Audyt Bezpieczeństwa Active Directory
Active Directory to serce infrastruktury IT — kontroluje dostęp do wszystkich zasobów. Środowiska AD narastają organicznie przez lata: konta, grupy, delegacje, GPO — rzadko porządkowane. Nasz audyt z BloodHound, PingCastle i Purple Knight identyfikuje ukryte ścieżki ataku i nadmiarowe uprawnienia, dostarczając priorytetyzowany plan hardening AD.
Czym jest audyt bezpieczeństwa Active Directory?
Audyt bezpieczeństwa Active Directory to głęboka analiza konfiguracji, uprawnień i podatności środowiska AD — centralnego systemu zarządzania tożsamością w większości organizacji. Obejmuje analizę struktury AD, polityk GPO, uprawnień RBAC, konfiguracji Kerberos, delegacji, group membership, ścieżek eskalacji uprawnień (attack paths) i hardening. Kompromitacja AD oznacza przejęcie pełnej kontroli nad organizacją.
Niewidoczne ścieżki eskalacji uprawnień prowadzą do Domain Admin
Audyt AD z mapą ścieżek ataku i planem hardening
Enumeration
BloodHound, LDAP queries, GPO, Kerberos, delegacje, trusts
Attack path analysis
Shortest path do Domain Admin, Kerberoasting, DCSync, Golden Ticket
Hardening roadmap
Priorytetyzowane działania: Tiered Administration, GPO, monitoring
Czym jest audyt bezpieczeństwa Active Directory?
Audyt bezpieczeństwa Active Directory to głęboka analiza konfiguracji, uprawnień i podatności środowiska AD — centralnego systemu zarządzania tożsamością w większości organizacji. Obejmuje analizę struktury AD, polityk GPO, uprawnień RBAC, konfiguracji Kerberos, delegacji, group membership i ścieżek eskalacji uprawnień (attack paths).
| Atrybut | Wartość |
|---|---|
| Narzędzia | BloodHound, PingCastle, Purple Knight |
| Zakres | Konfiguracja, uprawnienia, attack paths |
| Czas | 1-4 tygodnie |
| Deliverable | Mapa attack paths + hardening roadmap |
Active Directory to serce infrastruktury IT — kontroluje dostęp do wszystkich zasobów. Kompromitacja AD oznacza przejęcie pełnej kontroli nad organizacją.
Niewidoczne ścieżki do Domain Admin
Środowiska AD narastają organicznie przez lata: dodawane są konta, grupy, delegacje, GPO — ale rzadko porządkowane. Z czasem powstaje skomplikowana sieć uprawnień z setkami nieoczywistych ścieżek eskalacji. Administrator z uprawnieniami do jednego serwera może przez łańcuch delegacji uzyskać Domain Admin.
Bez audytu AD:
- Nie znasz ścieżek eskalacji uprawnień do Domain Admin
- Konta serwisowe z uprawnieniami do Kerberoasting pozostają niezabezpieczone
- Unconstrained delegation umożliwia kradzież biletów TGT
- Nadmiarowe uprawnienia narastają latami bez weryfikacji
- Nie spełniasz wymagań NIS2/ISO 27001 dot. zarządzania tożsamością
BloodHound + eksperci nFlo = pełna mapa zagrożeń
Używamy narzędzi specjalistycznych (BloodHound, PingCastle, Purple Knight) do analizy ścieżek ataku i konfiguracji AD. Manualnie weryfikujemy: GPO, delegacje, group membership, Kerberos, trusts. Identyfikujemy Tier 0 assets i sprawdzamy ich ochronę.
Co dostajesz:
- Mapa ścieżek ataku (BloodHound): wizualizacja eskalacji uprawnień do Domain Admin
- Scoring bezpieczeństwa AD: ocena PingCastle z porównaniem do benchmarków
- Raport techniczny: konfiguracja AD, GPO, delegacje, Kerberos, trusts, attack paths
- Audyt uprawnień: group membership, delegacje, service accounts, admin accounts
- Plan hardening AD: Tiered Administration, GPO hardening, Kerberos hardening, monitoring
- Workshop z IT: demonstracja ścieżek ataku i omówienie remediacji
Kluczowe wektory ataku i techniki analizy
Audyt AD wykracza poza proste skanowanie — symulujemy techniki stosowane przez grupy APT i operatorów ransomware do kompromitacji domen.
Techniki ataku weryfikowane w audycie
- Kerberoasting: identyfikacja kont serwisowych z SPN podatnych na offline brute-force hasła. Sprawdzamy siłę haseł service accounts i obecność Managed Service Accounts (gMSA)
- AS-REP Roasting: wykrywanie kont z wyłączonym Kerberos Pre-Authentication — umożliwia pozyskanie hashy haseł bez uwierzytelnienia
- DCSync: weryfikacja, kto ma uprawnienia do replikacji katalogowej (DS-Replication-Get-Changes-All) — nadmiarowe uprawnienia umożliwiają kradzież wszystkich haseł z domeny
- Golden/Silver Ticket: analiza ochrony konta KRBTGT (częstotliwość rotacji hasła, czas od ostatniej zmiany) i kont serwisowych
- Unconstrained/Constrained Delegation: mapowanie delegacji i identyfikacja kont, które mogą impersonować dowolnego użytkownika
- ACL/DACL abuse: analiza nadmiarowych uprawnień w Access Control Lists — GenericAll, WriteDACL, WriteOwner na obiektach krytycznych
Tiered Administration Model W raporcie rekomendujemy wdrożenie modelu Tier 0/1/2 zgodnego z Microsoft Enterprise Access Model: Tier 0 (kontrolery domeny, PKI, ADFS) z najwyższym poziomem ochrony, Tier 1 (serwery aplikacyjne) z osobnymi kontami administracyjnymi, Tier 2 (stacje robocze) z ograniczonym zasięgiem uprawnień. Definiujemy konkretne GPO, grupy i procedury operacyjne dla każdego poziomu.
Monitoring i hardening post-audytowy Dostarczamy konfigurację advanced audit policies (Windows Event Forwarding), reguły detekcji dla SIEM (Sigma rules) pokrywające Kerberoasting, DCSync, Pass-the-Hash i lateral movement oraz baseline GPO hardening zgodny z CIS Microsoft Windows Server Benchmark i Microsoft Security Baselines.
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Masz środowisko Active Directory i chcesz ocenić jego bezpieczeństwo
- Planujesz migrację AD lub wdrożenie Azure AD / Entra ID
- Przeszedłeś pentest wewnętrzny z kompromitacją AD i chcesz uszczelnić środowisko
- Chcesz wdrożyć Tiered Administration Model
- Musisz spełniać wymagania NIS2/ISO 27001 dot. zarządzania tożsamością
Pakiety
BASIC
1 domena, do 500 użytkowników:
- Basic assessment i enumeration
- Attack path analysis (BloodHound)
- PingCastle scoring
- Remediation roadmap
Od 15 000 PLN | 7 dni roboczych
STANDARD
1-2 domeny, do 2000 użytkowników:
- Pełny assessment z attack paths
- Kerberos deep dive (Kerberoasting, AS-REP)
- GPO security review
- Azure AD integration (jeśli dotyczy)
Od 28 000 PLN | 12 dni roboczych
ADVANCED
Multi-forest, do 5000 użytkowników:
- Full attack simulation
- Privilege escalation testing
- Trust relationship analysis
- Workshop z IT + re-audit po poprawkach
Od 50 000 PLN | 18 dni roboczych
Skontaktuj się z opiekunem
Porozmawiaj o Audyt Bezpieczeństwa Active Directory z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Discovery
Zbieranie informacji o środowisku, identyfikacja domen i forest trusts
Enumeration
BloodHound data collection, LDAP queries, GPO, service accounts, Kerberos
Analiza
ACL/DACL, group membership, konta uprzywilejowane, polityki haseł
Attack Path Analysis
Shortest path do DA, Kerberoasting, AS-REP Roasting, DCSync, Golden/Silver Ticket
Raport i remediacja
Raport techniczny, executive summary, remediation roadmap, workshop z IT
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Mapa ścieżek ataku
Wizualizacja BloodHound — dokładnie wiesz jak atakujący dotrze do DA
PingCastle scoring
Liczbowa ocena bezpieczeństwa AD z benchmarkami
Plan hardening
Priorytetyzowane działania z estymacją effort i terminami
Transfer wiedzy
Workshop z zespołem IT — demonstracja ścieżek ataku i remediacji
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
CVE-2021-22054: Podatność z 2021 roku ponownie aktywnie eksploatowana (Omnissa)
Omnissa Workspace One UEM zawiera podatność server-side request forgery (SSRF), która mogłaby umożliwić złośliwemu aktorowi posiadającemu dostęp sieciowy ...
Czytaj więcej →CVE-2021-30952: Podatność z 2021 roku ponownie aktywnie eksploatowana (Apple)
Apple tvOS, macOS, Safari, iPadOS and watchOS zawierają integer overflow or wraparound vulnerability z powodu the processing of maliciously crafted web content that może prowadzić do arbitrary code ex...
Czytaj więcej →CVE-2023-41974: Podatność z 2023 roku ponownie aktywnie eksploatowana (Apple)
Apple iOS and iPadOS zawierają podatność użycia po zwolnieniu pamięci (use-after-free). An app may be able to wykonanie dowolnego kodu with kernel privileges....
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Audyt Bezpieczeństwa Active Directory.
Jakich narzędzi używacie do audytu AD?
BloodHound CE do wizualizacji ścieżek ataku, PingCastle do quick assessment i scoringu, Purple Knight do oceny bezpieczeństwa, oraz narzędzia manualne: PowerView, Rubeus, Mimikatz (PoC). Wszystkie narzędzia działają w trybie read-only — nie modyfikujemy środowiska.
Czy audyt wymaga konta Domain Admin?
Nie. Wystarczy konto Domain Users (read-only). Dla głębszej analizy (deep dive) opcjonalnie prosimy o konto z wyższymi uprawnieniami, ale podstawowy audyt attack paths przeprowadzamy z minimalnymi uprawnieniami.
Ile trwa audyt AD?
Od 7 dni roboczych (1 domena, do 500 użytkowników) do 24 dni roboczych (multi-forest, 5000+ użytkowników). Typowy audyt dla średniej organizacji to 2-3 tygodnie.
Czy obejmujecie Azure AD / Entra ID?
Tak — w pakietach Standard i wyższych. Analizujemy hybrid join, synchronizację, conditional access policies i ścieżki ataku między on-prem AD a Azure AD.
Co dostajemy w raporcie?
Executive summary z oceną ryzyka, raport techniczny z attack paths (wizualizacja BloodHound), audyt uprawnień, scoring PingCastle z benchmarkami i priorytetyzowany remediation roadmap z konkretnymi krokami.