Active Directory (AD) ostaja avtentikacijska hrbtenica več kot 90 % podjetij s seznama Fortune 1000. Njegova pomembnost je z rastjo hibridnih in oblačnih okolij še narasla, obenem pa je postala tudi njegova kompleksnost večja. Vsaka aplikacija, uporabnik in naprava se opira na AD za avtentikacijo in avtorizacijo, zato je za napadalce najvrednejša tarča. Če jim uspe kompromitirati AD, dobijo dostop do celotnega omrežja.
Zakaj napadalci ciljajo Active Directory
AD je vratar celotnega podjetja.
Ko ga napadalci uspešno kompromitirajo, pridobijo privilegiran dostop, ki jim omogoča:
• ustvarjanje novih računov,
• spreminjanje dovoljenj,
• izklapljanje varnostnih kontrol,
• lateralno gibanje znotraj omrežja,
in to pogosto brez sprožitve opozoril.
Študija primera iz leta 2024, takratni vdor v Change Healthcare – jasno pokaže posledice. Napadalci so izkoristili strežnik brez večfaktorske avtentikacije, se premaknili v AD, dvignili privilegije in izvedli drag kibernetski napad. Zdravstvene storitve so obstale, podatki pacientov so bili razkriti, podjetje pa je plačalo milijonsko odkupnino.
Ko napadalci prevzamejo AD, prevzamejo vaše celotno omrežje.
In ker njihova dejanja navidezno izgledajo kot legitimni AD-procesi, jih tradicionalna varnostna orodja težko zaznajo.
Najpogostejše tehnike napadov
Golden Ticket napadi: ustvarijo ponarejene Kerberos vstopnice, kar napadalcu omogoča popoln dostop do domene več mesecev.
DCSync napadi: zlorabijo replikacijska dovoljenja in pridobijo hash-e gesel neposredno iz domenskih kontrolerjev.
Kerberoasting: cilja na servisne račune s šibkimi gesli in omogoča dvig privilegijev.
Kako hibridna okolja širijo površino napada
Organizacije z lokalnim AD in storitvami v oblaku se soočajo z izzivi, ki jih pred petimi leti ni bilo. Identitetna infrastruktura je zdaj precej bolj razdrobljena:
• lokalni domenski kontrolerji,
• Azure AD Connect,
• oblačne avtentikacijske storitve,
• več protokolov avtentikacije.
Napadalci izkoriščajo to kompleksnost, zlorabljajo sinhronizacijske mehanizme in prehajajo med okolji. Kompromitirani OAuth žetoni v oblaku omogočajo dostop nazaj v lokalno infrastrukturo. Zaradi združljivosti so ohranjeni tudi zastareli protokoli, kot je NTLM, kar napadalcem omogoča relay napade.
Ker so varnostne ekipe pogosto razdeljene na »on-prem« in »cloud«, nastajajo vrzeli v nadzoru. Napadalci delujejo prav v teh slepih pegah in so izredno učinkoviti.
Najpogostejše ranljivosti, ki jih napadalci izkoriščajo
Poročilo Verizon DBIR navaja, da so kompromitirani poverilni podatki prisotni v 88 % vseh vdorov.
Pogoste ranljivosti v AD so:
Šibka gesla: najbolj razširjena šibka točka. Uporabniki pogosto ponovno uporabljajo ista gesla.
Servisni računi: gesla se ne spreminjajo, privilegiji so previsoki.
Predpomnjeni credentials: delovne postaje hranijo administrativne hash-e v spominu.
Slaba vidljivost: varnostne ekipe ne vedo, kdo ima privilegije in kdaj jih uporablja.
Stari in neaktivni računi: nekdanji zaposleni pogosto ohranijo dostop.
Aprila 2025 je bil razkrit še en kritičen AD-hrošč, ki je omogočal dvig privilegijev do sistemske ravni. Microsoft je izdal popravek, a številna podjetja ga niso uspela pravočasno uvesti.
Sodobni pristopi za okrepitev varnosti AD
1. Močne in inteligentne politike gesel
• blokada gesel, ki so bila razkrita v podatkovnih bazah iz preteklih vdorov,
• stalno preverjanje kompromitiranih gesel,
• sprotna povratna informacija uporabniku o moči gesla.
2. Upravljanje privilegiranih identitet (PAM)
• ločitev administrativnih in običajnih računov,
• just-in-time privilegiji,
• izvajanje administrativnih opravil le prek varnih delovnih postaj.
3. Zero Trust za Active Directory
• validacija vsakega dostopa,
• ocena lokacije, naprave in vedenja,
• MFA za vse privilegirane račune.
4. Neprestani nadzor AD sprememb
• spremljanje sprememb skupin, pravic, GPO-posodobitev,
• zaznavanje nenavadnih replikacij med domain controllerji,
• opozorila ob sumljivih vzorcih prijav.
5. Učinkovito upravljanje popravkov
Varnostne luknje v domain controllerjih morajo biti odpravljene v dneh in ne v tednih, ker napadalci redno skenirajo nepopravljene sisteme.
Varnost Active Directory-a ni nikoli zaključena
Napadalci stalno izboljšujejo svoje tehnike. Nova ranljivosti se pojavljajo redno.
Vaša infrastruktura se nenehno spreminja.
Zato zaščita AD ni projekt – je proces.
Gesla ostajajo najpogostejša vstopna točka napadalcev, zato mora biti zaščita identitet in poverilnic vedno vrhunska prioriteta v vsaki organizaciji.
Najboljše prakse vključujejo stalno spremljanje kompromitiranih gesel in njihovo blokiranje v realnem času.
Če želite preveriti, koliko je vaš Active Directory v resnici izpostavljen, in kaj je treba urediti, da ne postane naslednja vstopna točka smo vam pri Inovis IT vedno na voljo.