Identity Drift in AD und Entra ID: Das Risiko nach einer Passwortänderung

Passwortzurücksetzungen werden oft als vollständiger Neustart betrachtet. Ein geleaktes Passwort wird entdeckt, geändert und das Risiko scheint damit beseitigt. In hybriden Active Directory (AD) Umgebungen ist diese Annahme jedoch gefährlich.

Wenn AD zusammen mit Microsoft Entra ID über Password Hash Synchronization (PHS) betrieben wird, werden alte Anmeldeinformationen nicht sofort auf allen Authentifizierungspfaden ungültig. Das führt zu dem, was man als Identity Drift bezeichnet. Ein Passwort kann in einem System zurückgesetzt sein, während es in einem anderen für eine kurze, aber relevante Zeitspanne weiterhin gültig bleibt.

Für Sicherheitsarchitekten und IT-Administratoren hat diese Lücke operative Konsequenzen und Auswirkungen auf die Incident Response (Vorfallreaktion), die häufig unterschätzt werden.

Kontextbasierte Passwortangriffe in der Praxis

Organisation-spezifische Begriffe finden sich überall im Internet, zum Beispiel auf Webseiten, in Social Media, in Stellenanzeigen oder in geleakten Dokumenten. Angreifer können diese Begriffe sammeln und gezielte Wortlisten erstellen, die interne Terminologie, Produktnamen und kulturelle Referenzen enthalten. So reduzieren sie das Raten von Passwörtern und erhöhen die Wahrscheinlichkeit eines erfolgreichen Angriffs, insbesondere wenn Nutzer Passwörter aus bekannten Begriffen erstellen.

Die NIST Special Publication 800-63B empfiehlt, kontextbezogene Wörter in Passwörtern zu vermeiden und bekannte kompromittierte Passwörter zu blockieren. Taucht ein Passwort in einem geleakten Datensatz auf, muss es abgelehnt und ersetzt werden.

Ebenso wichtig ist die Rotation nach einem Kompromiss. Wird ein Passwort durch ein Datenleck oder über einen Initial Access Broker offengelegt, verringert eine schnelle Zurücksetzung das Risiko einer Wiederverwendung in Unternehmenssystemen. Eine Rotation allein gewährleistet jedoch in hybriden AD-Umgebungen keinen sofortigen Schutz.

Was passiert bei einer Passwortzurücksetzung

In traditionellen AD-Umgebungen werden Passwörter meist über den Helpdesk zurückgesetzt. Der Benutzer verifiziert seine Identität, der Helpdesk setzt das Passwort zurück, und der Benutzer erhält temporäre Anmeldeinformationen. AD wird aktualisiert, aber zwischengespeicherte Passwörter auf Endgeräten bleiben zunächst gültig.

Windows speichert Passwörter lokal als Hashes, um die Offline-Anmeldung zu ermöglichen. Hat ein Gerät nach der Zurücksetzung noch keine Verbindung zu AD hergestellt, kann der alte Hash weiterhin für bestimmte Authentifizierungen genutzt werden. Dies eröffnet Angriffsflächen wie Pass the Hash (PtH) oder Wiederverwendung von Anmeldeinformationen.

In hybriden Umgebungen kann sich ein weiteres Verzögerungsfenster ergeben. Nach einer AD-Passwortänderung akzeptiert Entra ID das alte Passwort möglicherweise noch einige Minuten, bis der nächste PHS-Zyklus abgeschlossen ist. In dieser Zeit kann die Authentifizierung gegen Entra-Portale und Entra-integrierte Anwendungen weiterhin erfolgreich sein.

Diese zeitlichen Unterschiede sind die Grundlage der Identity Drift.

Drei Szenarien, wie Identity Drift nach einer Zurücksetzung bestehen bleibt

Ohne zusätzliche Kontrollen kann eine Passwortzurücksetzung drei Zustände erzeugen:

1. Der Benutzer hat sich mit dem neuen Passwort bei AD angemeldet. Der lokale Cache wird aktualisiert und der alte Hash ist ungültig.

2. Der Benutzer hat sich seit der Zurücksetzung nicht auf einem bestimmten Gerät angemeldet. Der alte Cache-Hash kann weiterhin für bestimmte Authentifizierungen genutzt werden.

3. In hybriden Umgebungen wurde das Passwort in AD zurückgesetzt, der neue Hash wurde aber noch nicht mit Entra ID synchronisiert. Während des PHS-Zyklus kann das alte Passwort noch verwendet werden.

Für die Incident Response bedeutet das, dass die Eindämmung komplizierter wird. Sicherheitsteams müssen alle Endgeräte und Authentifizierungspfad berücksichtigen, auf denen die Anmeldeinformationen genutzt wurden. Eine Zurücksetzung ist keine universelle Sperrung.

Passwort- und Zurücksetzungsrichtlinien stärken

Um Identity Drift zu reduzieren, müssen sowohl die Passwortqualität als auch der Zurücksetzungsprozess berücksichtigt werden. Zuerst sollten die Passwort-Richtlinien vorhersagbare Konstruktionen unterbinden, und bekannte geleakte Passwörter müssen beim Änderungszeitpunkt blockiert werden, damit ein schwaches Passwort nicht einfach durch ein anderes schwaches ersetzt wird.

Specops Password Policy ermöglicht es Organisationen, innerhalb von AD detaillierte Passwortanforderungen durchzusetzen und kontinuierlich über 5 Milliarden bekannte kompromittierte Passwörter zu blockieren. Dadurch wird die Wahrscheinlichkeit reduziert, dass ein schwaches Passwort durch ein anderes schwaches ersetzt wird.

Zweitens muss der Zurücksetzungsprozess sicher und effizient sein. Helpdesk-gestützte Zurücksetzungen sind anfällig für Social Engineering. Vorfälle wie der M&S Service Desk Breach zeigen die Notwendigkeit einer robusten Identitätsprüfung.

Specops uReset bietet sichere Self-Service-Passwortzurücksetzungen und erzwingt die Identitätsprüfung der Endbenutzer, um Missbrauch zu verhindern. In Kombination mit dem Specops Authentication Client kann uReset den lokalen Credential-Cache sofort auf dem Gerät aktualisieren, auf dem die Zurücksetzung durchgeführt wird. Damit wird das Zeitfenster geschlossen, in dem alte Hashes noch nutzbar sind.

Dies verhindert nicht die Drift auf allen Geräten eines Benutzers, reduziert jedoch die Exposition an der Netzwerkperipherie, wo Unternehmenslaptops und Remote-Systeme häufig Angriffsziel sind.

Warum Multi-Faktor-Authentifizierung (MFA) in hybriden AD-Umgebungen entscheidend ist

MFA reduziert die Wirkung von Restvalidität alter Anmeldeinformationen. Wenn MFA beim Windows-Logon und Remotezugriff durchgesetzt wird, reicht der Besitz eines gültigen Hashes oder Passworts nicht für die Authentifizierung. Angreifer müssen zusätzliche Faktoren kompromittieren.

Specops Secure Access erweitert MFA auf Windows-Logon, RDP und VPN und schließt Lücken, in denen Identity Provider keine MFA-Anfragen auslösen.

Wenn MFA konsequent auf On-Premise- und Remote-Zugängen angewendet wird, ist Identity Drift deutlich schwerer auszunutzen. Alte Zugangsdaten können zwar noch im Cache oder während eines Synchronisationsintervalls vorhanden sein, sind jedoch ohne den zweiten Faktor nutzlos.

Risiken über das Passwort hinaus reduzieren

Hybride Identität bringt eine weitere Herausforderung. Benutzer melden sich von mehreren Endpunkten an, darunter unmanaged oder teilweise verwaltete Geräte.

In Zero-Trust-Umgebungen reduziert die Integration von Gerätevertrauen in Zugriffskontrollen die Abhängigkeit von Passwörtern allein. Lösungen wie Specops Device Trust binden Identitäten an genehmigte, unternehmenskonforme Geräte. Angreifer können Credentials so nicht auf eigenen Geräten missbrauchen.

Dies ersetzt weder starke Passwort-Richtlinien noch MFA, sondern fügt eine zusätzliche Sicherheitsebene hinzu.

Incident Response (Vorfallreaktion) für Identity Drift

Incident Response sollte in Playbooks und Tabletop-Übungen berücksichtigt werden. Sicherheitsteams sollten dokumentieren:

• Wie schnell Passwortänderungen von AD zu Entra ID propagiert werden
• Welche Authentifizierungspfade zwischengespeicherte Zugangsdaten nutzen
• Wo MFA erzwungen wird und wo nicht
• Welche Endgeräte erneut mit AD verbunden werden müssen, um alte Hashes ungültig zu machen

Angreifer-Werkzeuge wie Responder oder Impacket können Zugangsdaten aus kompromittierten Systemen extrahieren oder wiederverwenden. Bleiben diese während eines Drift-Fensters gültig, kann die Eindämmung fehlschlagen. Ohne diese Übersicht könnten alte Zugangsdaten lange genug nutzbar bleiben, um seitliche Bewegungen oder Privilegieneskalationen zu ermöglichen.

Um diese Exposition zu reduzieren, ist eine gezielte Abstimmung zwischen Richtlinien, Zurücksetzungs-Workflows und Authentifizierungskontrollen erforderlich:

• Starke Passwort-Richtlinien nach NIST SP 800-63B durchsetzen
• Bekannte kompromittierte Passwörter bei der Zurücksetzung blockieren
• Sichere Self-Service-Zurücksetzung nutzen, um die Exposition des Helpdesks zu reduzieren
• MFA bei Windows-Logon und Remotezugriff durchsetzen
• Gerätevertrauen, wo möglich, in Zugriffskontrollen einbeziehen

Wie Specops helfen kann

Starke Passwortprüfung, sichere Self-Service-Zurücksetzung, konsistente MFA und gerätebewusste Zugriffskontrollen wirken zusammen, um das Zeitfenster der Identity Drift zu minimieren. Eine Zurücksetzung sollte echte Sperrung darstellen. In hybriden Umgebungen bedeutet das mehr, als nur einen String im Verzeichnis zu ändern.

Möchten Sie die Authentifizierung in Ihrer hybriden AD-Umgebung stärken? Erfahren Sie, wie Specops sichere Passwortzurücksetzungen unterstützt, um Risiken in hybriden AD- und Entra ID-Umgebungen zu reduzieren. Buchen Sie eine Demo oder sprechen Sie mit einem Spezialisten.