten, sensiblen Informationen (z.B. Klartextpasswörter) oder unsicheren Delegierungsmodellen. Ob On-Premises, hybrid mit Entra ID oder erweitert auf OT-Umgebungen – wir bewerten Ihr AD-Ökosystem hinsichtlich der Schwachstellen, die Angreifer ausnutzen, um sich in Ihrer Domäne auszubreiten und Zugriff auf sensible Informationen zu erhalten.

Gezielte Angriffssimulationen

Wir simulieren das Verhalten von Angreifern, um Schwachstellen aufzudecken, die Ihre wichtigste Infrastruktur gefährden könnten – mit manuellen Methoden und spezialisierten Tools, die weit über automatisierte Scans hinausgehen.

Active Directory Know-how

Durch unsere langjährige Erfahrung sowohl mit Active Directory als auch mit OT, können wir potenzielle Angriffswege genau bewerten und ihre tatsächlichen Auswirkungen in all Ihren Active Directory-Umgebungen einschätzen – sei es in der IT oder in OT.

Ihr AD-Ökosystem im Sicherheitscheck

Mittels Assumed-Breach-Ansatz finden wir, unabhängig von der Sicherheit einzelner Clients, heraus, wie weit Angreifer in Ihrem Active Directory vordringen können, z.B. auf Basis einer geöffneten Phishing-Mail, die den Client kompromittiert.

Active Directory sicher machen –
mit dem richtigen Testpaket

Unsere Testpakete helfen Ihnen dabei, Schwachstellen in Ihrer Active-Directory-Umgebung systematisch zu identifizieren und gezielt zu beheben. Ob kleines Netzwerk oder komplexe Infrastruktur – wählen Sie Ihr passendes Paket.

Jetzt unverbindlich anfragen

Für kleine bis mittelgroße AD-Umgebungen
Erste Sicherheitsbewertung Ihrer Active-Directory-Umgebung – schnell, strukturiert und praxisnah.

Leistungsumfang:

  • automatisierte Härtungsprüfung

  • Schwachstellenscan kritischer Server (inkl. DCs)

  • Analyse von Benutzer-, Gruppen- und Passwortkonfigurationen

  • Prüfung auf Admin-Missbrauch (z. B. fehlendes Tiering, Passwort-Wiederverwendung)

  • manuelle Angriffspfadmodellierung (Basis)

  • AD-CS-Überprüfung (falls vorhanden)

  • Bericht mit Ergebnissen und Maßnahmen

 Ideal als Ausgangspunkt zur Verbesserung Ihrer AD-Sicherheit

Für mittlere bis große Umgebungen
Erweiterte Analyse mit Fokus auf komplexere Angriffsvektoren und zusätzliche Komponenten.

Leistungsumfang:

  • alle Inhalte des Essential Tests

  • erweiterte Angriffspfadmodellierung (manuell)

  • Basisprüfung von freigegebenen Netzwerkinhalten

  • Ersteinschätzung von MS SQL, ConfigMgr und Entra Connect (falls vorhanden)

  • ausführlicher Bericht mit Priorisierung

Optionale Add-ons:

  • Passwortanalyse

  • Trust-Analyse bei mehreren Domänen

Ideal zur Validierung von Maßnahmen oder tieferem Risikoverständnis

Für komplexe AD-Umgebungen mit mehreren Domänen oder Forests
Tiefgreifende Sicherheitsbewertung – umfassend, manuell und individuell abgestimmt.

Leistungsumfang:

  • alle Inhalte aus Essential & Advanced

  • umfassende Angriffspfadmodellierung

  • erweiterte Tests unterstützender Systeme (z. B. MS SQL, ConfigMgr)

  • detaillierte Analyse von Intra-/Inter-Forest Trusts

  • vollständiger Bericht mit konkreten Handlungsempfehlungen

Optionale Add-ons:

  • Passwortanalyse

  • Azure AD / Hybrid Identity Assessment

Ideal für Unternehmen mit hohen Sicherheitsanforderungen oder Compliance-Zielen

So schützen Sie Ihr Active Directory in OT Umgebung

In unserem Webinar zeigen Ihnen unsere Experten von Limes Security, worauf Sie bei der Einführung und Absicherung eines Active Directory in OT-Umgebungen unbedingt achten sollten. Erfahren Sie, welche Risiken besonders kritisch sind, wie bewährte IT-Sicherheitsmechanismen sinnvoll auf die OT übertragen werden können und welche Maßnahmen für eine sichere, praxisnahe Umsetzung entscheidend sind.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren
Weitere Informationen

Ergebnisse unserer AD Penetration Tests

Eine gründliche Überprüfung Ihrer Active-Directory-Konfiguration, einschließlich Benutzer- und Gruppenkonfigurationen, Vertrauensbeziehungen, Delegierungspfaden und - falls vorhanden - AD-integrierter Technologien wie AD CS.

Manuelle Modellierung von Angriffspfaden, um sowohl häufige als auch komplexe Pfade zur Ausweitung von Zugriffen und zur Übernahme von Identitäten aufzudecken.

Analyse von Risiken und Angriffspfaden in vernetzten AD‑, Azure‑ und OT‑Umgebungen.

Bewertung des vorhandenen Zugriffsmodells, der verwendeten Passwortrichtlinien und der Verwendung von administrativen Accounts.

Eine generell erhöhte Sichtbarkeit in Ihren Domänen und deren Konfiguration. Mögliche Altlasten und nicht mehr benötigte Berechtigungen/Konfigurationen können so leichter entdeckt und evaluiert werden.

Ein klarer, priorisierter Bericht mit umsetzbaren Korrekturmaßnahmen, die auf Ihre Umgebung zugeschitten sind.

Häufig gestellte Fragen

Wie läuft ein Penetration Test meines Active Directorys ab?

Grundsätzlich startet ein Test Ihres Active Directorys (AD) wie jeder andere Pentest bei Limes Security. Gemeinsam mit Ihnen besprechen die (üblicherweise zwei) Tester die Ziele und den genauen Modus der Zusammenarbeit in einem Kick-Off-Termin. Dabei werden alle Ihre offenen Fragen beantwortet, der zuvor abgestimmte Umfang und die zu testenden Systeme werden erneut bestätigt. Etwaige Worst-Case-Szenarien, die für Sie möglicherweise besonders interessant sind, werden außerdem besprochen. Anschließend findet der Penetration Test selbst statt, bei welchem es uns besonders wichtig ist, stets in engem Kontakt mit Ihnen zu bleiben – zum Beispiel über einen eigens eingerichteten Chat-Kanal. Entstehende Fragen beider Seiten können somit schnellstmöglich geklärt werden, außerdem informieren wir Sie – falls vorhanden – sofort bei besonders kritischen Schwachstellen, deren Behebung nicht bis zur Fertigstellung des offiziellen Berichts warten kann. Diesen Bericht erhalten Sie spätestens 2 Wochen nach dem Ende des Penetration Tests. Wenn gewünscht, schließt ein gemeinsames Abschlussmeeting, in welchem nochmals alle Testresultate besprochen werden, das Projekt ab.

Kann der AD-Penetration Test auch remote durchgeführt werden?

Wir haben in den letzten Jahren sehr gute Erfahrungen mit Remote Penetration Tests im Bereich Active Directory gemacht. Ein solches Vorgehen bringt den entscheidenden Vorteil für Sie mit sich, dass etwaige Reisekosten und -zeiten entfallen. Es müssen lediglich virtuelle Maschinen (VM) – deren Images wir Ihnen gerne zur Verfügung stellen können – bei Ihnen gehostet werden, über die unsere Tester den Penetration Test durchführen können. Außerdem wird ein Fernzugriff auf diese benötigt (z.B. VPN). Die Praxis zeigt, dass dieser Mehraufwand minimal ist, da beide Anforderungen administrativer Alltag in den meisten Unternehmen ist. Wünschen Sie jedoch einen Vor-Ort-Test, so kommen unsere Tester natürlich gerne an den von Ihnen gewünschten Testort.

Welche Vorbereitungen sind für den Penetration Test notwendig?

Unsere Tester müssen ausgehend von ihren Test-VMs (egal ob Limes-VMs oder von Ihnen zur Verfügung gestellten) auf alle zu testenden Systeme zugreifen können, sofern nicht vorab anders vereinbart. Dies benötigt möglicherweise zusätzliche Firewallfreischaltungen. Außerdem werden mindestens zwei Standardbenutzer in der Domäne benötigt, welche dieselben Rechte wie ein durchschnittlicher Benutzer in Ihrem Unternehmen besitzen. Wird ausgehend von von Ihnen zur Verfügung gestellten VMs getestet, bitten wir Sie außerdem, dass die Testbenutzer auf diesen lokale Administratoren sind.

Worauf sollte der Schwerpunkt bei dem Test gelegt werden?

Diese Frage kann kaum pauschal beantwortet werden. Üblicherweise lässt sich aus der Kombination von vorhandenen Systemen/Technologien in Ihrem Active Directory, deren Kritikalität, Ihrem Bedrohungsprofil und dem vorhandenen Zeitbudget ein sehr individueller Testschwerpunkt ableiten. Dabei begleiten wir Sie gerne vorab in einem gesonderten Scoping-Termin. Grundsätzlich legen wir aber einen besonderen Fokus auf die an Benutzer und Gruppen vergebenen Rechte, wichtige Härtungseinstellungen im AD und kritische Technologien wie zum Beispiel AD CS, der AD-integrierten PKI-Lösung.

Ich habe mehrere Domänen im Einsatz. Können/sollen diese alle gleichzeitig getestet werden?

Grundsätzlich ist zwischen Domänen und Forests zu unterscheiden. Ausgehend von einer übernommenen Domäne können üblicherweise alle weiteren Domänen in demselben Forest ohne großen Aufwand übernommen werden. Über Forestgrenzen hinweg gibt es ebenfalls zahlreiche Fehlkonfigurationen, die eine Kompromittierung ermöglichen. Eine Überprüfung aller Domänen/Forests ist deshalb aus einer Security-Perspektive definitiv empfehlenswert. Allerdings nimmt mit steigender Domänen/Forest-Anzahl auch das notwendige Zeitbudget zu, weshalb es unter Umständen für Sie geeigneter ist, den Penetration Test auf mehrere Teilbereiche aufzuteilen. Gerne helfen wir Ihnen dabei, das individuell am besten zu Ihnen passende Paket zu finden.

Beeinträchtigt der AD-Penetration Test meinen alltäglichen Betrieb?

Unsere Tester gehen so vorsichtig wie möglich vor, um jede Störung des alltäglichen Betriebs so gut wie möglich zu vermeiden. Nichtsdestotrotz können selten kurze Verfügbarkeitsprobleme auftreten. Angriffe, die ein erhöhtes Risiko dafür aufweisen, werden aber immer mit Ihnen vorab besprochen und nur nach Ihrer Freigabe durchgeführt. Besonders sensible Systeme nehmen wir nach Rücksprache auch gerne von dem Test bzw. von Teilen davon aus. Durch diese Vorsichtsmaßnahmen sind bei unseren AD-Penetration-Tests deshalb noch nie gröbere Ausfälle vorgekommen.

Mein Active Directory wurde bereits einmal getestet. Macht da ein erneuter Penetration Test noch Sinn?

Diese Frage lässt sich eindeutig mit „Ja!“ beantworten. In unserer Praxis zeigt sich immer wieder, dass der Hauptgrund für Fehlkonfigurationen und Schwachstellen die große Komplexität v.a. größerer AD-Umgebungen ist. Gerade wenn solch eine Umgebung länger besteht, schleichen sich mit der Zeit Fehler ein, beispielsweise werden temporäre Berechtigungen nicht gelöscht, womit gewisse Benutzer permanent mehr Rechte besitzen, als sie eigentlich sollten. Ein regelmäßiger Retest, insbesondere nach Umstellungen und größeren Konfigurationsänderungen ist also sehr empfehlenswert. Bereits vorhandene Testergebnisse ermöglichen außerdem einen darauf aufbauenden Testfokus, wobei bereits umgesetzte Maßnahmen zur Behebung der gefundenen Schwachstellen auf ihre Wirksamkeit überprüft werden und ein vertiefender Testumfang festgelegt werden kann. Beispielsweise können in so einem Test Aspekte wie Cross Domain Attacks (also Angriffe über die Domänengrenzen hinweg) tiefgehender betrachtet werden.

Alle Systeme in meinem Active Directory entsprechen dem aktuellsten Patchlevel. Sollte die Umgebung daher nicht sicher sein?

Das Patchlevel der Systeme in Ihrem AD ist eine sehr wichtige Komponente im Gesamtsicherheitskonzept für ein AD. Sie haben deshalb schon einmal einen sehr wichtigen Schritt unternommen! Allerdings gibt es zahlreiche legitime Funktionen in AD, deren Ausnutzung viele Angriffswege eröffnen und die nicht über Updates behebbar sind. Gerade komplexere Angriffspfade, die Berechtigungen von verschiedenen Benutzern miteinander kombinieren, bestehen oft trotz aktuellstem Patchlevel. Gerade aus diesem Grund sollte bisher unternommene Anstrengungen nicht untergraben werden, indem solche Angriffsmöglichkeiten übersehen werden. Unsere maßgeschneiderten Penetration Tests sind dazu die ideale Hilfsstellung.

Ist die interne Perspektive bei einem Active-Directory-Test schon sinnvoll? Schließlich ist mein Perimeter stark gehärtet und ich möchte wissen, wie Angreifer auf meine Netzwerke zugreifen können.

Perimeterschutz ist unbestritten wichtig. Allerdings zeigt die Praxis, dass dieser immer wieder überwunden wird. Sei es durch eine Malwareinfektion auf einem Office-Client, sei es durch eine über Phishing gestohlene Azure-Identität – „Assume the Breach“ ist mittlerweile leider gelebte Realität. Um es Angreifern dennoch so schwer wie möglich zu machen, ihre Ziele zu erreichen, bietet sich ein „Defense in Depth“-Ansatz an. Ähnlich wie bei einer Burg mit mehreren Burgmauern, reicht das Überwinden einer einzelnen Verteidigungslinie noch nicht aus. Selbst wenn es ein Angreifer in Ihr Active Directory schafft, sollte er dort nicht freie Hand haben – ganz im Gegenteil, der schwere Teil sollte erst vor ihm liegen. Perimeterschutz und ein hohes internes Sicherheitslevel: Kein Widerspruch, sondern zwei Seiten derselben Münze.

Welches Paket ist das richtige für mich?

Dies Wahl des richtigen Paketes hängt von der Größe und Komplexität Ihrer Umgebung, Ihrer Zielsetzung und Ihrem Budget ab. Zur Orientierung können Sie sich an folgender Faustregel orientieren: Für kleine bis mittlere AD-Umgebungen (bis ca. 500 Benutzer und 100 Server), bei denen noch nie ein Penetration Test durchgeführt wurde bietet sich ein Essential Test an. Für Umgebungen, die größer sind bzw. schon getestet wurden, empfehlen wir zumindest einen Advanced Test. Große Umgebungen, v.a. wenn mehrere Domänen und Forests betrachtet werden sollten, profitieren von einem Comprehensive Test. Eigens für KMUs bieten wir ein dediziertes KMU-Paket an, dass die wichtigsten Konfigurationen und schwerwiegendsten Schwachstellen abdeckt. Sie sind unsicher, welches Paket zu Ihrer Umgebung passt? Schreiben Sie uns einfach über unser Kontaktformular.

Defending what matters

Der nächste Cyberangriff kommt! Sind Sie darauf vorbereitet?

Lassen Sie uns reden!