Wenn das BSI fragt, hast du die Antwort
Microsoft Active Directory Certificate Services ist die zentrale PKI-Infrastruktur in praktisch jeder Windows-Domäne. Ein kompromittierter Zertifikatsdienst bedeutet in der Regel die vollständige Kompromittierung der Domäne, weil ausgestellte Zertifikate Authentifizierungs-Material darstellen und ein Angreifer damit die Identität beliebiger Benutzer einschließlich Domain-Admins annehmen kann.
Zielgruppe
Der ISW ADCS Auditor richtet sich an Fachpersonen und Organisationen, die mit dem sicheren Betrieb und der Auditierung von Active Directory Certificate Services befasst sind.
IT-Administratoren
Verantwortliche für Active Directory und PKI-Infrastrukturen, die ihre Zertifikatsdienste regelmäßig auf bekannte Schwachstellen überprüfen müssen.
Informationssicherheitsbeauftragte (ISB)
Personen mit Verantwortung für die Umsetzung von BSI IT-Grundschutz, ISO 27001, NIS2 und vergleichbaren Standards in ihrer Organisation.
Auditoren und Wirtschaftsprüfer
Fachpersonen, die im Rahmen von Compliance-Audits eine technische Bewertung der ADCS-Sicherheitslage benötigen.
Managed Service Provider (MSP)
Dienstleister, die Active-Directory-Umgebungen für Kunden betreuen und periodische Sicherheitsberichte erstellen müssen.
Penetration-Tester
Sicherheitsfachleute, die im Rahmen autorisierter Tests die ADCS-Konfiguration auf Angriffsvektoren prüfen.
Sicherheitsbeauftragte in KRITIS-Sektoren
Verantwortliche in Energie, Gesundheit, Finanzen, öffentlicher Verwaltung und weiteren KRITIS-Bereichen mit erhöhten Anforderungen aus dem IT-SiG 2.0 und NIS2.
Lizenzierung
Gute Software muss nicht teuer sein.
Einmalig 189,00 € (inkl. 19% MwSt.)
- Standortlizenz ohne Benutzerbegrenzung
- Keine Folgekosten, keine Abonnements
- Kostenlose Updates innerhalb der Hauptversion
Produktinformation ADCS Auditor
FREE DOWNLOAD
Was den ISW ADCS Auditor auszeichnet
Der ISW ADCS Auditor zeichnet sich durch folgende Eigenschaften aus:
Vollständige ESC1–ESC15-Abdeckung
Alle aktuell dokumentierten ADCS-Schwachstellen-Klassen werden geprüft, einschließlich der neueren ESC13/14/15-Vektoren.
Doppelte Prüflogik
Jeder Scanner kombiniert LDAP-basierte Template- und Zertifizierungsstellen-Inspektion mit serverseitiger Registry-Prüfung über WinRM. Dies eliminiert blinde Flecken, die rein LDAP-basierte Tools haben.
BSI IT-Grundschutz-Mapping
Jeder Befund ist auf die zutreffende BSI-Anforderung referenziert (z. B. APP.2.2.A9, SYS.1.2.3.A3). Damit lassen sich Befunde direkt in das hauseigene Sicherheitskonzept eintragen.
CIS Benchmark v5.0.0
Parallel zum BSI-Mapping referenziert das Tool die CIS Microsoft Windows
Server 2022 Benchmark v5.0.0 Sections.
Web-Enrollment-Probe
Aktive Prüfung von ESC8 (NTLM-Relay auf Web-Enrollment) und ESC11 (RPC-Encryption-Flag) durch echte HTTP- und RPC-Probes, nicht nur konfigurationsbasiert.
Headless CLI-Modus
Vollständige Automatisierung über die Kommandozeile für geplante Aufgaben. Reports werden automatisch erstellt und können per E-Mail versendet werden.
Mehrere Report-Formate
HTML (interaktiv, druckbar A4), PDF (signierfähig, GoBD-tauglich archivierbar), JSON (maschinenlesbar für SIEM-Integration).
AES-256-verschlüsselte Anmeldedaten
Service-Account-Zugangsdaten werden nach ISW-Standard ausschließlich mit AES-256 verschlüsselt unter %APPDATA% abgelegt. Keine Verwendung von Windows DPAPI.
Modernes WPF-Frontend
Übersichtliches Dashboard, kontextsensitive Filter, Doppelklick-Navigation von der Übersicht in die Detail-Befunde.
Multi-Sprach-Unterstützung
Volle Funktionalität auf deutschen und englischen Windows-Systemen, ohne sprachabhängige Parser-Stolpersteine.
Konkrete Risiken
Die SpecterOps-Forschung um Will Schroeder und Lee Christensen hat 2021 in dem Paper „Certified Pre-Owned” erstmals eine systematische Sammlung von Angriffsvektoren gegen ADCS veröffentlicht. Die ursprüngliche Klassifikation ESC1-ESC8 wurde seitdem auf ESC15 erweitert. Diese Schwachstellen sind in der Praxis weit verbreitet, weil die Standard-Konfiguration einer Windows-ADCS-Installation viele dieser Vektoren offen lässt.
Kritische Auswirkungen einer ADCS-Kompromittierung
Bei erfolgreicher Ausnutzung typischer ADCS-Schwachstellen kann ein Angreifer ohne weitere Privilegien-Eskalation ein Zertifikat ausstellen lassen, das auf einen Domain-Admin lautet. Damit ist die Domäne vollständig kompromittiert. Die Persistenz ist hoch, weil ausgestellte Zertifikate auch nach Passwort-Rotation gültig bleiben – oft jahrelang.
Manuelle Prüfung versus automatisierte Prüfung
Eine manuelle Prüfung einer mittelgroßen Active-Directory-Umgebung mit mehreren Zertifizierungsstellen und 20 bis 50 Zertifikatsvorlagen erfordert mehrere Personentage. Dabei müssen für jede Vorlage einzeln die ACL, die Enrollment-Flags, die Subject-Name-Flags und die EKU geprüft und gegen die ESC-Vektoren bewertet werden.
Der ISW ADCS Auditor reduziert diesen Aufwand auf wenige Minuten. Ein vollständiger Scan einer typischen Umgebung dauert je nach Größe zwischen 30 Sekunden und 5 Minuten. Die Ergebnisse sind reproduzierbar, vollständig dokumentiert und unterliegen keiner Tagesform-Schwankung.
Compliance-Kontext
| Standard / Vorgabe |
Relevanz für ADCS-Auditing |
| BSI IT-Grundschutz |
APP.2.2 Active Directory Domain Services, CON.1 Kryptokonzept, SYS.1.2.3 Windows Server, OPS.1.1.5 Protokollierung |
| ISO 27001:2022 |
Annex A.5.17 Authentication information, A.8.5 Secure authentication, A.8.24 Use of cryptography |
| NIS2-Richtlinie |
Art. 21 Risikomanagement-Maßnahmen, insbesondere Schwachstellen-Behandlung und Sicherheit der Lieferkette |
| DSGVO Art. 32 |
Stand der Technik bei der Authentifizierung; ADCS-Schwachstellen unterlaufen technische Schutzmaßnahmen |
| PCI-DSS v4.0 |
Requirement 8.3 Strong cryptography for authentication; Requirement 11.3 Vulnerability scanning |
| CIS Benchmark |
Microsoft Windows Server 2022 v5.0.0 – 10 relevante Sections für ADCS-Konfiguration |
Wirtschaftlicher Nutzen
Neben dem Sicherheitsgewinn liefert das Tool messbaren wirtschaftlichen Nutzen:
- Reduzierung des Audit-Aufwands um etwa 80% gegenüber manueller Prüfung
- Direkte Dokumentation der Soll-Ist-Lage für interne Audits und Behörden-Vorlagen
- Frühzeitige Erkennung von Konfigurationsfehlern, bevor sie zu Sicherheitsvorfällen führen
- Versicherungstechnisch relevante Dokumentation für Cyber-Versicherungen, die regelmäßige Schwachstellen-Scans voraussetzen
- Reduzierung des Reputationsrisikos durch proaktive Sicherheitsmaßnahmen
Geprüfte Schwachstellen-Klassen
Das Tool prüft systematisch die folgenden ESC-Vektoren. Die Klassifikation folgt der SpecterOps-Nomenklatur und wird in der Sicherheits-Community als verbindlicher Standard akzeptiert.
| Vektor |
Bezeichnung |
Beschreibung |
| ESC1 |
Misconfigured Certificate Templates |
Templates erlauben SAN-Spezifikation durch Enrollee in Kombination mit Client-Authentication-EKU |
| ESC2 |
Template mit Any Purpose EKU |
Vorlage erlaubt jede EKU, einschließlich Client-Auth und Smartcard-Logon |
| ESC3 |
Enrollment Agent Templates |
Templates mit Certificate-Request-Agent EKU, die eine Enrollment-Stellvertretung erlauben |
| ESC4 |
Vulnerable Template ACLs |
ACLs auf Templates erlauben unprivilegierten Benutzern WriteOwner, WriteDacl oder WriteProperty |
| ESC5 |
Vulnerable PKI Object ACLs |
ACLs auf CA-Objekten, AIA- oder NTAuth-Stores erlauben Modifikation durch unprivilegierte Benutzer |
| ESC6 |
EDITF_ATTRIBUTESUBJECTALTNAME2 |
CA-Server-Flag erlaubt das Setzen beliebiger SANs in jedem Zertifikatsrequest |
| ESC7 |
Vulnerable CA Access Control |
ACL auf der Zertifizierungsstelle erlaubt ManageCA oder ManageCertificates für unprivilegierte Benutzer |
| ESC8 |
NTLM Relay to Web-Enrollment |
Web-Enrollment-Endpunkt akzeptiert NTLM-Authentifizierung und ist damit Relay-anfällig |
| ESC9 |
No Security Extension |
Templates mit gesetztem CT_FLAG_NO_SECURITY_EXTENSION schreiben keine SID in das Zertifikat |
| ESC10 |
Weak Certificate Mappings |
Schannel CertificateMappingMethods erlauben schwache UPN- oder S4U2Self-Mappings |
| ESC11 |
RPC Encryption Disabled |
IF_ENFORCEENCRYPTICERTREQUEST nicht gesetzt – ermöglicht RPC-Relay zur CA |
| ESC13 |
OID Group Link Abuse |
Templates mit OID-Group-Link erlauben unbeabsichtigte Gruppenmitgliedschaft im ausgestellten Zertifikat |
| ESC14 |
altSecurityIdentities Abuse |
Schreibrechte auf altSecurityIdentities erlauben Identitäts-Übernahme über Cert-Mapping |
| ESC15 |
EKUwu / Schema V1 Bypass |
Schema-V1-Templates erlauben Application-Policies in CSR, die Template-EKU überlagern (CVE-2024-49019) |
Architektur des Auditor-Zugriffs
Der ISW ADCS Auditor wird grundsätzlich von einer separaten Auditor-Workstation aus betrieben – nicht auf einem Domain Controller und nicht auf einer Zertifizierungsstelle. Die Kommunikation zu den geprüften Systemen erfolgt über etablierte Protokolle wie LDAP und WinRM, die in einer typischen Windows-Umgebung bereits aktiv sind.
ADCS Auditor – „Was das BSI fordert, was unser Auditor liefert.”
Teil der ISW-Tools Suite von IT-Service Walter
© 2026 IT-Service Walter | Alle Rechte vorbehalten
