Viele Unternehmen gehen davon aus, dass kompromittierte Konten mit der Einführung von Multi-Faktor-Authentifizierung (MFA) weitgehend der Vergangenheit angehören. Für Cloud-Dienste trifft das weitgehend zu – Microsoft beziffert die Vermeidung einfacher Kontoübernahmen mit MFA regelmäßig auf über 99 %. In klassischen Windows- und Active-Directory-Umgebungen bleiben jedoch gravierende Lücken bestehen: Angreifer verschaffen sich täglich mit gültigen Benutzernamen und Passwörtern Zugriff auf interne Netze, ganz ohne zweiten Faktor.
Warum MFA Windows- und Active-Directory-Logons oft nicht abdeckt
Moderne Infrastrukturen sind typischerweise hybrid aufgebaut. Ein Cloud-Identity-Provider wie Microsoft Entra ID, Okta oder Google Workspace schützt SaaS-Anwendungen und Single Sign-On über MFA. Die Mehrzahl der Anmeldungen in der Windows-Infrastruktur läuft jedoch weiterhin über klassische Active-Directory-Mechanismen wie Kerberos und NTLM, die direkt mit Domänencontrollern sprechen – ohne Umweg über den Cloud-IdP und damit ohne verpflichtende MFA-Abfrage.
Lokale Logons, RDP und VPN als MFA-Blindspots
Meldet sich ein Benutzer an einer Domänen-Workstation oder einem Server an, prüft der on‑premises Domänencontroller seine Credentials. Ohne Windows Hello for Business, Smartcards oder integrierte MFA-Lösungen basiert dieser Logon faktisch ausschließlich auf Passwort bzw. Hash. Cloud-Richtlinien für bedingten Zugriff greifen hier nicht. Gelingt es einem Angreifer, Passwort oder NTLM-Hash zu stehlen, kann er sich ungehindert an Domänenrechnern anmelden.
Besonders kritisch sind Remote Desktop (RDP) und VPN. Laut dem Verizon Data Breach Investigations Report gehören gestohlene Zugangsdaten und RDP-Zugriffe seit Jahren zu den häufigsten Initialvektoren für Ransomware. Selbst wenn RDP nicht direkt aus dem Internet erreichbar ist, nutzen Angreifer es nach einem ersten Einbruch für lateral movement. Klassische RDP- oder VPN-Logons authentifizieren in vielen Umgebungen direkt gegen AD – und damit ohne MFA. Spezialisierte Lösungen wie Specops Secure Access setzen genau hier an und erzwingen MFA auf Ebene des Windows-Logons, von RDP-Sitzungen und VPN-Zugängen.
NTLM, Pass-the-Hash und versteckte Angriffswege
Obwohl Microsoft seit Jahren empfiehlt, NTLM zugunsten von Kerberos abzulösen, bleibt der ältere Protokollstapel in vielen Netzwerken für Altanwendungen aktiv. NTLM ist besonders attraktiv, weil er Pass-the-Hash-Angriffe ermöglicht: Statt das Klartextpasswort zu kennen, reicht Angreifern der NTLM-Hash, den sie etwa aus Speicherabbildern oder der SAM-Datenbank extrahieren. Akzeptiert ein System diesen Hash als gültigen Nachweis, wird kein zusätzlicher Faktor angefordert – MFA ist hier wirkungslos.
Problematisch ist, dass NTLM-Authentifizierung oft in internen Diensten, File-Servern oder Legacy-Anwendungen „versteckt“ ist. Viele Organisationen erkennen die tatsächliche Nutzung von NTLM erst im Rahmen eines Penetrationstests oder nach einem Sicherheitsvorfall.
Kerberos, Ticket-Diebstahl und langfristiger Zugriff
Kerberos ist der Standard für Active-Directory-Authentifizierung. Anstatt Passwörter dauerhaft zu übermitteln, arbeitet Kerberos mit zeitlich befristeten Tickets. Gelingt es Angreifern, über ein kompromittiertes System oder ein Konto mit hohen Rechten auf diese Tickets zuzugreifen, können sie sie stehlen oder fälschen. Angriffe mit „Golden Tickets“ (gefälschte Ticket Granting Tickets) oder „Silver Tickets“ (Service Tickets) erlauben es, sich langfristig als beliebige Benutzer oder Dienste auszugeben.
Solche Kerberos-Angriffe reduzieren die Notwendigkeit, Passwörter erneut einzugeben – und damit die Chance, dass ein MFA-Mechanismus oder ein Anomalie-Detection-System anschlägt. Selbst ein Passwortwechsel reicht dann nicht aus, wenn etwa der Domänencontroller selbst kompromittiert wurde.
Lokale Administratoren, SMB und Dienstkonten als Hochrisiko-Ziele
In vielen Unternehmen sind lokale Administratorenkonten mit identischen oder schwachen Passwörtern nach wie vor verbreitet. Wird eine einzelne Workstation übernommen, können Angreifer diese Credentials über SMB-Freigaben (z. B. C$) und Remote-Befehle rasch im gesamten Netz wiederverwenden. Für diese internen Authentifizierungen wird praktisch nie MFA eingesetzt, da der Traffic als „vertrauenswürdig intern“ gilt.
Hinzu kommen Dienst- und Servicekonten, die für Windows-Dienste, geplante Tasks oder Integrationen verwendet werden. Ihre Passwörter laufen häufig jahrelang nicht ab, verfügen über weitreichende Privilegien und werden selten überwacht. Technisch ist MFA hier oft schwer umzusetzen, da die Authentifizierung automatisiert erfolgt und viele Legacy-Systeme moderne Protokolle nicht unterstützen.
Praxisnahe Strategien zur Härtung der Windows-Authentifizierung
Starke Passwortrichtlinien und kompromittierte Passwörter
Ein zentraler Baustein ist eine erweiterte Passwortstrategie. Empfehlenswert sind lange Passwortphrasen ab 15 Zeichen, die Vermeidung wiederverwendeter oder trivially erratbarer Kennwörter und die gezielte Abwehr von Credential-Stuffing-Angriffen. Da Milliarden gestohlener Zugangsdaten in Untergrundforen kursieren (u. a. in frei verfügbaren Dumps, wie sie auch Dienste wie „Have I Been Pwned“ aggregieren), sollten neue AD-Passwörter gegen bekannte Leaks geprüft werden.
Produkte wie Specops Password Policy gehen hier über Bordmittel hinaus: Funktionen wie Breached Password Protection gleichen AD-Passwörter automatisiert mit umfangreichen Datenbanken kompromittierter Credentials (über 5,4 Milliarden Einträge) ab und verhindern die Verwendung bereits geleakter Kennwörter.
NTLM reduzieren und MFA am Windows-Logon erzwingen
Parallel dazu sollte die Nutzung von NTLM systematisch inventarisiert und, wo möglich, deaktiviert oder stark eingeschränkt werden. Verbleibende Abhängigkeiten müssen besonders überwacht werden. Entscheidend ist außerdem, Windows-Authentifizierung als eigene Angriffsfläche zu behandeln: MFA sollte nicht nur vor Web-Anwendungen, sondern direkt beim Betriebssystem-Logon, RDP-Zugriff und VPN-Einwahl greifen. Spezialisierte Lösungen wie Specops Secure Access ermöglichen dies einschließlich der Absicherung von Offline-Logons über Einmalcodes.
Administrative und Dienstkonten konsequent absichern
Administrative und Dienstkonten sollten als Hochrisiko-Identitäten behandelt werden. Dazu gehören eine vollständige Inventarisierung, das Prinzip der minimalen Rechtevergabe, regelmäßige und automatisierte Passwortrotation, die Eliminierung ungenutzter Konten sowie eine engmaschige Überwachung aller Anmeldeereignisse und Rechteänderungen.
Unternehmen, die MFA nicht nur als Schutzschirm für Cloud-Anwendungen begreifen, sondern konsequent die Windows- und Active-Directory-Authentifizierung härten – von Passwortpolitik und NTLM-Kontrolle über Ticket-Schutz bis hin zu MFA am Logon- und RDP-Endpunkt –, reduzieren das Risiko erfolgreicher Angriffe mit gestohlenen Zugangsdaten deutlich. Ein systematischer AD-Sicherheitsaudit, der MFA-Blindspots und Legacy-Protokolle sichtbar macht, ist ein sinnvoller nächster Schritt, um gezielt technische Maßnahmen und spezialisierte Tools auszuwählen und die eigene Angriffsfläche nachhaltig zu verkleinern.
