AD безопасность: как снизить риски и усилить защиту Active Directory

Самая частая причина инцидентов в доменной среде — незаметные провалы в настройках: старые учётные записи, лишние права, небезопасные протоколы, неправильно оформленные доверия. Эти мелочи открывают путь к захвату домена, хотя их легко исправить, если работать системно.

Что такое Active Directory и почему её безопасность критична

Active Directory — служба каталога, которая управляет пользователями, группами, правами доступа, политиками безопасности и многими сервисами, от которых зависит работа доменной инфраструктуры. Любое действие внутри Windows-сети проходит через AD: вход в систему, доступ к ресурсам, проверка прав, выполнение групповых политик.

Контроллер домена (Domain Controller, DC) — это сервер, на котором развёрнута и работает Active Directory. Он формирует основу всей доменной среды. Через него проходят запросы на аутентификацию, проверку прав, применение политик и регистрацию изменений в каталоге. Когда этот узел уязвим, атакующий получает возможность влиять на каждый компонент инфраструктуры.

Если злоумышленник получает доступ к одному DC, он движется дальше по системе без заметных препятствий: извлекает хэши, крадёт Kerberos-билеты, подменяет объекты каталога, меняет состав административных групп. Поэтому вектор атак на AD всегда самый привлекательный: одна успешная операция открывает путь к полному управлению доменом.

Атакующие постоянно изучают конфигурации Active Directory, проверяют делегирования, ищут избыточные права, тестируют устаревшие протоколы и ошибочные параметры Kerberos. Любой пробел в защите превращается в опору для атаки. Именно поэтому AD безопасность — одна из приоритетных задач инженеров ИБ и системных администраторов, а регулярный аудит окружения становится частью ежедневной рутины.

Основные виды атак и ключевые риски для AD безопасности

Чтобы выстроить безопасность Active Directory, надо понимать, как действует атакующий. Современные атаки на AD строятся не на вирусах, а на особенностях протоколов, логике Kerberos и ошибках в конфигурации прав. Злоумышленники используют проверенные техники, которые дают им движение по сети и быстрый выход на привилегии.

Первый набор техник связан с учётными данными. Credential Dumping извлекает хэши паролей из памяти LSASS, после чего злоумышленник применяет Pass-the-Hash или Pass-the-Ticket. Он аутентифицируется без знания пароля, действует как легитимный пользователь и движется к критичным ресурсам. Эта группа атак остаётся самой частой, потому что опирается на стандартные механизмы Windows.

Второй набор атак касается Kerberos. Kerberoasting сфокусирован на сервисных учётных записях с SPN. Атакующий запрашивает сервисный билет, выгружает его и перебирает пароль в офлайн-режиме. Если пароль слабый или давно не обновлялся, доступ к сервису превращается в уверенный шаг к повышению привилегий.

Третий блок атак на Active Directory — работа с механизмами репликации каталога:

• DCSync имитирует поведение контроллера домена и выдаёт злоумышленнику хэши всех пользователей, включая администраторов.
• DCShadow регистрирует поддельный контроллер, чтобы внедрять изменения в каталог скрытно.

Эти техники направлены на само ядро Active Directory и часто проходят незаметно, если аудит настроен поверхностно.

Четвёртую категорию нарушений безопасности Active Directory формируют атаки, которые используют ошибки в делегировании и ACL. Избыточные права вроде WriteDACL или GenericAll дают возможность менять группы, добавлять себе привилегии и продвигаться по инфраструктуре без громких следов. Эти атаки возникают там, где структура прав росла годами и никто не пересматривал делегирования.

Каждая из перечисленных техник работает с артефактами, которые определяют безопасность AD: хэши, Kerberos-билеты, параметры каталога и списки контроля доступа. Поэтому без активного мониторинга и регулярного устранения уязвимостей поверхность атаки остаётся критически большой, даже если система выглядит стабильной.

Безопасность Active Directory строится вокруг управления привилегиями, изоляции критичных компонентов, контроля аутентификации и постоянного мониторинга. Эти меры закрывают основные векторы атак и снижают вероятность захвата домена даже при частичных компрометациях.

Управление привилегиями и модель Tiering

Самые серьёзные инциденты происходят там, где привилегии разрослись бесконтрольно. Модель Tiering разделяет уровни администрирования на T0, T1 и T2, чтобы администратор уровня домена не работал на обычной рабочей станции, а администратор приложений не имел пути к контроллеру. Этот подход резко сокращает пространство, в котором злоумышленник может повысить привилегии.

Делегирование минимально необходимых прав помогает избежать ситуаций, когда сервисная учётка или инженер поддержки получают доступ к объектам каталога, которые им не нужны. Любая избыточность в доступах в итоге становится вектором атаки.

Административные рабочие станции PAW/SAW создают отдельную среду для работы с ключевыми задачами. Они исключают сценарии, когда администратор домена случайно запускает почтовый клиент или открывает интернет на машине, в которой лежат Kerberos-билеты уровня T0.

Настройка и защита контроллеров домена

Контроллеры домена — опорные узлы инфраструктуры AD. Они должны находиться в выделенном сетевом сегменте, без прямого доступа со стороны обычных рабочих станций и сервисов.

Регулярное обновление DC, проверка ролей и анализ параметров Kerberos снижают риск эксплуатации уязвимостей и ошибок конфигурации. Правильная изоляция этих серверов делает невозможными многие lateral movement-сценарии, которые используют атакующие после начальной компрометации.

Безопасность критических служб

AD опирается на несколько базовых сервисов, и атака на любой из них создаёт угрозу целостности каталога. DNS, интегрированный с AD, требует строгого контроля динамических обновлений и регулярной очистки устаревших записей, чтобы злоумышленник не мог подменить ресурс или внедрить фальшивый сервис.

Служба времени определяет корректность Kerberos-аутентификации. Ошибка в нескольких минутах делает невозможным вход в систему, а её компрометация открывает путь к фальшивым билетам.

Sysvol отвечает за репликацию политик и скриптов. Нарушения в этом каталоге приводят к подмене GPO т атакующий получает прямой путь к изменению настроек рабочих станций.

Укрепление аутентификации

Надёжная аутентификация — основа безопасности AD. LAPS обновляет локальные пароли и снижает риск горизонтального движения по сети через одинаковые учётные данные.

Политики блокировок ограничивают число попыток входа и блокируют учётки при признаках перебора.

MFA закрывает путь к критичным сервисам даже при утечке хэша или билета, поэтому его используют для администраторов, VPN и всех внешних точек входа.

Аудит и мониторинг

Большинство атак на AD заметны в логах. Расширенный аудит корневых действий — входы, изменения групп, операции с привилегированными учётными записями — фиксирует следы, которые оставляют Pass-the-Hash, Kerberoasting, DCSync и другие техники.

Корреляция событий выявит цепочки атакующих, а не отдельные сигналы, сократит время обнаружения инцидента и даст возможность остановить движение по сети до того, как злоумышленник доберётся до уровня T0.

Безопасность Active Directory не выстроишь за раз. Конфигурации меняются, добавляются сервисы, появляются новые техники атак. Поэтому инфраструктуру AD регулярно пересматривают, обновляют настройки и проверяют гипотезы, чтобы поддерживать защиту на уровне реальных угроз.

Чек-лист по защите Active Directory

Чек-лист, с помощью которого вы легко построите работу по безопасности AD. Этот набор действий подойдет и среднему бизнесу и крупной организации с КИИ и персональными данными.

1. Инвентаризация всех контроллеров домена

Первый шаг — понять, сколько у вас реально контроллеров домена и где они стоят. На практике часто всплывают «забытые» DC в филиалах, на старых виртуальных площадках или в тестовых средах, которые давно стали частью системы.

Составьте список всех DC, зафиксируйте их версии, роли, площадки размещения, принадлежность к T0/T1 и статус (основной, вспомогательный, тестовый). После этого вы увидите, какие узлы выводить из эксплуатации, а какие переводить в защищённый контур.

2. Проверка состава Domain Admins и Enterprise Admins

Следующий шаг — навести порядок в самых опасных группах: Domain Admins, Enterprise Admins и аналогичных. В реальных доменах там часто находят временные учётные записи подрядчиков, старые администраторские учётки, сервисные аккаунты и даже обычных пользователей, которых когда-то «временно» подняли до администратора.

Выгрузите состав групп, пройдитесь по каждой записи и либо обоснуйте её наличие, либо уберите. Результат зафиксируйте: кто за что отвечает, с какой целью выдан доступ, на какой срок. Учётки без обоснованной роли должны быть убраны из административных групп.

3. Разделение администрирования по T0/T1/T2

После того, как разобрались с критичными группами, внедряют или уточняют модель Tiering. T0 — контроллеры домена и ключевая инфраструктура AD, T1 — серверы приложений и критичные сервисы, T2 — рабочие станции и пользовательская часть.

Администраторы T0 работают только с ресурсами своего уровня и только с защищённых станций. У администраторов T1 нет прямого пути к T0. Совмещение ролей и использование «универсальных» админских учётных записей исключают. Таким образом безопасность AD опирается на чёткое разделение зон.

4. Настройка LAPS и обновление локальных паролей

В российских инфраструктурах до сих пор встречается одна локальная учётка администратора с одинаковым паролем на сотнях машин. После заражения одной станции атакующий легко ходит по всей сети.

Эту проблему решает LAPS. Для доменных машин настраивают политику, которая выдаёт каждой станции свой уникальный локальный пароль, хранит его в AD и регулярно обновляет. Доступ к этим паролям получают только нужные группы администраторов. В результате одна скомпрометированная машина не даст автоматического доступа к остальным.

5. Отключение RC4 и переход на AES в Kerberos

Безопасность Active Directory напрямую зависит от используемых в Kerberos криптопараметров. Старые шифры вроде RC4 по сути уже не подходят для защищённой среды.

В политиках безопасности меняют настройки так, чтобы Kerberos использовал современные варианты AES, а учётные записи с устаревшими параметрами проходили отдельную проверку. Важно учесть легаси-системы: часть старых сервисов может не поддерживать новые алгоритмы. Для них заранее планируют миграцию или изолированный контур.

6. MFA для административного доступа

Дальше усиливают аутентификацию для администраторов и всех входов, откуда можно попасть внутрь домена. MFA разворачивают минимум для:

• административных учётных записей
• VPN-доступа
• удалённых рабочих мест с выходом в T1/T0

Даже если хэш пароля или Kerberos-билет оказался у атакующего, без второго фактора пройти аутентификацию через такие точки ему будет сложно, и безопасность AD перестанет держаться только на пароле.

7. Включение расширенного аудита

В доменной политике включают расширенный аудит: входы, изменения групп, операции с привилегированными учётками, события репликации и изменения ACL.

Сами по себе логи ни от чего не спасают. Их отправляют в SIEM или хотя бы в центральный журнал, где можно строить корреляции и искать типовые TTP атакующих — от подозрительных Kerberos-билетов до DCSync.

8. Регулярный обзор прав доступа и неактивных учётных записей

Раз в заданный период (например, раз в квартал) проводите контроль:

• прав доступа к критичным группам и объектам
• неактивных учётных записей пользователей и сервисов
• временных доступов, выданных под проекты и внедрения

Учётки, которые давно не использовали, блокируйте или удаляйте, права пересматривайте и фиксируйте результат проверки. Таким образом бы будете поддерживать безопасность AD в актуальном состоянии.

Чек-лист можно встроить в регламенты по ИБ и эксплуатацию AD, привязать к требованиям 152-ФЗ и КИИ и использовать как основу для внутренних проверок и внешних аудитов.

Работа Active Directory в российских организациях всегда связана с требованиями законодательства. Доменная инфраструктура обрабатывает персональные данные, влияет на устойчивость критичных сервисов и относится к объектам, для которых действуют формальные регламенты. Поэтому безопасность AD должна строиться не только на технических мерах, но и на правовых требованиях.

Защита персональных данных

Учётные записи сотрудников, клиентов и других пользователей — это персональные данные. Они используются для идентификации субъекта и доступа к сервисам, поэтому AD рассматривается как часть информационной системы персональных данных.

Перед внедрением мер безопасности проводят оценку рисков и анализ угроз — это обязательная часть требований ФСТЭК и Роскомнадзора. В этих документах вы определите актуальные угрозы для каталога, уровни защищённости и конкретные меры защиты.

Транспортные каналы и хранимые данные защищают криптографическими средствами. Пароли, резервные копии и конфиденциальные сведения хранят в зашифрованном виде. Статья 19 №152-ФЗ определяет набор мер: разграничение доступа, журналирование действий, контроль целостности и формализованные процедуры администрирования.

Требования к КИИ и использование сертифицированных средств защиты

Если организация относится к объектам КИИ, контроллеры домена рассматривают как значимые элементы инфраструктуры. От их устойчивости зависит работа критичных сервисов, поэтому к безопасности AD предъявляют дополнительные требования.

Организация обязана иметь план по выявлению, предотвращению и устранению последствий инцидентов. Этот документ проверяют при оценке выполнения требований закона о КИИ.

События безопасности регистрируют и передают в SIEM, который должен соответствовать сертификационным требованиям ФСТЭК. Такой контроль помогает отслеживать подозрительные Kerberos-билеты, изменения ACL, манипуляции с привилегиями и попытки DCSync.

Регламенты, зоны ответственности и документирование процедур

Все действия, связанные с AD, должны быть описаны в корпоративных регламентах: порядок выдачи прав, контроль административных ролей, правила изменения настроек, процедуры аудита. Документы помогают согласовать работу служб ИБ и подразделений эксплуатации.

В перечень регламентов включают процедуры резервного копирования и восстановления базы AD. Эти действия привязывают к планам аварийного восстановления и сценариям катастрофоустойчивости. Восстановление контроллеров домена выполняют строго по документированным шагам.

Механизмы взаимодействия между ИБ и эксплуатацией также закрепляют в документах. Зафиксируйте, кто инициирует изменения, контролирует риски, отвечает за мониторинг. Этими организационными мерами вы снизите вероятность ошибок и сохраните прозрачность управления AD.

Безопасность Active Directory — это часть общей системы управления безопасностью. Она опирается на требования №152-ФЗ, регламенты по КИИ и корпоративную документацию, которая определяет ответственность, меры безопасности и порядок эксплуатации инфраструктуры. Этот подход соответствует нормам и дает устойчивость доменной среды.

Как удержать уровень безопасности Active Directory

Технические меры дают эффект только тогда, когда вокруг них выстроены процессы. Инфраструктура AD меняется: появляются новые сервисы, расширяются права, уходят и приходят администраторы. Если организацию не поддерживать в рабочем состоянии, даже хорошо настроенная защита теряет актуальность. Поэтому задачи по безопасности Active Directory превращаются в цикл, который постоянно повторяется.

Регулярная оценка безопасности и проверка доверий

Периодическая оценка безопасности AD показывает, как изменились параметры каталога, какие доверия между доменами работают, и какие из них нужно пересмотреть. Проверяют конфигурации Kerberos, параметры репликации, делегирования, состав критичных групп.

Этот аудит выявит проблемы до того, как злоумышленник начнёт использовать недочёты: устаревшие доверия, несогласованные роли, сервисные учётки с некорректными параметрами, ошибки в ACL. Важно: не просто фиксируйте найденное, а устраняйте проблемы сразу.

Обучение администраторов и работа с привилегиями

Администраторы — ключевые участники защиты AD. Их знания и навыки влияют на устойчивость доменной инфраструктуры не меньше, чем технические настройки.
Выстраивайте обучение вокруг практических задач: проверка прав, анализ подозрительных событий, работа с журналами Kerberos, корректное делегирование, безопасное использование административных станций.

План реагирования и восстановление после взлома DC

Взлом контроллера домена — один из самых критичных сценариев. Организация должна заранее продумать и зафиксировать, как действовать в такой ситуации: кто принимает решения, как изолировать узел, проводить анализ и восстанавливать каталог.

В план реагирования включают работу с автономным бэкапом, проверку целостности Sysvol, оценку состояния Kerberos и возможность использования Offline Domain Join. Сценарий должен быть отработан, чтобы команда не тратила время на импровизацию в момент инцидента.

Поддержание безопасности AD — динамичный процесс. Техники атак постоянно обновляются, появляются новые способы скрывать присутствие и влиять на каталог. Если не развивать процессы, даже сильная техническая база начинает «проседать» через несколько месяцев, поэтому AD защищают так же, как и любой другой сегмент инфраструктуры: с регулярными циклами улучшений, проверок и документировании действий.

Главное

Active Directory — ключевое звено корпоративной инфраструктуры, её безопасность влияет на устойчивость всей сети. Компрометация контроллера домена приводит к быстрому захвату сервиса аутентификации, поэтому любые ошибки в конфигурации сразу становятся критичными.

Атакующие действуют через особенности Kerberos, избыточные права и слабые настройки. Kerberoasting, DCSync, Pass-the-Hash и ошибки в делегировании составляют основу современных сценариев, поэтому защиту строят вокруг контроля привилегий, изоляции DC и строгих политик аутентификации.

Безопасность AD требует системного подхода. Разделение администрирования по уровневой модели, применение LAPS, отказ от устаревших алгоритмов, обязательный MFA и регулярный аудит создают базовый слой безопасности, который уменьшают движение атакующего внутри сети.

Нормативная база в России усиливает требования. AD обрабатывает персональные данные, поэтому её конфигурации и процессы должны соответствовать требованиям №152-ФЗ. В организациях КИИ доменная инфраструктура входит в состав значимых объектов. Требуются сертифицированные средства защиты и документирование процедур реагирования.

Поддержание безопасности AD — непрерывная работа. Регулярные оценки риска, обучение администраторов, готовность восстанавливаться после инцидента помогают поддерживать защиту в рабочем состоянии. Техника меняется, сценарии атак развиваются, поэтому практики обновляют вместе с инфраструктурой и процессами.