Angriffspfad erklärt · rein defensiv · von Buzzard AI

DCSync erklärt: Wie sich ein Angreifer als Domänencontroller ausgibt — und die Berechtigung, die keiner prüft.

Ein übernommenes Konto verlangt per vorgetäuschtem Replikationsabgleich alle Passwort-Hashes — und das Active Directory händigt sie wie an einen echten Domänencontroller aus. Hier erfahren Sie, wie das funktioniert und mit welchem einen Fix die Kette reißt. Kein Tutorial, nur Schutz.

Läuft im Haus · keine Cloud · Daten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe Klartext-Report: Schulnote & Ampel
Das Besondere

So endet ein Angriff am Domänencontroller — und wo er reißt.

DCSync ist selten der erste Schritt, sondern das Ziel. Davor liegt eine Kette aus kleinen, für sich harmlosen Schwächen. Tippen Sie auf einen Schritt, um den Fix zu sehen, der ihn unterbricht.

Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz

🖨️
Druck-Server
PRINT-01 · 10.10.10.50
PrintNightmare · CVE-2021-34527
✅ Fix: Druckspooler auf Servern deaktivieren bzw. Sicherheitsupdate einspielen — schon hier reißt die Kette.
💻
Mitarbeiter-PC
WS-042 · 10.10.10.42
NTLM-Relay
✅ Fix: SMB-Signing erzwingen und NTLM einschränken — die Anmeldung lässt sich nicht mehr weiterreichen.
🔑
Service-Konto
svc_sql · mit Replikationsrechten
Kerberoasting
✅ Fix: langes, zufälliges Passwort bzw. (g)MSA für Dienstkonten und unnötige Rechte entziehen — kein Konto mit Replikationsrechten zum Übernehmen.
👑
Alle Passwort-Hashes
Domänencontroller · DC01
DCSync · Game Over
✅ Fix: Replikationsrechte auf die echten Domänencontroller begrenzen und Event 4662 von einer Nicht-DC-Adresse alarmieren — der vorgetäuschte Abgleich läuft ins Leere.
Vom vergessenen Drucker bis zu allen Passwort-Hashes — ein einziger Fix unterbricht die Kette. TULPAR sagt Ihnen, welcher.
Das Problem

DCSync missbraucht eine ganz normale Windows-Funktion.

🔁

Replikation ist gewollt

Domänencontroller gleichen ihre Daten ständig untereinander ab — das hält Ihre Anmeldungen am Laufen. Genau diesen legitimen Abgleich täuscht ein Angreifer vor.

🔓

Eine Berechtigung, die keiner prüft

Das Recht „Replicating Directory Changes All“ gehört eigentlich nur den Domänencontrollern. In gewachsenen Netzen sammelt es sich unbemerkt bei alten Dienst- und Backup-Konten an.

⏱️

Und es fällt kaum auf

Der Vorgang sieht für das System wie reguläre Replikation aus. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen — oft, weil solche Lücken nie geprüft wurden.

Was passiert da genau

Der vorgetäuschte Abgleich — in einfachen Worten.

Hat ein Angreifer ein Konto übernommen, das die Replikationsrechte trägt, fragt er das Active Directory: „Gib mir die aktuellen Kontodaten.“ Das System antwortet wie an einen echten Domänencontroller — und liefert die Passwort-Hashes aller Konten, bis hinauf zu den höchsten Administratorrechten.

  • Keine aufgebrochene Lücke. Es wird eine legitime Funktion missbraucht — deshalb fällt es ohne Überwachung kaum auf.
  • Aus „ein Konto“ wird „die ganze Domäne“. Mit allen Hashes kann sich ein Angreifer dauerhaft und unauffällig Zugang verschaffen.
  • Der eine Fix. Replikationsrechte auf echte Domänencontroller begrenzen und Event 4662 von einer Nicht-DC-Adresse alarmieren.
So prüft TULPAR das

In drei Schritten zum Lagebild.

1

Installieren

TULPAR im Netzwerk einrichten — startklar in Minuten.

2

Replikationsrechte sichten

🟢 Nur ansehen (empfohlen): TULPAR liest aus, welche Konten die kritischen Rechte tragen.

3

Verstehen

Bericht mit Schulnote, Ampel und Klartext — keine Fachsprache nötig.

5Mangelhaft
Sicherheits-Zeugnis
Beispiel-Auswertung · Active Directory „Musterfirma GmbH“
Dienstkonto mit Replikationsrechtenkritisch
Kein Alarm bei Abgleich von Nicht-DC-Adressekritisch
Dienstkonto-Passwort kurz, RC4 erlaubtmittel
SMB-Signing nicht erzwungenmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: Replikationsrechte auf die echten Domänencontroller begrenzen — schließt allein den Weg zu DCSync. Illustratives Beispiel.
Warum TULPAR

Sicherheit, die man versteht.

Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Hier ganz oben: die Replikationsrechte.

📋

Klartext-Bericht

Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.

⚖️

Nachweise unterstützt

Liefert technische Belege Richtung NIS2 & BSI IT-Grundschutz — keine Garantie, kein Ersatz für Beratung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Anlässe

Wann ein Blick aufs Active Directory jetzt sinnvoll ist.

Mehr zum großen Ganzen: Active Directory absichern für KMU →

Preis

Erst sehen, wo Sie stehen. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Automatischer Schwachstellen-Scan im eigenen Netz
  • Replikationsrechte sichtbar — wer könnte DCSync auslösen?
  • Klartext-Bericht mit Schulnote, Ampel und Maßnahmen-Reihenfolge
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zu DCSync.

DCSync ist der Fachbegriff dafür, dass sich ein Angreifer mit einem bereits übernommenen, ausreichend berechtigten Konto gegenüber dem Active Directory wie ein zweiter Domänencontroller verhält und über einen ganz normalen, aber vorgetäuschten Replikationsabgleich die Passwort-Hashes Ihrer Konten anfordert. Es wird dabei keine Lücke aufgebrochen, sondern eine legitime Windows-Funktion missbraucht — deshalb fällt es ohne gezielte Überwachung oft gar nicht auf.

Gerade das macht es gefährlich: Domänencontroller gleichen ihre Daten untereinander ständig ab, das ist gewollt. Wenn ein Angreifer sich in diesen Abgleich einklinkt, sieht der Vorgang für das System zunächst wie reguläre Replikation aus. Hat er erst die Passwort-Hashes aller Konten — inklusive der höchsten Administratorrechte — kann er sich praktisch dauerhaft und unauffällig Zugang verschaffen. Es ist der Punkt, an dem aus „ein Konto übernommen“ effektiv „die ganze Domäne übernommen“ wird.

Dahinter stehen die Replikationsrechte „Replicating Directory Changes“ und „Replicating Directory Changes All“. Eigentlich gehören sie nur den echten Domänencontrollern. In gewachsenen Netzen sammeln sie sich aber unbemerkt bei alten Dienstkonten, Backup- oder Synchronisierungs-Werkzeugen oder über verschachtelte Gruppen an. Weil diese Rechte tief in den Verzeichnis-Berechtigungen liegen und nicht in einer einfachen Übersicht auftauchen, schaut sie im Alltag fast niemand an — bis sie zum Problem werden.

Zwei zusammengehörige Schritte. Erstens: die Replikationsrechte konsequent auf die echten Domänencontroller begrenzen und jedem anderen Konto, das sie aus historischen Gründen noch besitzt, wieder entziehen. Zweitens: einen Alarm einrichten, der anschlägt, sobald ein Replikationsabgleich (Event ID 4662) von einer Adresse kommt, die gar kein Domänencontroller ist. Begrenzt man die Rechte und überwacht den Abgleich, läuft dieser ganze Pfad ins Leere.

Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Netzwerks, kein Angriffswerkzeug, und es stellt hier kein Aushändigen von Passwort-Hashes nach. Standardmäßig wird nur angesehen (read-only): TULPAR liest aus, welche Konten die kritischen Replikationsrechte tragen und wie ein Angriffspfad bis dorthin aussehen würde. Ein aktiver Test erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Es wird nichts angegriffen, was Sie nicht freigeben.

Der entscheidende Hinweis ist ein Replikationsabgleich, der von einer Adresse ausgeht, die kein Domänencontroller ist. Windows protokolliert solche Zugriffe als Event ID 4662. Ohne eine gezielte Auswertung geht dieser eine Eintrag jedoch in der Masse normaler Protokolle unter. TULPAR macht im Klartext sichtbar, ob die nötige Überwachung greift und ob es Konten gibt, die den missbrauchbaren Abgleich überhaupt anstoßen könnten — bevor es jemand ausnutzt.

DCSync ist meist nicht der erste Schritt, sondern das Ziel. Davor liegt oft eine Kette: ein vergessener Server mit bekannter Lücke, eine weitergereichte Anmeldung über NTLM-Relay, ein Dienstkonto mit schwachem Passwort. Erst über solche Zwischenschritte gelangt ein Angreifer an ein Konto mit genug Rechten, um den Replikationsabgleich anzustoßen. Genau diesen Zusammenhang zeigt TULPAR als Pfad — und macht deutlich, dass ein einziger geschlossener Schritt früher die ganze Kette unterbrechen kann.

Ein sauber begrenztes Berechtigungskonzept und nachvollziehbare Schwachstellen-Dokumentation sind Bausteine, die in NIS2-Risikomanagement, BSI-Einstiegschecks oder einen Cyberversicherungsantrag einfließen können — Versicherer fragen ein Berechtigungskonzept und privilegierte Zugänge gezielt ab. TULPAR liefert dafür technische Belege, ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht automatisch konform. Ob und wie Sie von NIS2 betroffen sind, hängt von Ihrem Sektor und Ihrer Größe ab; das klären Sie individuell.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Diese Seite erklärt die Technik rein defensiv und ist keine Anleitung zum Angriff. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Genannte Begriffe und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Wissen Sie, welche Konten in Ihrer Domäne diese Berechtigung tragen?

Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp