ORSYS le mag 2025 logo

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > Waarom Active Directory nog steeds het belangrijkste doelwit is van cyberaanvallen

Waarom Active Directory nog steeds het belangrijkste doelwit is van cyberaanvallen

Gepubliceerd op 5 januari 2026
Deel deze pagina :

Meer dan 9 op de 10 aanvallen zijn gericht op Active Directory (AD). Als het zenuwstelsel van het informatiesysteem van een bedrijf centraliseert het het beheer van identiteiten en toegangen. Maar deze concentratie van macht maakt het ook tot de «heilige graal» voor cybercriminelen. Ontdek de meest voorkomende kwetsbaarheden en hoe u kunt voorkomen dat een slecht beveiligd AD uw hele informatiesysteem in gevaar brengt.

Afbeelding Artikel Cybersecurity Active Directory

Elk jaar bevestigt dezelfde trend zich: wanneer een cyberaanval slaagt, komt Active Directory bijna altijd voor in de compromitteringsketen. Ongeacht het initiële toegangspunt blijft het doel hetzelfde: De controle over de identiteit overnemen betekent de controle over het informatiesysteem overnemen.

De centrale rol van Active Directory

Allereerst moet u goed begrijpen wat Active Directory (AD) is: het is de Directory-service die het beheer van identiteiten en toegangen centraliseert in Windows-omgevingen.

AD dient niet alleen om gebruikersaccounts aan te maken. Het bepaalt wie verbinding kan maken, waarmee, met welke rechten en onder welke voorwaarden. Het regelt authenticatie, delegatie van privileges, toegang tot applicaties en vertrouwen tussen machines.

Met andere woorden, AD vormt de vertrouwensbasis van het informatiesysteem. Zodra een aanvaller hiervan misbruik maakt, omzeilt hij niet langer de veiligheidscontroles: hij gedraagt zich als een legitieme actor.

Waarom AD het favoriete doelwit van hackers is geworden

Allereerst maakt de architectuur van AD het tot een strategisch doelwit. Identiteiten zijn niet langer slechts een onderdeel van het informatiesysteem: ze bepalen wie wat mag doen, op welke bronnen en op welk moment. In plaats van afzonderlijke diensten aan te vallen, richt een aanvaller zich tegenwoordig op de identiteit om een draaipunt, een steunpunt om zich in het SI te verplaatsen.

Vervolgens, de historische complexiteit van AD problemen oplevert. De meeste AD-bossen (logische verzameling van een of meer domeinen) hebben een geschiedenis van meer dan tien jaar. In de loop der tijd hebben teams serviceaccounts toegevoegd, GPO's opgestapeld (Groepsbeleidsobjecten: regels die worden toegepast op werkstations/servers), verleende «tijdelijke» rechten die nooit zijn ingetrokken.

In tegenstelling tot een moderne applicatie die herschreven kan worden, leeft AD met zijn verleden. Door deze opeenstapeling kan de aanvaller gemakkelijk bepaalde groepen bevoorrechte posities, buitensporige rechten of vergeten rekeningen. Zoveel hefbomen om privileges te verwerven.

Hoewel Microsoft nu geavanceerde beveiligingsmechanismen aanbiedt, zijn er maar weinig organisaties die deze correct activeren of configureren..

In de praktijk aarzelen veel organisaties om AD aan te raken. Ze zijn bang voor de gevolgen voor de productie. Deze begrijpelijke voorzichtigheid leidt echter tot een technische identiteitsschuld, die de aanvallers methodisch uitbuiten.

Bijvoorbeeld de groep «Beschermde gebruikers» geïntroduceerd in Windows Server beperkt het gebruik van gestolen identificatiegegevens sterk. Het voorkomt het gebruik van NTLM (oud Windows-authenticatieprotocol), legt strengere gedragsregels op rond Kerberos (moderne authenticatie met tickets) en schakelt bepaalde risicovolle delegaties voor gevoelige accounts uit.

Deze functie vereist echter recente versies van domeincontrollers en werkstations, evenals recent vernieuwde wachtwoorden.

Hoe aanvallen misbruik maken van AD

Op het veld breekt de aanvaller AD meestal niet als een barrière. Hij maakt gebruik van zijn legitieme mechanismen ten gunste van zichzelf. Een veelvoorkomend scenario begint met een gerichte phishing of compromittering van een gebruikersstation.

Vanaf dat moment inventariseert de aanvaller het adresboek (verzamelen van informatie: accounts, groepen, machines). Hij maakt een lijst van de groepen, identificeert de accounts met privileges en lokaliseert de serviceaccounts. Deze fase verloopt discreet en blijft vaak onopgemerkt zonder specifiek toezicht.

Vervolgens gaat hij verder met bekende technieken:

  • Kerberoasting : het vraagt Kerberos-tickets aan voor serviceaccounts en kraakt de hashes offline.
  • Pass-the-Hash (PtH) : het hergebruikt een opgehaalde NTLM-hash om zich bij andere bronnen te authenticeren zonder het wachtwoord te kennen.
  • Misbruik van delegaties of GPO's : hij klimt op in de hiërarchie door middel van slecht beheerde rechten.
  • DCSync : het simuleert een domeincontroller om de geheimen van de directory te synchroniseren als een legitieme DC. Op dit moment valt het domein weg.

Elk van deze stappen is gebaseerd op de standaardprotocollen van AD, maar stelt de aanvaller in staat om verder te gaan zonder alarm te slaan als er geen toezicht is.

Toch blijven de kwetsbaarheden vaak elementair.

In tegenstelling tot wat vaak wordt gedacht, zijn AD-aanvallen niet gebaseerd op geavanceerde kwetsbaarheden of zero-day-aanvallen, maar op aanhoudende slechte praktijken. Tot de meest voorkomende risico's behoren:

  • Van de groepen met te ruime privileges (Domeinbeheerders, Enterprise-beheerders).
  • Van de niet-gesegmenteerde servicerekeningen en statische wachtwoorden.
  • Van de wachtwoorden die nooit worden vernieuwd, wat het gebruik bij Kerberoasting vergemakkelijkt.
  • L'ontbreken van MFA op gevoelige accounts, wat echter wordt aanbevolen door NIS 2 en moderne best practices.
  • A beperkt inzicht in authenticatiegedrag, waardoor het moeilijk is om abnormale handelingen te identificeren.

In de praktijk zijn geërfde rechten, slapende rekeningen en onnauwkeurige configuraties voldoende om een escalatie te versnellen.

Hoe kan Active Directory dan echt worden beveiligd?

Wat zijn de concrete maatregelen om dit aanvalsoppervlak te verkleinen?

Eerst de controle over de privileges terugnemen

Begin met het principe van minimale privileges toe te passen (alleen de nodige rechten verlenen). Segmenteer rechten door specifieke rollen te creëren en vermijd het gebruik van groepen met veel privileges voor het dagelijks beheer. Dit beperkt de impact van gecompromitteerde accounts.

Ter herinnering: AD bevat kritieke geïntegreerde groepen zoals Domeinbeheerders, Bedrijf en Schema, waardoor de hele bosbouw gecontroleerd kan worden.

Vervolgens de beveiligde accounts activeren

Microsoft biedt een native mechanisme dat vaak onderbenut blijft: de groep Beschermde gebruikers (Beschermde gebruikers) voor beheerdersaccounts. Deze aanpak voorkomt bepaalde vormen van identiteitsdiefstal en dwingt Kerberos-authenticatie met moderne versleuteling af, waardoor het risico op hergebruik van tickets of NTLM-caches wordt verminderd.

Implementatie van authenticatiebeleid en silo's.

Hierdoor kunnen de voorwaarden waaronder bepaalde accounts zich kunnen authenticeren of tickets kunnen verkrijgen nog verder worden beperkt.

Deze beleidsmaatregelen, in combinatie met regelmatige controles van leden van gevoelige groepen, zorgen voor een betere verdedigingshouding.

Toegang versterken met MFA

Dit zou een reflex moeten zijn: pas MFA niet alleen toe voor externe toegang, maar ook voor accounts met een hoge waarde, in overeenstemming met de aanbevelingen van NIS 2. Multifactorauthenticatie vermindert zo drastisch de kans op compromittering, zelfs in het geval van een wachtwoordlek.

Ten slotte: controleren en corrigeren

Zelfs met strenge technische controles is het noodzakelijk om actief toezicht houden identiteitsgedrag. Dit omvat de analyse van ongeldige Kerberos-verzoeken, gevoelige groepswijzigingen en ongebruikelijke authenticaties.

Veel moderne AI-tools toegepast op veiligheid (Microsoft Defender for Identity, CrowdStrike Identity Protection, Exabeam of Securonix) maken het mogelijk om zwakke signalen die wijzen op een aanval, pieken in tickets, inconsistente toegangssequenties, atypische zijwaartse bewegingen. Tegenwoordig is AI in cyberbeveiliging vooral gebaseerd op UEBA: gedragsanalyse.

Als aanvulling hierop kunt u AD integreren met netwerkbeveiligingsoplossingen zoals firewalls. die AD-objecten en -groepen rechtstreeks gebruiken in hun beleidsregels maakt het mogelijk om ongeoorloofde toegangsmogelijkheden nog verder te beperken en een verfijnder toegangsbeleid te voeren.

Active Directory vormt geen probleem omdat het verouderd zou zijn. Het vormt een probleem omdat het te krachtig is en te weinig wordt gecontroleerd. Door identiteit centraal te stellen in de cyberbeveiligingsstrategie, essentiële instellingen te verscherpen en gebruik te maken van moderne detectiemogelijkheden, kunnen organisaties hun kwetsbaarheid drastisch verminderen.

Uiteindelijk betekent het beveiligen van AD niet dat alles opnieuw moet worden opgebouwd. Het betekent begrijpen, vereenvoudigen en de controle terugkrijgen.

Deze artikelen ook interessant voor u:

Illustratie van artikel Top CyberbeveiligingscertificeringenDe top cyberbeveiligingscertificeringen die elke expert moet kennen  Afbeelding illustratie artikel API's beveiligenHoe API's te beveiligen: best practice Illustratie artikel Identiteit en toegang beveiligenIdentiteiten en toegang beveiligen: de geheimen van een modern IAM

VORIG ARTIKEL

IT-project: hoe stel je een goed bestek op?

VOLGENDE ARTIKEL

Sociale netwerken in 2026: best practices voor bedrijven

Onze expert

ORSYS Redactie

De redactie van ORSYS Le mag bestaat uit journalisten die gespecialiseerd zijn in IT, management en persoonlijke ontwikkeling [...]

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Compromittering en beveiliging van Active Directory

Offensieve beveiliging van Active Directory, niveau 1

Offensieve beveiliging van Active Directory, niveau 2