Hardening Active Directory w firmie – konfiguracja krok po kroku

Dlaczego Active Directory to priorytet dla atakujących?

Według raportu Microsoft Digital Defense Report ponad 90% ataków ransomware w środowiskach korporacyjnych obejmuje kompromitację Active Directory. Powód jest prosty: kto kontroluje AD, kontroluje całą sieć – wszystkich użytkowników, komputery, serwery i zasoby firmy.

Atakujący korzystają z technik takich jak:

• Pass-the-Hash / Pass-the-Ticket – przechwycenie skrótu hasła lub biletu Kerberos, by uwierzytelnić się bez znajomości hasła w postaci jawnej.
• Kerberoasting – wyłudzenie biletu serwisowego i złamanie hasła konta serwisowego w trybie offline, bez żadnych śladów w logach.
• DCSync – imitacja kontrolera domeny w celu pobrania wszystkich skrótów haseł z bazy AD.
• Golden Ticket – sfałszowanie biletu Kerberos po przejęciu konta KRBTGT, co daje pełny, długotrwały dostęp do domeny nawet po zmianie haseł.

Każdy z tych ataków jest możliwy, gdy AD nie jest odpowiednio skonfigurowane. Co gorsza, większość firm MŚP używa Active Directory z domyślnymi ustawieniami sprzed wielu lat – bez żadnego hardeningu przeprowadzonego po instalacji.

Krok 1 – Zabezpieczenie kont użytkowników i polityk haseł

Pierwszym krokiem hardeningu jest weryfikacja polityk haseł i konfiguracji kont. Wiele firm stosuje domyślne ustawienia, które nie spełniają współczesnych standardów bezpieczeństwa i są łatwe do obejścia przez atakujących.

Kluczowe działania do wykonania:

• Fine-Grained Password Policies (FGPP) – zamiast jednej polityki dla wszystkich, stosuj osobne wymagania dla zwykłych użytkowników i administratorów. Konta admińskie powinny mieć minimum 16-znakowe hasła lub korzystać z passkeys i kluczy sprzętowych FIDO2.
• Wyłącz wbudowane konto Administrator – konto z RID 500 jest aktywne domyślnie i często atakowane metodą brute-force. Utwórz dedykowane konto administracyjne z niestandardową nazwą, a wbudowane wyłącz przez zasady grupy.
• Group Managed Service Accounts (gMSA) – zastąp ręcznie zarządzane hasła kont serwisowych kontami gMSA. Mają one automatycznie rotowane, 240-znakowe hasła, co całkowicie eliminuje ryzyko Kerberoastingu na tych kontach.
• Zasada minimalnych uprawnień – regularnie audytuj skład grup Domain Admins, Enterprise Admins i Schema Admins. W większości firm MŚP w tych grupach jest dwa lub trzy razy więcej kont niż rzeczywiście powinno.

Sprawdź też konta z opcją Hasło nigdy nie wygasa – to częsty błąd konfiguracyjny, który zostawia atakującym otwarte drzwi przez lata.

Krok 2 – Tier Model i ochrona kont uprzywilejowanych

Microsoft opracował model warstwowy (Enterprise Access Model, dawniej Tier Model), który separuje dostępy administracyjne według poziomu wrażliwości zasobów. To jeden z najważniejszych elementów hardeningu dla każdej firmy posiadającej Active Directory.

Model dzieli środowisko na trzy poziomy:

• Tier 0 – kontrolery domeny, Microsoft Entra Connect, systemy backupu AD i narzędzia zarządzające całą domeną. Administratorzy Tier 0 mają dostęp wyłącznie do zasobów tej warstwy.
• Tier 1 – serwery aplikacyjne, bazy danych, serwery plików. Odrębne konta adminów, bez uprawnień do Tier 0.
• Tier 2 – stacje robocze i urządzenia końcowe użytkowników. Lokalni administratorzy bez dostępu do wyższych warstw.

Kluczowe zasady implementacji Tier Modelu:

1. Administratorzy Tier 0 logują się wyłącznie z dedykowanych Privileged Access Workstations (PAW) – stacji roboczych bez dostępu do internetu, poczty e-mail i aplikacji biurowych.
2. Dodaj konta adminów Tier 0 do grupy Protected Users – blokuje to użycie słabszych mechanizmów uwierzytelniania, takich jak NTLM, RC4, DES oraz delegacja Kerberos.
3. Ogranicz logowanie interaktywne kont uprzywilejowanych przez GPO, używając ustawień Deny log on locally oraz Deny log on through Remote Desktop Services na zwykłych stacjach roboczych.
4. Włącz Credential Guard na stacjach roboczych – chroni skróty haseł i bilety Kerberos przed przechwyceniem przez złośliwe oprogramowanie działające w trybie użytkownika.

Krok 3 – Hardening protokołów i usług na kontrolerach domeny

Kontrolery domeny to najcenniejsze zasoby w sieci firmowej. Błędna konfiguracja kilku kluczowych protokołów może otworzyć drzwi dla atakujących nawet wtedy, gdy konta i uprawnienia są właściwie skonfigurowane.

Wyłącz Print Spooler na kontrolerach domeny. Podatność PrintNightmare (CVE-2021-34527) pokazała dobitnie, jak usługa druku może prowadzić do pełnej kompromitacji domeny. Na DC usługa ta powinna być wyłączona przez GPO: Computer Configuration → Windows Settings → Security Settings → System Services → Print Spooler → Disabled.

Wymuś SMB Signing. Bez podpisu cyfrowego pakietów SMB możliwe są ataki man-in-the-middle oraz NTLM relay. Skonfiguruj przez GPO dwa ustawienia w sekcji Security Options:

• Microsoft network server: Digitally sign communications (always) → Enabled
• Microsoft network client: Digitally sign communications (always) → Enabled

LDAP Signing i Channel Binding. Wymagaj podpisywania zapytań LDAP, by uniemożliwić ataki relay na protokół katalogowy. Ustaw w GPO: Domain controller: LDAP server signing requirements → Require signing. Włącz też LDAP Channel Binding przez rejestr kontrolera domeny.

Ogranicz NTLM. Jeśli środowisko jest gotowe, zacznij ograniczać NTLM na rzecz Kerberos. Na początek włącz audyt: Network security: Restrict NTLM: Audit NTLM authentication in this domain, by zobaczyć, które aplikacje go jeszcze wymagają, zanim całkowicie go zablokujesz.

Krok 4 – Polityki audytu i monitorowanie kluczowych zdarzeń

Hardening to nie tylko blokowanie zagrożeń – równie ważna jest zdolność do ich wykrywania. Wbudowane mechanizmy audytu Windows dostarczają kluczowych informacji o podejrzanych działaniach, ale wymagają właściwej konfiguracji.

Włącz Advanced Audit Policy Configuration przez GPO zamiast uproszczonych polityk audytu. Najważniejsze kategorie do aktywowania:

• Account Logon – logowania i wylogowania, zarówno sukcesy, jak i błędy.
• Account Management – tworzenie, modyfikacja i usuwanie kont użytkowników i grup.
• Directory Service Access – dostęp do obiektów Active Directory i zmiany atrybutów.
• Privilege Use – użycie uprawnień administracyjnych na systemach Tier 0.

Najważniejsze Event IDs, które powinieneś monitorować w logach kontrolerów domeny:

• 4625 – nieudane logowanie (sygnał ataku brute-force na konto).
• 4648 – logowanie z użyciem jawnych poświadczeń (sygnał techniki Pass-the-Hash).
• 4728 / 4732 – dodanie użytkownika do grupy bezpieczeństwa, np. Domain Admins.
• 4769 – żądanie biletu usługi Kerberos (sygnał potencjalnego Kerberoastingu).
• 4771 – błąd pre-uwierzytelniania Kerberos (sygnał ataku na konto).

W środowiskach hybrydowych warto rozważyć Microsoft Defender for Identity – narzędzie, które automatycznie wykrywa techniki ataku na AD (Kerberoasting, Golden Ticket, DCSync) i generuje alerty bezpieczeństwa w czasie rzeczywistym. Integruje się z Microsoft Sentinel, jeśli korzystasz z SIEM w swojej firmie.

Krok 5 – Weryfikacja hardeningu narzędziami do audytu AD

Jak sprawdzić, czy Active Directory jest rzeczywiście bezpieczne po wprowadzeniu zmian? Istnieje kilka narzędzi – w tym bezpłatnych – które automatycznie diagnozują konfigurację AD i wskazują pozostałe podatności.

PingCastle to najpopularniejsze bezpłatne narzędzie do audytu bezpieczeństwa AD. Generuje szczegółowy raport z oceną punktową (0–100) i listą ryzyk w czterech kategoriach: Anomalies, Privileged Accounts, Trusts i Stale Objects. Jak zacząć:

1. Pobierz PingCastle ze strony producenta i uruchom na kontrolerze domeny lub stacji z uprawnieniami administracyjnymi do AD.
2. Wybierz opcję Healthcheck – narzędzie przeskanuje całą domenę w kilka minut.
3. Otwórz wygenerowany raport HTML i przejdź przez listę ryzyk od najwyższego priorytetu.
4. Dąż do wyniku powyżej 80 punktów na 100 – to dobry cel startowy dla firm MŚP.

Purple Knight (od Semperis) to kolejne bezpłatne narzędzie, sprawdzające setki wskaźników kompromitacji i błędnych konfiguracji, w tym specyficznych dla środowisk hybrydowych z Microsoft Entra ID.

Zalecamy przeprowadzanie audytu PingCastle przynajmniej raz na kwartał oraz po każdej istotnej zmianie w infrastrukturze – migracji serwera, zmianie administratora lub incydencie bezpieczeństwa. Archiwizuj wyniki kolejnych audytów, by śledzić postęp w czasie i dokumentować zgodność z politykami IT.

Jeśli potrzebujesz pomocy z interpretacją wyników lub wdrożeniem zabezpieczeń, skontaktuj się z zespołem NovaSys – przeprowadzimy profesjonalny audyt AD i wdrożymy rekomendowane zmiany.