Artykuł pochodzi z wydania: Maj 2025
Jeżeli atakującemu uda się przejąć kontrolę nad Active Directory, zdobywa on dostęp do całej organizacji. Tożsamość chroniona w sposób niewłaściwy staje się słabym ogniwem, które pozwala napastnikom na uzyskanie szerokich uprawnień, ukrycie swoich działań oraz trwałe zakorzenienie się w systemach. Właśnie dlatego bezpieczeństwo tożsamości ma w Active Directory kluczowe znaczenie.
Active Directory to nie tylko baza użytkowników, ale przede wszystkim centralny punkt uwierzytelniania w środowiskach lokalnych (on-premises), a często także hybrydowych – gdy domena jest synchronizowana z usługą Entra ID. Domeny określają, kto może się zalogować, jakie zasoby są dostępne, jak przebiega segmentacja sieci oraz jakie zasady bezpieczeństwa (GPO) są stosowane na stacjach roboczych i serwerach.
Pomimo ogromnej funkcjonalności oraz możliwości Active Directory nie było projektowane z myślą o współczesnych zagrożeniach. Domyślne ustawienia często pozostawiają luki, które mogą zostać wykorzystane podczas ataków. Jednym z typowych scenariuszy po uzyskaniu dostępu do pojedynczej maszyny jest lateral movement, czyli przemieszczanie się między kolejnymi systemami w sieci. Często występujące błędy, takie jak brak separacji uprawnień, logowanie kont administracyjnych na wielu komputerach oraz nieodpowiednia segmentacja ról i zakresu GPO, ułatwiają atakującym poszerzanie kontroli nad infrastrukturą.
Innym przykładem ataku jest Golden Ticket, polegający na przejęciu klucza krbtgt domeny i generowaniu samodzielnych, ważnych biletów Kerberos. Taki ticket daje użytkownikowi pełne uprawnienia w domenie bez widoczności w standardowych logach. Co więcej, ważność takiego biletu, jeśli nie zastosuje się odpowiednich środków zaradczych (np. regularnej rotacji klucza krbtgt), może wynosić lata.
W wielu organizacjach powszechne jest umożliwianie logowania kont uprzywilejowanych na zwykłych systemach – stacjach roboczych czy serwerach plików. Taka sytuacja prowadzi do ryzyka, w którym przejęcie jednej stacji może szybko umożliwić pełny dostęp do domeny, zwłaszcza jeśli przechowywane są tam dane logowania administratora. Bez wdrożonej separacji poziomów dostępu (tieringu) środowisko staje się otwarte i bardzo podatne na ataki.
Wiele środowisk Active Directory zostało uruchomionych dawno temu i funkcjonuje bez zmian – zgodnie z podejściem „działa, więc nie ruszamy, bo przestanie”. Taka filozofia zapewnia stabilność funkcjonowania systemów, ale jednocześnie sprzyja gromadzeniu się podatności, luk i błędów w konfiguracji.
Przykłady częstych podatności to m.in.:
- domyślne uprawnienia wrażliwych grup (np. dostęp Authenticated Users do DNS);
- brak odpowiednich zabezpieczeń GPO (np. szeroki dostęp do RDP, słabe ustawienia NTLM);
- zbyt szerokie uprawnienia dla jednostek organizacyjnych (OU) i brak odpowiedniego delegowania;
- brak monitorowania aktywności kont uprzywilejowanych.
Zmiany ostatnich lat, w tym powszechna praca zdalna, sprawiły, że dotychczasowe podejście do bezpieczeństwa AD jest nieakceptowalne. Organizacje powinny skoncentrować się na świadomym projektowaniu i zarządzaniu tożsamością oraz bezpieczeństwem, co oznacza nie tylko audyt aktualnej konfiguracji, ale także wdrożenie dobrych praktyk, takich jak:
- zasada najmniejszych możliwych uprawnień (least privilege);
- separacja ról i poziomów dostępu (tiering kont i OU);
- dedykowane konta do różnych typów działań (administracja, codzienna praca, konta serwisowe);
- regularne monitorowanie aktywności kont uprzywilejowanych;
- stosowanie grup typu Protected Users lub Authentication Policies;
- wymuszanie logowania tylko z zaufanych stacji roboczych (PAW).
> PODSTAWOWE ZASADY BEZPIECZEŃSTWA AD
Bezpieczeństwo Active Directory opiera się na kluczowych zasadach takich jak least privilege, Zero Trust oraz tiering, które mają na celu minimalizację ryzyka i ograniczenie skutków ewentualnych incydentów.
LEAST PRIVILEGE
Jedną z kluczowych zasad budowania bezpiecznego środowiska jest tzw. zasada least privilege, polegająca na przyznawaniu użytkownikom wyłącznie tych uprawnień, które są absolutnie niezbędne do wykonywania ich obowiązków. Dzięki ograniczeniu uprawnień minimalizujemy ryzyko, że atakujący, po przejęciu nawet jednego konta, będzie mógł uzyskać dostęp do kluczowych zasobów organizacji. W praktyce wdrożenie tej zasady często okazuje się trudne, ponieważ wymaga od administratorów aplikacji, serwisów lub usług dokładnego określenia niezbędnych dostępów do prawidłowego działania. Niestety powszechną praktyką jest stosowanie zbyt szerokich uprawnień, ponieważ „z uprawnieniami administratora wszystko działa”.
ZERO TRUST
Model Zero Trust zakłada brak zaufania wobec każdego użytkownika, systemu czy usługi – niezależnie od ich lokalizacji w sieci. W kontekście Active Directory podejście to polega na weryfikacji każdego żądania dostępu do zasobów, uwierzytelnianiu wieloskładnikowym oraz ciągłym monitorowaniu aktywności użytkowników. Kluczowe znaczenie mają tu rozwiązania takie jak polityki Authentication Policies, Protected Users oraz segmentacja sieci. Dzięki temu możliwe jest szybkie wykrywanie nietypowych zachowań i natychmiastowe reagowanie na incydenty bezpieczeństwa, co minimalizuje ryzyko nieautoryzowanego dostępu lub przejęcia kontroli nad domeną.
TIERING
Segmentacja sieci oraz separacja obowiązków i ról (tzw. tiering) pozwalają na izolację krytycznych zasobów od pozostałej części infrastruktury. Podział sieci oraz ról administracyjnych na różne poziomy (np. Tier 0 – konta najwyższego ryzyka, Tier 1 – infrastruktura aplikacyjna, Tier 2 – zwykłe stacje robocze) ogranicza możliwości przemieszczania się atakującego po sieci (lateral movement). Dodatkowo jasno zdefiniowane role i obowiązki zapobiegają nadmiernej koncentracji uprawnień w rękach pojedynczych użytkowników czy administratorów.
Integracja zasad Least Privilege i tieringu z filozofią Zero Trust umożliwia stworzenie kompleksowego modelu bezpieczeństwa, w którym każdy dostęp jest kontrolowany, a wszelkie działania użytkowników są stale monitorowane i weryfikowane. Podejście to wymaga nie tylko właściwego projektowania infrastruktury AD, ale również regularnego audytu konfiguracji, monitorowania aktywności oraz reagowania na podejrzane działania.
PRAKTYCZNA IMPLEMENTACJA
Wdrożenie wszystkich powyższych zasad w firmie powinno obejmować następujące kroki:
- stosowanie minimalnych uprawnień do zasobów (least privilege);
- wdrożenie mechanizmów uwierzytelniania wieloskładnikowego (MFA);
- stosowanie izolowanych kont administracyjnych i dedykowanych stacji (Privileged Access Workstations, PAW);
- monitorowanie i raportowanie podejrzanych aktywności (np. SIEM, alerty);
- regularne przeglądy uprawnień i ich okresowa recertyfikacja;
- stosowanie zasad ochronnych dla kont uprzywilejowanych (np. Protected Users, Authentication Policies).
[…]
Robert Przybylski
Autor jest architektem rozwiązań bezpieczeństwa w środowiskach on-premises oraz w chmurze Microsoft Azure, wykładowcą akademickim oraz posiadaczem tytułu Microsoft MVP od 2021 r. Współautor książek, artykułów, członek polskiej reprezentacji podczas manewrów cyberbezpieczeństwa NATO Locked Shields.
