Защита Active Directory (AD) — это критически важная задача для любой организации. Если злоумышленник получает права администратора домена (Domain Admin), это означает полную и окончательную компрометацию всей ИТ-инфраструктуры организации.
Что может сделать злоумышленник?
1. Используя права администратора домена, он может имитировать поведение контроллера домена и запросить репликацию базы паролей, в результате чего он получает хеши паролей всех пользователей домена (включая генерального директора, системных администраторов и сервисные учетные записи).
2. Создать «Золотой билет» (Golden Ticket), в результате чего он может выписывать себе Kerberos-тикеты на любое имя с любым сроком действия.
3. Тотальное управление хостами через Групповые политики (GPO), а далее:

Отключит антивирусы и Windows Defender на всех ПК.
Добавит вредоносный скрипт в автозагрузку всех серверов.
Установит бэкдор (например, Cobalt Strike) на каждый компьютер в сети.

4. Получение доступа к конфиденциальным данным: права Domain Admins позволяют получить доступ к любому ресурсу, который доверяет домену (например, почта, базы данных, облачная инфраструктура и т.д.).
5. Изменит права доступа (Access Control List, ACL) в объектах AD так, чтобы ничем не примечательная учетная запись (УЗ) имела право сбрасывать пароли администраторов.
6. Компрометация службы сертификатов AD (Active Directory Certificate Services, AD CS) – атакующий может выпустить сертификат от имени любого пользователя или смарт-карты, что позволит обходить двухфакторную аутентификацию.
Перечислив одни из последствий получения прав Domain Admin, не нужно далее объяснять, почему так важна защита глобального каталога.
Рассмотрим три основных направления по защите: усиление конфигурации AD; обнаружение атак на доменную инфраструктуру; мониторинг.
Усиление конфигурации (Hardening). Создаем фундамент безопасности
Модель эшелонированной администрации (Tiered Administration Model)
Воспользуемся таким понятием, как «Многоуровневая модель администрирования» (Tiered Administration Model), то есть структура, которая обеспечивает защиту AD путем разделения административных привилегий на отдельные логические уровни 0, 1, 2.
Рассмотрим такие понятия как Tier 0, Tier 1, Tier 2.
Tier 0 (наивысший приоритет, критичные сервисы) – уровень административного управления наиболее важных ресурсов и объектов доступа (Контроллеры домена, службы сертификатов (CA), службы федераций (AD FS). В случае их компрометации вся ИТ-инфраструктура считается скомпрометированной.
Tier 1 (серверные компоненты приложений/ресурсов) – уровень административного управления приложениями, файловыми серверами, базами данных и т.д. Администраторы этого уровня управляют этими объектами, но не имеют прав доступа к Tier 0, что ограничивает их доступ и предотвращает нарушения безопасности в масштабах всего домена.
Tier 2 (автоматизированные рабочие места и конечные пользователи) – уровень, включающий в себя хосты конечных пользователей. Здесь работают сотрудники службы поддержки и администраторы более низкого уровня, обеспечивающие повседневную работу, без доступа к инфраструктуре более высокого уровня.
Для данной модели применимы следующие ключевые моменты:

Администраторы используют отдельные учетные данные для каждого уровня. Например, Администратор уровня 0 не будет использовать свою учетную запись Администратора домена для входа на рабочую станцию уровня 2.
Основная цель — предотвратить раскрытие скомпрометированной рабочей станцией уровня 2 учетных данных, пригодных для использования на сервере уровня 1 или контроллере домена уровня 0.
УЗ уровня 0 используются исключительно на защищенных, выделенных хостах без доступа в интернет во избежание фишинга/вредоносных программ.
Объекты групповой политики (GPO) и изолированные системы политик аутентификации обеспечивают установление границ, гарантируя, что УЗ более низкого уровня не смогут получить доступ к ресурсам более высокого уровня.

В рамках Tiered Administration Model стоит также упомянуть Enterprise Access Model, которая включает в себя принципы Tiered Model, но расширяет их на гибридную инфраструктуру (Cloud + On-prem).
Внедрение LAPS (Local Administrator Password Solution)
LAPS (Local Administrator Password Solution) — это бесплатное решение от Microsoft для автоматического управления паролями локальных администраторов на компьютерах, входящих в домен Active Directory.
В большинстве компаний на всех рабочих станциях и серверах установлена одна и та же учетная запись локального администратора с одинаковым паролем. Если злоумышленник взломает один компьютер и украдет хеш пароля администратора, он сможет зайти под ним на любой другой компьютер в сети (атака Pass-the-Hash). LAPS делает пароль локального администратора на каждой машине уникальным, сложным и регулярно меняющимся.
LAPS блокирует перемещение злоумышленника между рабочими станциями с использованием локальных учетных данных: даже если один хост скомпрометирован, другие остаются в безопасности.
Отключение устаревших протоколов или переход на актуальные
В устаревших инфраструктурах до сих пор могут встречаться устаревшие протоколы:

SMBv1: уязвим для EternalBlue и других эксплойтов.
LLMNR и NetBIOS (NBT-NS). Их необходимо отключить через GPO, чтобы предотвратить атаки типа Responder (Poisoning).
NTLMv1. Перейдите полностью на протокол Kerberos.

Ограничение членства в привилегированных группах
Группы администраторов Domain Admins, Enterprise Admins, Schema Admins должны быть максимально пустыми. Используйте данные права ограниченно по времени и, желательно, с помощью PAM-систем (Privileged Access Management).
Защита от Kerberoasting
Kerberoasting — это атака, при которой злоумышленник запрашивает шифрованный билет (Ticket Granting Server, TGS) для сервисной учетной записи (Service Principal Name, SPN), а затем в офлайне подбирает к нему пароль перебором.
Меры, которые делают данную атаку невозможной или бесполезной:

Использование учетных записей служб gMSA (group Managed Service Accounts): пароли таких учетных записей состоят из 240 случайных символов и меняются системой автоматически. Подбирать их перебором бесполезно.
Использовать длинные и сложные пароли (если нельзя применить gMSA): если вы используете обычного пользователя как сервисную учетную запись, установите ему пароль минимум 25+ символов.
Отказ от шифрования RC4: злоумышленники часто запрашивают билеты с использованием старого алгоритма шифрования RC4, так как его в десятки раз быстрее перебирать (взламывать), чем современные алгоритмы AES-128/256, поэтому важно настроить в свойствах сервисных УЗ поддержку современного шифрования.

Настройка подписей (Signing)
Этот пункт касается важнейших мер безопасности, направленных на предотвращение атак типа Relay, которые могут привести к получению прав администратора домена без перехвата пароля.
Включите обязательные подписи SMB Signing, LDAP Signing и Channel Binding, чтобы предотвратить атаки типа Relay.
Обнаружение типовых атак. Как вовремя заметить атаку?
Для обнаружения атак на инфраструктуру AD необходимо настроить сбор логов в систему управления событиями безопасности (SIEM-систему).
Наименование атакиПризнакиИдентификатор события (Event ID) в журнале WindowsKerberoastingЗапрос билета TGS с использованием слабого шифрования (RC4)4769 (A Kerberos service ticket was requested)AS-REP RoastingЗапросы билетов для пользователей, у которых отключена обязательная предварительная аутентификация Kerberos.4768Password Spraying (Перебор паролей)Множество неудачных попыток входа (Event ID 4625) под разными именами пользователей с одного IP-адреса за короткий промежуток времени.4625DCSync и DCShadow (Имитация контроллера домена)Использование привилегий Replicating Directory Changes и Replicating Directory Changes All учетными записями, не являющимися контроллерами домена.4662 (доступ к объекту домена)Pass-the-Ticket / Golden TicketАномально длительное время жизни билетов Kerberos или использование билетов для несуществующих пользователей.—
Мониторинг критичных изменений. Критичные изменения под контролем.
Необходимо настроить Advanced Audit Policy Configuration — расширенный механизм аудита в операционных системах Windows (начиная с Windows Vista/Server 2008), который пришел на смену более простой Audit Policy.
Вместо того чтобы просто включать или выключать аудит для общих категорий (например, Audit logon events), система расширенного аудита (Advanced Audit Policy) позволяет детально настраивать, какие именно события из этих категорий будут записываться в журнал безопасности.
Ключевые события мониторинга (события журнала Windows) с описанием представлены в таблице:
Идентификатор события (Event ID)ОписаниеЗадача мониторинга4728, 4732, 4756Добавление пользователя в критическую группу (Domain Admins и т.д.)Обнаружение попыток закрепления в системе.4720Создание новой учетной записиПоиск «скрытых» УЗ злоумышленников.4704Назначение прав пользователя (User Rights Assignment)Изменение прав, например, «SeDebugPrivilege» или «Logon as a service».5136Изменение объекта в AD (Directory Service Changes)Позволяет видеть старое и новое значение атрибута (например, изменение путей к скриптам входа).4670Изменение разрешений (ACL) на объектахПоиск попыток дать себе права на чтение паролей или изменение конфигурации.4719Изменение политики аудитаЗлоумышленники часто отключают логирование перед началом активных действий.
Заключение. С чего начать сегодня?
Защита Active Directory — это не разовое действие, а постоянный процесс. Если вы не знаете, за что хвататься, начните с простых шагов:

Внедрите LAPS.
Отключите небезопасные протоколы.
Настройте оповещения на добавление пользователей в критические группы.
Настройте аудит и мониторинг критичных изменений.
Запустите инструменты аудита, просканируйте сеть и исправьте самые критичные замечания и устраните критичные уязвимости.

Автор: Олег Аксютин, эксперт отдела прикладных систем Angara Security.