Как се провежда одит на Активна Директория

Active Directory не е просто услуга – това е гръбнакът на всяка корпоративна инфраструктура. Той контролира кой има достъп до какво, кога и как. Управлява идентичности, разрешения, мрежови ресурси и политики. Затова, ако искате реален контрол над сигурността си, трябва да започнете от него.

Одитът на AD е критична стъпка за всяка организация, която иска да предотврати вътрешни злоупотреби, атаки от тип lateral movement и пробиви чрез компрометирани акаунти. В тази статия ще Ви покажем как да направите пълен и ефективен одит на Active Directory – ясно, конкретно и с доказани инструменти от практиката.

1. Определете целта и обхвата на одита

  • Искате ли да проверите само потребителски акаунти?
  • Или търсите пълна картина: OU структура, GPO, доверителни отношения, репликации?
  • Нуждаете ли се от съответствие с ISO 27001, CIS Benchmarks, NIST?

2. Инвентаризация на AD компонентите

  • OU структура
  • Потребителски акаунти и групи
  • Компютърни обекти
  • Domain Controllers
  • FSMO роли
  • Trust отношения (вътрешни и външни)

Използвайте PowerShell:

Get-ADUser -Filter * -Properties *

Get-ADGroup -Filter *

Get-ADComputer -Filter *

3. Анализ на потребители и групи

  • Има ли неактивни акаунти?
  • Кои акаунти нямат изискване за парола?
  • Има ли потребители с admin права извън IT екипа?
  • Съществуват ли nested groups с прекалено широк обхват?

Инструменти:

  • PowerView
  • BloodHound
  • PingCastle

4. Проверка на политики за пароли и заключване

  • Какви са настройките на GPO за пароли (минимална дължина, история, сложност)?
  • Активна ли е политика за заключване на акаунти след неуспешни опити?
  • Имате ли различни политики за различни OU?

5. Проверка на груповите политики (GPO)

  • Преглед на всички GPO: какви настройки се прилагат?
  • Откриване на GPO с „скрити“ уязвимости – например:
    • Деактивирани UAC контроли
    • Включено Remote Desktop без Network Level Authentication
    • Mapping на дискове с пароли в скриптове

Инструмент: Microsoft Group Policy Management Console (GPMC)

6. Преглед на правата за администраторски групи

  • Членове на Domain Admins, Enterprise Admins, Schema Admins
  • Администратори на определени OU – делегирани права
  • Разлики между Default Domain Policy и реалната практика

7. Логове и проследимост

  • Активен ли е Advanced Audit Policy?
  • Одитират ли се:
    • Логини и неуспешни опити
    • Промени по обекти в AD
    • Действия на администратори

Инструменти:

  • Event Viewer
  • Windows Security Logs
  • ATA / Defender for Identity

8. Репликации и здравословно състояние на AD

  • DCDiag – диагностика на контролерите
  • Repadmin – проверка за репликационни грешки
  • Netlogon – проблеми с автентикация

repadmin /replsummary

dcdiag /v /c /e /s:YourDomainController

9. Уязвимости и lateral movement

  • Kerberoasting / AS-REP Roasting
  • unconstrained delegation
  • DNSAdmin права
  • AdminSDHolder abuse

Инструменти:

  • BloodHound
  • Mimikatz (в тестова среда)
  • ADRecon

10. Докладване и препоръки

  • Категоризирайте находките по критичност
  • Предложете конкретни мерки – напр. премахване на неактивни акаунти, настройка на GPO, активиране на MFA за администратори
  • Препоръчайте редовен одит (напр. на 6 месеца)
  • Докладвайте на екипите с подходящ език – технически за ИТ, обобщен за ръководство

Active Directory е едно от първите места, където нападателите търсят пролуки. За тях той е златна мина – с достъп до идентичности, права и мрежови ресурси. Ако AD бъде компрометиран, цялата Ви инфраструктура може да бъде поставена под заплаха.

Точно затова редовният одит на Active Directory не е просто добра практика. Той е стратегическа необходимост. Одитът Ви дава яснота. Контрол. Видимост. И най-вече – спокойствие, че основата на дигиталната Ви среда е защитена. Одитът не е еднократно усилие. Той е част от развитието на една отговорна и устойчива ИТ среда. Поддържайте го редовно, адаптирайте го към новите услуги и заплахи, и го използвайте като компас, а не като наказание.

Ако се нуждаете от помощ при провеждането на одит или искате експертен екип, който да анализира и подсили сигурността на Вашия Active Directory – обърнете се към Atlant Security. Те предлагат професионални услуги за одит, анализ и оптимизация на AD среда, съобразени с международните стандарти и добри практики.

🚀 Започнете от основата – потребителите и техните права. Изградете яснота около групите и техните роли. След това преминете към анализ на политиките (GPO), логовете и административните права. Правете го на етапи, но последователно. Одитът не е задача с краен срок – той е непрекъснат процес, част от зрелостта и отговорността на всяка ИТ организация.

  • публикация