Ein übernommenes Konto verlangt per vorgetäuschtem Replikationsabgleich alle Passwort-Hashes — und das Active Directory händigt sie wie an einen echten Domänencontroller aus. Hier erfahren Sie, wie das funktioniert und mit welchem einen Fix die Kette reißt. Kein Tutorial, nur Schutz.
DCSync ist selten der erste Schritt, sondern das Ziel. Davor liegt eine Kette aus kleinen, für sich harmlosen Schwächen. Tippen Sie auf einen Schritt, um den Fix zu sehen, der ihn unterbricht.
Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz
Domänencontroller gleichen ihre Daten ständig untereinander ab — das hält Ihre Anmeldungen am Laufen. Genau diesen legitimen Abgleich täuscht ein Angreifer vor.
Das Recht „Replicating Directory Changes All“ gehört eigentlich nur den Domänencontrollern. In gewachsenen Netzen sammelt es sich unbemerkt bei alten Dienst- und Backup-Konten an.
Der Vorgang sieht für das System wie reguläre Replikation aus. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen — oft, weil solche Lücken nie geprüft wurden.
Hat ein Angreifer ein Konto übernommen, das die Replikationsrechte trägt, fragt er das Active Directory: „Gib mir die aktuellen Kontodaten.“ Das System antwortet wie an einen echten Domänencontroller — und liefert die Passwort-Hashes aller Konten, bis hinauf zu den höchsten Administratorrechten.
TULPAR im Netzwerk einrichten — startklar in Minuten.
🟢 Nur ansehen (empfohlen): TULPAR liest aus, welche Konten die kritischen Rechte tragen.
Bericht mit Schulnote, Ampel und Klartext — keine Fachsprache nötig.
Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Hier ganz oben: die Replikationsrechte.
Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.
Liefert technische Belege Richtung NIS2 & BSI IT-Grundschutz — keine Garantie, kein Ersatz für Beratung.
Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.
Mehr zum großen Ganzen: Active Directory absichern für KMU →
DCSync ist der Fachbegriff dafür, dass sich ein Angreifer mit einem bereits übernommenen, ausreichend berechtigten Konto gegenüber dem Active Directory wie ein zweiter Domänencontroller verhält und über einen ganz normalen, aber vorgetäuschten Replikationsabgleich die Passwort-Hashes Ihrer Konten anfordert. Es wird dabei keine Lücke aufgebrochen, sondern eine legitime Windows-Funktion missbraucht — deshalb fällt es ohne gezielte Überwachung oft gar nicht auf.
Gerade das macht es gefährlich: Domänencontroller gleichen ihre Daten untereinander ständig ab, das ist gewollt. Wenn ein Angreifer sich in diesen Abgleich einklinkt, sieht der Vorgang für das System zunächst wie reguläre Replikation aus. Hat er erst die Passwort-Hashes aller Konten — inklusive der höchsten Administratorrechte — kann er sich praktisch dauerhaft und unauffällig Zugang verschaffen. Es ist der Punkt, an dem aus „ein Konto übernommen“ effektiv „die ganze Domäne übernommen“ wird.
Dahinter stehen die Replikationsrechte „Replicating Directory Changes“ und „Replicating Directory Changes All“. Eigentlich gehören sie nur den echten Domänencontrollern. In gewachsenen Netzen sammeln sie sich aber unbemerkt bei alten Dienstkonten, Backup- oder Synchronisierungs-Werkzeugen oder über verschachtelte Gruppen an. Weil diese Rechte tief in den Verzeichnis-Berechtigungen liegen und nicht in einer einfachen Übersicht auftauchen, schaut sie im Alltag fast niemand an — bis sie zum Problem werden.
Zwei zusammengehörige Schritte. Erstens: die Replikationsrechte konsequent auf die echten Domänencontroller begrenzen und jedem anderen Konto, das sie aus historischen Gründen noch besitzt, wieder entziehen. Zweitens: einen Alarm einrichten, der anschlägt, sobald ein Replikationsabgleich (Event ID 4662) von einer Adresse kommt, die gar kein Domänencontroller ist. Begrenzt man die Rechte und überwacht den Abgleich, läuft dieser ganze Pfad ins Leere.
Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Netzwerks, kein Angriffswerkzeug, und es stellt hier kein Aushändigen von Passwort-Hashes nach. Standardmäßig wird nur angesehen (read-only): TULPAR liest aus, welche Konten die kritischen Replikationsrechte tragen und wie ein Angriffspfad bis dorthin aussehen würde. Ein aktiver Test erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Es wird nichts angegriffen, was Sie nicht freigeben.
Der entscheidende Hinweis ist ein Replikationsabgleich, der von einer Adresse ausgeht, die kein Domänencontroller ist. Windows protokolliert solche Zugriffe als Event ID 4662. Ohne eine gezielte Auswertung geht dieser eine Eintrag jedoch in der Masse normaler Protokolle unter. TULPAR macht im Klartext sichtbar, ob die nötige Überwachung greift und ob es Konten gibt, die den missbrauchbaren Abgleich überhaupt anstoßen könnten — bevor es jemand ausnutzt.
DCSync ist meist nicht der erste Schritt, sondern das Ziel. Davor liegt oft eine Kette: ein vergessener Server mit bekannter Lücke, eine weitergereichte Anmeldung über NTLM-Relay, ein Dienstkonto mit schwachem Passwort. Erst über solche Zwischenschritte gelangt ein Angreifer an ein Konto mit genug Rechten, um den Replikationsabgleich anzustoßen. Genau diesen Zusammenhang zeigt TULPAR als Pfad — und macht deutlich, dass ein einziger geschlossener Schritt früher die ganze Kette unterbrechen kann.
Ein sauber begrenztes Berechtigungskonzept und nachvollziehbare Schwachstellen-Dokumentation sind Bausteine, die in NIS2-Risikomanagement, BSI-Einstiegschecks oder einen Cyberversicherungsantrag einfließen können — Versicherer fragen ein Berechtigungskonzept und privilegierte Zugänge gezielt ab. TULPAR liefert dafür technische Belege, ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht automatisch konform. Ob und wie Sie von NIS2 betroffen sind, hängt von Ihrem Sektor und Ihrer Größe ab; das klären Sie individuell.
Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck bei Ihnen abläuft — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive.