Bezpieczeństwo Active Directory: co sprawdzamy
Active Directory to najczęstszy cel po wejściu do sieci. Omawiamy typowe ścieżki ataku — Kerberoasting, nadmiarowe uprawnienia — i jak je zamknąć.
W większości firm korzystających z Windowsa to Active Directory (AD) jest sercem sieci — i właśnie dlatego jest głównym celem atakującego po uzyskaniu pierwszego dostępu. Cel jest niemal zawsze ten sam: przejąć konto administratora domeny, bo to klucz do wszystkiego. W testach penetracyjnych ścieżka od zwykłego użytkownika do „Domain Admin” bywa zaskakująco krótka. Oto co najczęściej ją skraca.
Typowe ścieżki ataku
- Kerberoasting. Atakujący prosi o bilety Kerberos dla kont usługowych i offline łamie ich hasła. Konta serwisowe ze słabym hasłem i wysokimi uprawnieniami to prezent.
- AS-REP Roasting. Konta z wyłączonym wymogiem pre-uwierzytelniania Kerberos pozwalają wydobyć materiał do łamania hasła bez interakcji.
- Nadmiarowe uprawnienia i błędne delegacje. Źle ustawione ACL, delegacja uprawnień czy zbyt szerokie grupy tworzą niewidoczne ścieżki eskalacji.
- Kradzież poświadczeń z pamięci. Po przejęciu stacji atakujący zbiera hashe i bilety, by poruszać się dalej (pass-the-hash, pass-the-ticket).
Narzędzia takie jak BloodHound mapują te zależności i pokazują najkrótszą drogę do administratora domeny — dokładnie tak, jak robi to atakujący.
Co sprawdzamy i zalecamy
- Model warstw (tiering). Oddziel konta administracyjne domeny od codziennej pracy. Administrator nigdy nie powinien logować się kontem uprzywilejowanym na zwykłej stacji.
- Higiena kont usługowych. Długie, losowe hasła (albo gMSA), minimalne uprawnienia, regularny przegląd. To rozbraja Kerberoasting.
- Przegląd uprawnień i grup. Usuwaj nieużywane konta, ograniczaj członkostwo w grupach uprzywilejowanych, audytuj niebezpieczne ACL.
- LAPS dla haseł lokalnego administratora — koniec z jednym hasłem na wszystkich stacjach.
- Ochrona poświadczeń (Credential Guard, ograniczenie logowań uprzywilejowanych) utrudnia kradzież hashy.
Dlaczego to takie ważne
Utwardzenie AD to jeden z najskuteczniejszych sposobów przerwania łańcucha ataku ransomware — bo to właśnie eskalacja w domenie zamienia pojedynczą infekcję w paraliż całej firmy. Piszemy o tym szerzej przy obronie przed ransomware. Jeśli chcesz sprawdzić, jak daleko w Twojej domenie zaszedłby atakujący, umów test penetracyjny — pokażemy realne ścieżki i jak je zamknąć.
Źródła i dalsza lektura: MITRE ATT&CK, Microsoft — Securing Active Directory.