Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
dMSAs sind das neue Ziel für AD-Privilegienerweiterung – Hier ist, was Sie wissen müssen

dMSAs sind das neue Ziel für AD-Privilegienerweiterung – Hier ist, was Sie wissen müssen

Jul 21, 2025

Einführung

Windows Server 2025 führte delegierte verwaltete Dienstkonten (dMSAs) ein, um die Sicherheit zu verbessern, indem die Dienstauthentifizierung mit Geräteidentitäten verknüpft wird. Aber Angreifer haben bereits einen Weg gefunden, dieses neue Feature in eine gefährliche Privilege Escalation-Technik zu verwandeln.

Der BadSuccessor attack ermöglicht es Angreifern, jeden Benutzer zu imitieren — sogar Domain-Administratoren — ohne herkömmliche Warnungen auszulösen. Hier erfahren Sie, wie es funktioniert, warum es so unauffällig ist und was Sie tun können, um ihm einen Schritt voraus zu sein.

Fordern Sie eine kostenlose Testversion für Netwrix PingCastle an

Verständnis von dMSAs und deren Rolle in Active Directory

Wie sich dMSAs von gMSAs unterscheiden

  • Ein dMSA (delegated managed service account) funktioniert wie ein Dienstkonto, ist jedoch an die Identität eines einzelnen Computers gebunden. Im Gegensatz zu gMSAs, die zentral verwaltet werden und auf mehreren Servern laufen können, erben dMSAs die Privilegien des Geräts, auf dem sie erstellt wurden.

Diese engere Ausrichtung verbessert die Sicherheit theoretisch — aber sie schafft auch neue Risiken, wenn dMSAs von veralteten Konten migriert werden.


Was man über die Migration zu dMSAs wissen muss

Ein dMSA kann als eigenständiges Konto erstellt werden. Alternativ kann es als Ersatz für ein bestehendes traditionelles benutzerbasiertes Dienstkonto (kein verwaltetes Dienstkonto oder gMSA) durch Migration erstellt werden. Dies wird typischerweise mit dem Start-ADServiceAccountMigration PowerShell-Cmdlet durchgeführt, welches die MigrateADServiceAccount LDAP RootDSE-Operation auslöst. Zwei Schlüsselattribute werden als Teil dieses Prozesses festgelegt:

  • msDS-ManagedAccountPrecededByLink — Verweist auf das ursprüngliche Benutzerkonto
  • msDS-DelegatedMSAState — Zeigt den Status der Migration an (z. B. bereit oder abgeschlossen)

Am Ende des Migrationsprozesses wird das veraltete Dienstkonto deaktiviert, muss aber weiterhin in Active Directory verbleiben. Wird es gelöscht, funktioniert das dMSA nicht mehr, da viele Dienste und Konfigurationen immer noch auf das ursprüngliche Konto verweisen. Angreifer zielen auf diese Attribute mit der BadSuccessor-Technik ab, was sie zu einem kritischen Überwachungspunkt macht.

Wie Angreifer ein dMSA missbrauchen können, um Privilegien in Active Directory zu eskalieren

Traditionelle Techniken zur Privilegienerweiterung

Reale Forschungsergebnisse zeigen, dass Privilegienerweiterung oft die zweite Angriffsphase nach dem Erstzugriff ist. Sobald Gegner die Kontrolle über ein Benutzerkonto erlangt haben, suchen sie nach Wegen, die es ihnen ermöglichen, systematisch ihre Privilegien zu erhöhen, mit dem Ziel, letztendlich Domain-Admin-Rechte zu erlangen.

Traditionelle Techniken zur Privilegienerweiterung, die im MITRE ATT&CK-Katalog aufgeführt sind, umfassen Kerberoasting, AS?REP Roasting und die Erstellung von Golden Tickets. Darüber hinaus verwenden Angreifer heutzutage oft Werkzeuge wie BloodHound, um Pfade zur Privilegienerweiterung zu kartieren, die das Ausnutzen von Problemen wie Fehlkonfigurationen, vererbten Berechtigungen oder Konstruktionsfehlern beinhalten, um hohe Berechtigungen zu erlangen.

Privilege Escalation unter Verwendung von dMSAs

Die Einführung von dMSAs bietet Angreifern eine weitere Möglichkeit zur Privilegienerweiterung, nicht weil dMSAs an sich unsicher sind, sondern weil Angreifer ausnutzen können, wie sie mit veralteten Dienstkonten verknüpft sind. Indem Attribute wie msDS-ManagedAccountPrecededByLink modifiziert werden, kann ein dMSA so konfiguriert werden, dass es einen anderen Benutzer imitiert und dessen Kontozugriff erbt. Daher können diese Rechte ausgenutzt werden, ohne Gruppenmitgliedschaften zu ändern oder zusätzliche Anmeldeinformationen zu kompromittieren. Infolgedessen könnten selbst ausgeklügelte Sicherheitsinfrastrukturen diesen Angriffsvektor übersehen, wenn sie sich nur auf traditionelles Event-ID-Monitoring oder die Nachverfolgung von Privilegienzuweisungen verlassen.

Ein häufiges Risikofaktor ist die unsachgemäße Delegation der Kontrolle über Organisationseinheiten (OUs). Wenn ein Angreifer ein Benutzerkonto mit CreateChild- oder WriteProperty-Rechten an einer OU kompromittiert, kann er potenziell ein dMSA erstellen, das Domänenprivilegien erbt. Akamai stellte fest, dass 91% der analysierten Umgebungen mindestens eine OU aufwiesen, bei der Benutzerkonten über ausreichende Berechtigungen verfügten, um diese Technik auszunutzen.

Der BadSuccessor-Angriff und warum er so gefährlich ist

BadSuccessor ist ein neuer Angriffsvektor, der dMSA-Migrationsattribute missbraucht. Indem das msDS-ManagedAccountPrecededByLink-Attribut geändert wird, kann ein Angreifer ein dMSA dazu bringen, ein Privileged Account zu imitieren.

Das Kerberos Key Distribution Center stellt dann Tickets aus, als ob das dMSA war dieser privilegierte Benutzer — keine Gruppenänderungen, keine offensichtlichen Anmeldeereignisse. Mit anderen Worten, Angreifer erhalten Admin-Zugang, der völlig legitim aussieht.

Das Problem wird noch verschärft, da BadSuccessor-Angriffe sehr schwer zu erkennen sein können. Es gibt keine Gruppenänderungen und keine Anmeldeaktivität vom imitierten Benutzerkonto. Obwohl Microsoft jetzt Protokolle für die relevanten Attributänderungen im Windows 2025-Schema (Version 91) bereitstellt, sind die meisten Überwachungstools noch nicht darauf eingestellt, sie zu markieren. Kurz gesagt, diese Technik wird wahrscheinlich unbemerkt bleiben, wenn die Erkennungstools nicht speziell nach abnormalen dMSA-Konfigurationen oder Imitationsverhalten in Kerberos-Ticketanfragen suchen. Auch die forensische Überprüfung ist schwierig, da der Name des dMSA nicht unbedingt das korrekte Privilegieniveau widerspiegelt, unter dem er operiert.

Neben der Ermöglichung von Privilegienerweiterung können BadSuccessor-Angriffe Gegnern auch ermöglichen, langfristigen Zugang zur Umgebung zu erlangen, bekannt als Persistenz. Persistenz ist entscheidend für Akteure von fortgeschrittenen persistenten Bedrohungen (APT). In AD sind fortgeschrittene Persistenztechniken solche, die Passwort-Resets, Neustartzyklen und standardisierte Behebungsmaßnahmen überleben. Der BadSuccessor-Angriff qualifiziert sich definitiv: Sobald ein dMSA im Migrationsmodus mit einem nachfolgenden Konto eingerichtet und Kerberos-Tickets ausgestellt sind, kann es weiterhin funktionieren, selbst wenn das ursprüngliche Konto deaktiviert wird. Mit anderen Worten, auf diese Weise missbrauchte dMSAs bieten eine „Hintertür mit Abzeichen“ — ein Konto, das legitim erscheint, Kerberos-Tickets wie jedes normale Dienstkonto anfordert und innerhalb definierter Privilegien operiert.

Best Practices für die Verteidigung gegen dMSA-Missbrauch

Eine robuste Verteidigung gegen den Missbrauch von dMSAs zur Privilegienerweiterung erfordert eine mehrschichtige Strategie, die sowohl Prävention als auch Erkennung umfasst. Zu den wichtigsten Best Practices gehören die folgenden:

  • Überprüfen Sie die Berechtigungen. Führen Sie regelmäßig Audits durch, wer die Rechte CreateChild, WriteProperty, WriteDACL (Berechtigungen ändern), Generic All (Vollzugriff) und WriteOwner (Besitzer ändern) für alle OUs besitzt und wenden Sie das Prinzip der geringsten Rechte streng an, um Ihre Angriffsfläche zu verringern.
  • Schulen Sie die Teams. Stellen Sie sicher, dass alle AD-Administratoren verstehen, wie dMSAs funktionieren und welche Risiken sie mit sich bringen.
  • Bleiben Sie informiert. Da Microsoft die dMSA-Funktion weiter verbessert, müssen Sicherheitsteams mit der offiziellen Dokumentation und der Community-Forschung in Kontakt bleiben, um aufkommende Risiken zu verstehen. Ressourcen wie Microsoft’s dMSA documentation und die neuesten Analysen von SpecterOps on BadSuccessor mitigations bieten wertvolle Orientierung.
  • Änderungen überwachen. Traditionelle Indikatoren für Kompromittierungen (IoCs), wie Anmeldefehler, reichen nicht aus, um dMSA-Angriffe wie BadSuccessor zu erkennen. Organisationen benötigen Echtzeit-Überwachungstools, die Änderungen an dMSA-bezogenen Attributen markieren können. Ein robuster Ansatz beinhaltet:
    • Eine Basislinie legitimer dMSAs und ihrer erwarteten Verhaltensweisen erstellen
    • Überwachung auf unerwartete Erstellung oder Änderung von dMSAs
    • Überwachung der Ausstellung von Kerberos-Tickets für dMSAs
    • Überprüfung der dMSA-Migrationsprotokolle, jetzt verfügbar in den neuesten Windows Server-Versionen — siehe Microsofts Anleitung zur dMSA-Ereignisprotokollierung
  • Verfolgen Sie eine Zero Trust-Strategie. Allgemeiner gesagt, integrieren Sie dMSA-Sicherheit in eine umfassendere Zero Trust-Initiative. Behandeln Sie dMSAs als hochwertige Identitäten, nicht nur als Infrastrukturkonten. Implementieren Sie dieselben Kontrollen wie für administrative Konten, einschließlich der strikten Durchsetzung des Prinzips der geringsten Rechte, der Analyse von Authentifizierungsaktivitäten und der kontinuierlichen Überwachung des Verhaltens.

Werkzeuge für effektive Erkennung und Verteidigung

Netwrix Identity Threat Detection & Response Solution bietet umfassenden Schutz vor auf dMSA basierenden Privilegienerweiterungsangriffen durch integrierte Sicherheitstools, die zusammenarbeiten, um Bedrohungen zu bewerten, zu verhindern und zu erkennen:

Wie Netwrix BadSuccessor-Angriffe stoppt

  • Finden Sie riskante OUs schnell: Netwrix PingCastle zeigt auf, wo Benutzer gefährliche dMSA-Erstellungsrechte haben, damit Sie diese beheben können, bevor Angreifer zuschlagen.
  • Blockieren Sie Exploits in Echtzeit: Netwrix Threat Prevention stoppt unbefugte Änderungen an dMSA-Attributen — und unterbindet so BadSuccessor-Angriffe direkt an der Quelle.
  • Erkennen Sie, was anderen entgeht: Netwrix Threat Manager überwacht Kerberos-Ticketing und dMSA-Migrationen auf Anzeichen von Identitätsmissbrauch und warnt Sie, bevor Angreifer ihre Privilegien erweitern.

Gemeinsam bieten diese Tools Ihnen Sichtbarkeit, Kontrolle und automatisierte Abwehr gegen verdeckte Techniken zur Privilegienerweiterung wie BadSuccessor.

Fazit

Das delegierte Managed Service-Konto ist ein leistungsstarkes neues Feature von Windows Server, das sowohl die Sicherheit als auch die Verwaltbarkeit verbessern kann. Angreifer können jedoch das dMSA für die Privilegienerweiterung in Active Directory nutzen. Tatsächlich unterstreicht die Entdeckung von BadSuccessor die Notwendigkeit, neue Fähigkeiten mit der gebotenen Sorgfalt zu implementieren, einschließlich einer Reihe bewährter Tools, um sowohl eine starke Sicherheitsposition als auch eine schnelle Bedrohungserkennung zu gewährleisten.

FAQ zu dMSA für Privilege Escalation in Active Directory

Was ist der BadSuccessor-Angriff?

BadSuccessor ist eine Technik, die ein dMSA ausnutzt, um im Active Directory eine Privilegienerweiterung zu erreichen. Sie kann es einem Angreifer-kontrollierten Konto ermöglichen, andere Benutzer im Active Directory zu imitieren, einschließlich privilegierter Benutzer.

Wie funktioniert der BadSuccessor-Angriff?

Ein Angreifer erstellt oder modifiziert ein dMSA und setzt dessen Migrationsattribute so, dass sie auf einen privilegierten Benutzer verweisen. Infolgedessen stellt der KDC Kerberos-Tickets aus, die dem dMSA diese erhöhten Privilegien gewähren und so eine unauffällige Identitätsübernahme ermöglichen.

Warum sind so viele Umgebungen anfällig?

Laut Akamai hatten 91% der realen AD-Umgebungen mindestens eine Organisationseinheit, in der nicht-privilegierte Benutzer CreateChild- oder Write-Berechtigungen hatten — ausreichend, um die BadSuccessor-Technik durchzuführen.

Was können Organisationen tun, um ihr Risiko zu mindern?

Best Practices zur Risikominderung umfassen die Einschränkung von CreateChild- und Write-Berechtigungen auf Organisationseinheiten, kontinuierliche Überwachung von Änderungen an dMSA-Attributen und proaktive Identifizierung und Korrektur riskanter Konfigurationen.

Plant Microsoft, dies zu patchen?

Microsoft hat das Problem der Verwendung von dMSA zur Privilegienerweiterung in Active Directory als mäßig schwerwiegend eingestuft. Obwohl möglicherweise ein Patch entwickelt wird, ist es klug, wenn Organisationen umgehend robuste Strategien zur Bedrohungsprävention und -erkennung annehmen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Tatiana Severina

Produktmarketing-Manager

Tatiana Severina ist Product Marketing Manager bei Netwrix mit über 15 Jahren Erfahrung in Unternehmens-Cybersicherheit und IT-Infrastruktur und unterstützt Go-to-Market-Bemühungen auf globalen Märkten. Sie konzentriert sich darauf, komplexe Bedrohungsintelligenz und technische Fähigkeiten in klare, umsetzbare Werte für Sicherheitsexperten zu übersetzen. Bei Netwrix arbeitet sie funktionsübergreifend, um Sicherheitsforschung mit Kundenwert zu verbinden, Organisationen dabei zu helfen, Identitätsrisiken zu reduzieren, die Reaktion auf Vorfälle zu optimieren und ihre gesamte Sicherheitsstrategie zu stärken.

Erfahren Sie mehr zu diesem Thema

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Active Directory-Attribute: Letzte Anmeldung

Vertrauensstellungen in Active Directory

Ransomware-Angriffe auf Active Directory

So erstellen, löschen, benennen um, deaktivieren und fügen Sie Computer in AD mithilfe von PowerShell hinzu

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen