---
title: Active Directory Tiering: Terminalserver und Helpdesk
url: https://www.vidrasec.com/de/blog/active-directory-tiering/
description: In diesem Blogpost werde ich kurz auf 2 oft übersehene Schwachstellen und Fehlkonfigurationen im Active Directory Tiering Modell eingehen.
date: 2024-10-15
---


In diesem Blogpost werde ich kurz auf 2 oft übersehene Schwachstellen und Fehlkonfigurationen im Active Directory Tiering Modell eingehen. Konkret werde ich auf die Fehlbehandlung von Terminalserver und Helpdesk Usergruppe eingehen.

## Die richtige Einordnung von Terminalservern

Ein häufiges Missverständnis in der Praxis betrifft die korrekte Zuordnung von Terminalservern innerhalb des Active Directory Tier-Modells. Terminalserver, einschließlich Citrix-Systeme, ermöglichen es Benutzern, sich mit einer virtuellen Desktop-Umgebung zu verbinden. Häufig werden diese Systeme fälschlicherweise dem **Tier 1** zugeordnet, da es sich um Server handelt.

### Warum Terminalserver zu Tier 2 gehören

Terminalserver sind aus Tiering-Sicht **Clients**, da sich dort reguläre Benutzer anmelden. Ein kompromittierter Benutzeraccount stellt eine erhebliche Gefahr dar, da Angreifer nach einer erfolgreichen **Phishing-Attacke** oder einer anderen Angriffsmethode auf das System gelangen können.

Sobald ein Angreifer Zugriff hat, muss er lediglich eine **Privilege Escalation** ausnutzen, neue Schwachstellen in diesem Bereich werden kontinuierlich entdeckt und veröffentlicht. Gelingt dies, kann der Angreifer als **lokaler Administrator** auf dem Terminalserver arbeiten und eingeloggte Accounts kompromittieren. Falls sich darunter ein Tier-1-Administrator befindet, ist die gesamte Sicherheitsstruktur gefährdet.

### Fazit

➡ **Terminalserver müssen als Clients betrachtet werden und gehören daher in Tier 2!**

Diese Fehlkonfiguration begegnet mir regelmäßig bei Penetrationstests und hat in der Vergangenheit bereits mehrfach eine entscheidende Rolle beim Erreichen des **Domain Admins** gespielt. Das Tier-Modell ist eine effektive Schutzmaßnahme, jedoch nur dann, wenn es konsequent und mit Bedacht umgesetzt wird. Zu prüfen, ob das Tier-Modell tatsächlich wie geplant umgesetzt ist und nicht nur dokumentiert, ist Standardbestandteil eines [Active Directory Audits](/de/services/active-directory-audit/).

## Absicherung von Helpdesk-Rechten

In vielen Unternehmen gibt es neben den Administratoren einen **Helpdesk**, der für verschiedene Aufgaben zuständig ist, darunter das **Zurücksetzen von Passwörtern** oder die **Behebung von Client-Problemen**. In der Regel haben Helpdesk-Mitarbeiter keine direkten Zugriffsrechte auf Server und sind daher dem **Tier 2** zugeordnet.

### Kritische Fehlkonfigurationen im Helpdesk-Bereich

Es gibt zwei grundlegende Konfigurationsfehler, die Unternehmen typischerweise berücksichtigen, um eine unkontrollierte Rechteausweitung zu verhindern:

- **Darf der Helpdesk das Passwort eines Domain-Administrators zurücksetzen?**
- **Darf der Helpdesk administrative Aufgaben auf dem Client eines Domain-Administrators ausführen?**

Falls diese Fragen nicht klar mit **Nein** beantwortet werden können, besteht die Gefahr, dass ein Angreifer über den Helpdesk Zugang zu **höher privilegierten Konten** erhält und das gesamte Sicherheitskonzept aushebelt.

### Eine oft übersehene Gefahr

Ein weniger offensichtliches, aber ebenso kritisches Risiko besteht in der Möglichkeit, dass der Helpdesk **Passwörter von Führungskräften** zurücksetzen kann:

- **Darf der Helpdesk das Passwort des CEOs oder CFOs zurücksetzen?**

Obwohl dieser Punkt häufig unbeachtet bleibt, ist der Account eines CFOs für Angreifer oft wertvoller als der eines Domain-Administrators. Finanzielle Transaktionen, Geschäftskommunikation und vertrauliche Dokumente sind attraktive Ziele für Angriffe.

➡ **Ein Angreifer benötigt keine Ransomware, wenn er direkten Zugriff auf das Bankkonto des Unternehmens hat.**

## Das Tier-Modell in der Praxis testen

Das Tier-Modell ist eine zentrale Sicherheitsmaßnahme, um Angriffe innerhalb eines Unternehmensnetzwerks zu erschweren. Doch nur wenn es regelmäßig überprüft und getestet wird, kann es seine volle Schutzwirkung entfalten.

### Hast du dein Active Directory bereits getestet?

Nur durch gezielte Sicherheitsüberprüfungen und Penetrationstests lässt sich das tatsächliche Risiko einschätzen und lassen sich potenzielle Schwachstellen rechtzeitig schließen. Ein [Active Directory Audit](/de/services/active-directory-audit/) deckt genau die oben beschriebene Prüfung des Tier-Modells und der Berechtigungen ab.

[**Bei weiteren Fragen zur Sicherheit von Windows wende dich gerne an VidraSec.**](/de/contact/)

Unsicher, ob ein Audit oder ein vollständiger Penetrationstest besser passt? Der [Penetrationstest-Käuferratgeber](/de/blog/penetration-testing-buyers-guide/) hilft bei der Entscheidung.

