Aus Sicht des Domänencontrollers handelt es sich dabei um eine ganz normale Authentifizierungsanfrage. Genau hier setzen laut dem Text Werkzeuge wie Specops Secure Access an: Sie erzwingen MFA für die Windows-Anmeldung sowie für VPN- und RDP-Verbindungen und sichern selbst Offline-Anmeldungen über Einmalpasswörter ab.
RDP zählt zu den am häufigsten angegriffenen Zugangswegen in Windows-Umgebungen. Auch wenn RDP nicht ins Internet exponiert ist, erreichen Angreifer es oft durch laterale Bewegung nach einer ersten Kompromittierung. Eine direkte RDP-Sitzung zu einem Server durchläuft cloudbasierte MFA-Kontrollen nicht automatisch und kann sich allein auf die zugrunde liegenden AD-Zugangsdaten stützen.
NTLM ist ein veraltetes Protokoll, das zugunsten des sichereren Kerberos abgelöst wurde, aus Kompatibilitätsgründen aber weiterbesteht. Es ist ein verbreiteter Angriffsvektor, weil es Techniken wie Pass-the-Hash unterstützt: Dabei benötigt der Angreifer nicht das Klartextpasswort, sondern authentifiziert sich mit dem NTLM-Hash. MFA hilft nicht, wenn das System den Hash als Identitätsnachweis akzeptiert. Oft taucht NTLM zudem in internen Authentifizierungsabläufen auf, die kaum überwacht werden – sichtbar wird das meist erst durch einen Vorfall oder ein Audit.
Kerberos ist das primäre Authentifizierungsprotokoll im AD. Statt Passwörter direkt zu stehlen, entwenden Angreifer Kerberos-Tickets aus dem Arbeitsspeicher oder fälschen Tickets, nachdem sie privilegierte Konten kompromittiert haben. Solche Angriffe ermöglichen langfristigen Zugriff und laterale Bewegung, senken die Zahl nötiger Anmeldungen und damit das Entdeckungsrisiko – und können selbst Passwort-Resets überdauern, wenn die zugrunde liegende Kompromittierung nicht vollständig behoben wird.
Lokale Administratorkonten authentifizieren sich in der Regel direkt am Endgerät und umgehen MFA-Kontrollen vollständig; Conditional-Access-Richtlinien von Entra ID greifen hier nicht. Werden lokale Admin-Passwörter über mehrere Endgeräte hinweg wiederverwendet, lässt sich eine einzelne Kompromittierung zu breitem Zugriff ausweiten. Auch SMB, eigentlich für Dateifreigaben gedacht, dient nach Erbeutung gültiger Zugangsdaten als zuverlässiger Weg für laterale Bewegung – etwa über administrative Freigaben wie C$ –, da auf dieser Ebene selten MFA erzwungen wird.
Dienstkonten gelten als besonders heikel: Sie verfügen oft über stabile Anmeldedaten, weitreichende Rechte und lange Laufzeiten, ihre Passwörter laufen häufig nicht ab und werden kaum überwacht. Wegen der automatisierten Authentifizierung lassen sie sich schwer mit MFA absichern, zumal sie oft in Altanwendungen ohne moderne Authentifizierung zum Einsatz kommen.
Der Text empfiehlt, Windows-Authentifizierung als eigene Sicherheitsfläche zu behandeln. Eine starke Passwort-Richtlinie sollte Passphrasen ab 15 Zeichen erzwingen, Wiederverwendung verhindern und schwache Muster blockieren. Da Milliarden von Passwörtern bereits in Leak-Datensätzen kursieren, sollten kompromittierte Passwörter schon bei der Vergabe blockiert werden. NTLM sollte, wo möglich, eingeschränkt oder beseitigt werden, und Dienstkonten sind als Hochrisiko-Identitäten zu inventarisieren, in ihren Rechten zu beschneiden und regelmäßig zu rotieren.
Laut dem Text setzt Specops Password Policy hier mit flexiblen Passwort-Kontrollen an, die über die nativen Microsoft-Funktionen hinausgehen. Die Funktion Breached Password Protection gleicht Active-Directory-Passwörter fortlaufend mit einer Datenbank von mehr als 5,4 Milliarden offengelegten Zugangsdaten ab und warnt, sobald ein Nutzerpasswort gefährdet ist.
