Przejdź do treści
Breachroad
Wróć do bloga
Hardening

Bezpieczeństwo Active Directory: co sprawdzamy

Active Directory to najczęstszy cel po wejściu do sieci. Omawiamy typowe ścieżki ataku — Kerberoasting, nadmiarowe uprawnienia — i jak je zamknąć.

KR
Karol Rapacz
8 maja 2026 · 7 min czytania
Bezpieczeństwo Active Directory: co sprawdzamy

W większości firm korzystających z Windowsa to Active Directory (AD) jest sercem sieci — i właśnie dlatego jest głównym celem atakującego po uzyskaniu pierwszego dostępu. Cel jest niemal zawsze ten sam: przejąć konto administratora domeny, bo to klucz do wszystkiego. W testach penetracyjnych ścieżka od zwykłego użytkownika do „Domain Admin” bywa zaskakująco krótka. Oto co najczęściej ją skraca.

Typowe ścieżki ataku

  • Kerberoasting. Atakujący prosi o bilety Kerberos dla kont usługowych i offline łamie ich hasła. Konta serwisowe ze słabym hasłem i wysokimi uprawnieniami to prezent.
  • AS-REP Roasting. Konta z wyłączonym wymogiem pre-uwierzytelniania Kerberos pozwalają wydobyć materiał do łamania hasła bez interakcji.
  • Nadmiarowe uprawnienia i błędne delegacje. Źle ustawione ACL, delegacja uprawnień czy zbyt szerokie grupy tworzą niewidoczne ścieżki eskalacji.
  • Kradzież poświadczeń z pamięci. Po przejęciu stacji atakujący zbiera hashe i bilety, by poruszać się dalej (pass-the-hash, pass-the-ticket).

Narzędzia takie jak BloodHound mapują te zależności i pokazują najkrótszą drogę do administratora domeny — dokładnie tak, jak robi to atakujący.

Co sprawdzamy i zalecamy

  • Model warstw (tiering). Oddziel konta administracyjne domeny od codziennej pracy. Administrator nigdy nie powinien logować się kontem uprzywilejowanym na zwykłej stacji.
  • Higiena kont usługowych. Długie, losowe hasła (albo gMSA), minimalne uprawnienia, regularny przegląd. To rozbraja Kerberoasting.
  • Przegląd uprawnień i grup. Usuwaj nieużywane konta, ograniczaj członkostwo w grupach uprzywilejowanych, audytuj niebezpieczne ACL.
  • LAPS dla haseł lokalnego administratora — koniec z jednym hasłem na wszystkich stacjach.
  • Ochrona poświadczeń (Credential Guard, ograniczenie logowań uprzywilejowanych) utrudnia kradzież hashy.

Dlaczego to takie ważne

Utwardzenie AD to jeden z najskuteczniejszych sposobów przerwania łańcucha ataku ransomware — bo to właśnie eskalacja w domenie zamienia pojedynczą infekcję w paraliż całej firmy. Piszemy o tym szerzej przy obronie przed ransomware. Jeśli chcesz sprawdzić, jak daleko w Twojej domenie zaszedłby atakujący, umów test penetracyjny — pokażemy realne ścieżki i jak je zamknąć.


Źródła i dalsza lektura: MITRE ATT&CK, Microsoft — Securing Active Directory.

Udostępnij artykuł

Usługi Umów konsultację