Пентест Active Directory: проверка безопасности AD
Что такое пентест Active Directory и зачем он нужен
Пентест Active Directory — это контролируемая проверка безопасности инфраструктуры на базе AD методами реального атакующего. Задача не просто «просканировать» домен, а последовательно пройти весь путь: от скомпрометированной учётной записи рядового пользователя до полного контроля над доменом. Если этот путь существует — пентестер его найдёт и задокументирует раньше, чем это сделает злоумышленник.
Active Directory используется в подавляющем большинстве корпоративных сетей: банки, промышленные предприятия, государственные организации, ретейл — везде, где есть больше нескольких десятков компьютеров под управлением Windows, почти наверняка стоит AD. Это делает его универсальной целью: атакующий, который умеет работать с Active Directory, может действовать в инфраструктуре любой крупной компании.
Пентест AD — это не разовое мероприятие «для галочки», а регулярная практика. Инфраструктура постоянно меняется: добавляются новые серверы, создаются сервисные учётные записи, изменяются групповые политики, устанавливаются доверительные отношения с другими доменами. Каждое изменение потенциально открывает новые векторы атаки. Именно поэтому зрелые организации проводят пентест AD как минимум раз в год, а также после крупных инфраструктурных изменений.
Почему AD — главная цель при атаке на корпоративную сеть
Active Directory — это не просто служба каталогов. Это система, которая контролирует аутентификацию и авторизацию каждого пользователя и каждого компьютера в домене. Кто получает доступ к серверам, к файловым хранилищам, к корпоративной почте — всё это решает AD. Компрометация учётной записи Domain Admin означает полный контроль над всей инфраструктурой: чтение любых данных, выполнение кода на любом хосте, создание backdoor-аккаунтов, уничтожение резервных копий.
Анализ реальных инцидентов показывает устойчивую закономерность: при атаках с применением шифровальщиков (ransomware) группировки почти всегда сначала захватывают контроль над AD, и только потом запускают шифрование — именно потому, что через AD можно развернуть вредоносное ПО на все машины домена одновременно. AD — не просто цель, а рычаг.
Форматы тестирования: black box, grey box, white box
В отличие от веб-пентеста, где black box — распространённый выбор, пентест AD чаще всего проводится в формате grey box: тестировщик получает учётную запись рядового пользователя домена и начинает с неё. Это соответствует реалистичному сценарию — атакующий, проникший в сеть через фишинг или скомпрометированный ноутбук сотрудника, стартует именно с такого уровня доступа. White box с полной документацией схемы домена применяется для максимально полного аудита; чистый black box — редкость, потому что без учётной записи домена большинство интересных векторов атаки недоступны.
Как устроен Active Directory: что проверяет пентестер
Чтобы эффективно тестировать AD, нужно понимать его архитектуру. Не на уровне «служба каталогов Microsoft», а конкретно: какие протоколы используются, какие объекты хранятся в базе, как работает делегирование прав и почему именно эти механизмы порождают уязвимости.
Ключевые компоненты: DC, Kerberos, LDAP, GPO
Domain Controller (DC) — центральный сервер домена, хранящий базу данных Active Directory (NTDS.dit). Именно здесь хранятся хэши паролей всех пользователей домена. Компрометация DC — это всегда Game Over: атакующий получает возможность извлечь все хэши через DCSync или прямое копирование файла базы данных.
Kerberos — основной протокол аутентификации в современных доменах AD. Работает по схеме тикетов: пользователь получает от KDC (Key Distribution Center) тикет, который предъявляет сервисам для получения доступа. Именно механизм выдачи сервисных тикетов (TGS) порождает классическую атаку Kerberoasting. LDAP — протокол запросов к каталогу: через него можно перечислить всех пользователей, группы, компьютеры, ACL и другие объекты домена, не имея никаких привилегий, кроме базовой учётной записи. GPO (Group Policy Objects) — групповые политики, применяемые к пользователям и машинам: неправильно настроенные GPO с избыточными правами редактирования — распространённый вектор повышения привилегий.
💡 Файл NTDS.dit — база данных Active Directory — хранит хэши паролей всех пользователей домена. Даже без взлома хэша атакующий может использовать его напрямую в атаке Pass-the-Hash. Именно поэтому Domain Controller — главный актив, который необходимо защитить в первую очередь.
Помимо протоколов, пентестер исследует конфигурацию: ACL (Access Control Lists) на объекты AD — кто может изменять атрибуты каких объектов; делегирование Kerberos — unconstrained, constrained и resource-based constrained delegation, каждый тип порождает свои векторы атаки; доверительные отношения между доменами и лесами; настройки паролей и локаут-политик; права сервисных учётных записей, которым нередко выдают избыточные привилегии.
Этапы пентеста Active Directory
Пентест AD — это не набор случайных атак, а структурированный процесс. Каждый этап логически вытекает из предыдущего: информация, собранная на разведке, определяет вектор первоначального доступа; первоначальный доступ открывает возможности для lateral movement; а lateral movement в конечном счёте ведёт к доменным привилегиям. Пропустить этап нельзя — можно лишь автоматизировать его часть.
Разведка и перечисление объектов домена
Имея базовую учётную запись домена, атакующий может извлечь через LDAP колоссальный объём информации: полный список пользователей с атрибутами (включая ServicePrincipalName — ключевой маркер для Kerberoasting), все группы и их членство, все компьютеры домена с версиями ОС, все GPO, все ACL на объекты. Это не требует никаких привилегий — это штатная функциональность LDAP, открытая для любого аутентифицированного пользователя.
BloodHound автоматически собирает эти данные и строит граф связей, на котором визуально отображаются пути атаки: от текущего пользователя до Domain Admin. Часто именно этот граф становится главным откровением для заказчика: выясняется, что учётная запись службы мониторинга является членом группы IT Admins, которая имеет право GenericAll на организационное подразделение с администраторами домена — и всё это незаметно накапливалось годами изменений.
Получение первоначального доступа
В сценарии grey box первоначальный доступ — уже имеющаяся учётная запись пользователя. В black box этот этап включает: LLMNR/NBT-NS poisoning (перехват хэшей NTLM при ответе на широковещательные запросы имён), атаку на SMB Signing (если отключена подпись пакетов), поиск учётных данных в открытых сетевых ресурсах (SMB-шары с конфигурационными файлами, скриптами, паролями в открытом виде), а также AS-REP Roasting — атаку на аккаунты с отключённой preauth-аутентификацией Kerberos, позволяющую получить хэш пароля без учётных данных.
Lateral movement и повышение привилегий
Получив первый плацдарм, атакующий движется по сети горизонтально, ища пути к более высоким привилегиям. Стандартные техники: использование локальных административных прав для извлечения хэшей из памяти LSASS через Mimikatz или его аналоги, Pass-the-Hash для аутентификации на других хостах без знания открытого текста пароля, эксплуатация некорректно настроенных ACL на объекты AD, злоупотребление делегированием Kerberos. Этот этап — наиболее трудоёмкий и творческий: пути повышения привилегий уникальны для каждой инфраструктуры.
Достижение цели: Domain Admin и пост-эксплуатация
Финальная цель большинства пентестов AD — получение привилегий Domain Admin или эквивалентных им. Факт достижения цели фиксируется скриншотами: вывод whoami с указанием прав, дамп NTDS.dit, создание тестового аккаунта с доменными привилегиями. В пост-эксплуатации также оценивается: насколько легко атакующий мог оставаться незамеченным, какие механизмы обнаружения (SIEM, EDR) сработали, а какие — нет. Это особенно ценно для команды защиты и помогает выявить слепые зоны мониторинга.
Основные атаки на Active Directory
Атаки на AD хорошо задокументированы и систематизированы в рамках MITRE ATT&CK — это не экзотика, а стандартный арсенал как атакующих, так и специалистов по Threat Hunting и Detection Engineering. Понимание механики каждой атаки — обязательное условие и для пентестера, и для защитника.
Kerberoasting и AS-REP Roasting
Kerberoasting — атака на сервисные учётные записи с атрибутом ServicePrincipalName (SPN). Любой аутентифицированный пользователь может запросить у KDC сервисный тикет (TGS) для любого SPN-аккаунта. Тикет зашифрован хэшем пароля сервисной учётной записи — и этот хэш можно брутфорсить офлайн, без нагрузки на AD и без риска блокировки аккаунта. Сервисные учётные записи часто имеют слабые или статичные пароли, установленные годами назад и никогда не менявшиеся — именно это делает атаку результативной в большинстве реальных окружений.
AS-REP Roasting работает аналогично, но нацелена на пользователей с отключённой предварительной аутентификацией Kerberos (атрибут DONT_REQ_PREAUTH). Для такого аккаунта KDC вернёт зашифрованный ответ без предъявления каких-либо учётных данных — достаточно знать имя пользователя. Этот атрибут иногда выставляется намеренно (например, для совместимости со старыми приложениями) или случайно.
Pass-the-Hash и Pass-the-Ticket
Pass-the-Hash (PtH) — использование NTLM-хэша пароля для аутентификации без знания открытого текста. Хэш извлекается из памяти LSASS с помощью Mimikatz, Impacket или аналогов, а затем передаётся напрямую в процессе аутентификации. Работает только с протоколом NTLM — Kerberos PtH в чистом виде не поддерживает, хотя существуют техники Overpass-the-Hash, конвертирующие NTLM-хэш в Kerberos TGT.
Pass-the-Ticket (PtT) — аналогичная техника, но с Kerberos-тикетами. Тикет извлекается из памяти с помощью Mimikatz и импортируется в текущую сессию, давая атакующему права соответствующего пользователя. Особенно критична в сочетании с Golden и Silver Ticket атаками.
DCSync и Golden/Silver Ticket
DCSync — техника, имитирующая репликацию Domain Controller. Атакующий, получив права DS-Replication-Get-Changes и DS-Replication-Get-Changes-All (обычно через компрометацию Domain Admin), запрашивает у DC репликацию объектов — и получает хэши паролей любых пользователей домена, включая krbtgt. Для этого не нужен физический доступ к DC; атака выполняется удалённо через Impacket secretsdump или Mimikatz lsadump::dcsync.
Golden Ticket — фиктивный TGT-тикет, подписанный хэшем аккаунта krbtgt. Зная этот хэш (полученный через DCSync), атакующий создаёт тикет с любым именем пользователя и любыми группами членства — включая Domain Admins — на любой срок действия. Этот тикет принимается всеми сервисами домена как легитимный. Смена пароля krbtgt (дважды, с интервалом) — единственный способ инвалидировать все выпущенные Golden Ticket. Silver Ticket работает аналогично, но подписывается хэшем конкретного сервисного аккаунта и даёт доступ только к соответствующему сервису — зато без обращения к DC, что делает его невидимым для стандартного мониторинга Kerberos.
💡 Golden Ticket — одна из самых опасных техник persistence. Даже после смены всех пользовательских паролей и сброса скомпрометированных аккаунтов атакующий сохраняет доступ, пока не будет сменён пароль krbtgt. Многие организации не включают эту процедуру в план реагирования на инциденты — и это критическая ошибка.
Атаки на доверительные отношения и BloodHound
Крупные организации нередко имеют несколько доменов, объединённых в лес Active Directory, или доверительные отношения с доменами партнёров. Эти trust relationships создают векторы атаки: компрометация одного домена с менее строгими политиками безопасности может открыть путь к более критичному. Атаки на trust включают SID History abuse, ExtraSids атаки и злоупотребление unconstrained delegation в связке с printer bug (SpoolSample) для захвата TGT целевого DC.
BloodHound — инструмент, который превратил анализ путей атаки в AD в визуальный и систематический процесс. Сборщик данных (SharpHound) перечисляет объекты домена и строит граф связей; BloodHound-интерфейс позволяет за секунды найти кратчайший путь от любого пользователя до Domain Admin, выявить все аккаунты с опасными ACL, показать, кто имеет право на GenericAll, WriteDACL или AllExtendedRights на критичные объекты. Именно BloodHound-граф становится основой для отчёта — он наглядно демонстрирует заказчику, как именно выглядит цепочка компрометации.
Инструменты пентеста AD
Инструментарий пентеста Active Directory хорошо структурирован по задачам. Большинство инструментов — open source, активно поддерживаются сообществом и регулярно обновляются вслед за изменениями в Windows и обновлениями защитных механизмов.
BloodHound + SharpHound — сбор данных домена и построение графа путей атаки. Незаменим на этапе разведки и планирования. Impacket — Python-библиотека с набором скриптов для работы с сетевыми протоколами Windows: secretsdump (дамп хэшей), psexec, wmiexec, smbclient, GetUserSPNs (Kerberoasting), GetNPUsers (AS-REP Roasting). Фактически полноценный швейцарский нож для AD-пентеста без агента на стороне цели. Mimikatz — классика извлечения учётных данных из памяти Windows: lsadump, sekurlsa, kerberos-модули. Работает на скомпрометированном хосте с правами администратора.
CrackMapExec (CME) / NetExec — автоматизация проверки учётных данных и Pass-the-Hash по диапазону хостов, запуск команд, перечисление шар, оценка покрытия. Rubeus — C#-инструмент для работы с Kerberos: Kerberoasting, AS-REP Roasting, Pass-the-Ticket, создание Golden/Silver Ticket. Kerbrute — брутфорс и перечисление пользователей через Kerberos без блокировки аккаунтов. PowerView / ADModule — PowerShell-инструменты для перечисления объектов AD и анализа ACL непосредственно с Windows-хоста.
💡 Большинство инструментов пентеста AD хорошо известны EDR-решениям. Реальная работа в защищённых окружениях требует навыков обхода антивирусных и EDR-систем: кастомные сборки, обфускация, работа через COM-объекты и встроенные утилиты Windows (Living Off The Land). Это один из ключевых навыков, отличающих senior AD-пентестера от junior.
Как защитить Active Directory: выводы из пентеста
Пентест AD ценен не только как диагностика, но и как руководство к действию. Каждая найденная уязвимость имеет конкретное техническое решение — и хороший отчёт всегда содержит приоритизированные рекомендации, а не просто список проблем. Вот ключевые меры защиты, которые устраняют наиболее часто встречающиеся векторы атак.
Против Kerberoasting: использовать управляемые сервисные учётные записи (gMSA) с автоматической сменой длинных случайных паролей; для обычных сервисных аккаунтов устанавливать пароли длиной от 25 символов. Против Pass-the-Hash: включить Credential Guard и Protected Users Security Group для привилегированных аккаунтов; ограничить права локального администратора через LAPS (Local Administrator Password Solution). Против DCSync: строго контролировать права DS-Replication; регулярно аудировать членство в группах Domain Admins, Enterprise Admins, Schema Admins.
Тиеринг привилегий (Tier Model) — архитектурный подход, при котором административные аккаунты строго разделены по уровням: Tier 0 (Domain Controllers), Tier 1 (серверы), Tier 2 (рабочие станции). Администратор Tier 2 физически не может войти на DC — даже если его учётные данные скомпрометированы. Это радикально ограничивает возможности lateral movement. Настройку управления уязвимостями и мониторинга критичных событий AD (4768, 4769, 4771, 4625, 4776) следует рассматривать как обязательный минимум для любой организации, использующей Active Directory.
Не менее важна сторона обнаружения. SIEM-системы в связке с правилами обнаружения для аномального поведения Kerberos, необычных запросов репликации и аномальных ACL-изменений — это то, что превращает пентест-отчёт в конкретную задачу для команды Blue Team.
Курсы по пентесту Active Directory и инфраструктуры
Пентест AD — одна из наиболее востребованных специализаций в российском рынке ИБ. Навыки работы с Active Directory, Impacket и BloodHound требуются на большинстве позиций пентестера уровня Middle и выше. Ниже — курсы, которые дают эти навыки на практике.
Специализированные курсы по AD
CyberYozh
Active Directory. Пентест внутренней инфраструктуры
Углублённый 26-недельный курс по полному циклу инфраструктурного пентеста Active Directory: от разведки и атак на аутентификацию до пост-эксплуатации, обхода EDR и подготовки итогового отчёта. Практика ведётся в лабораториях, максимально приближённых к боевым условиям.
Комплексные программы
Codeby Academy
Практико-ориентированная программа уровня Middle, охватывающая полный цикл работы пентестера: от разведки и сканирования до эксплуатации уязвимостей. Обучение построено на реальных заданиях в формате семинаров.
CyberED
Курс разработан этичными хакерами-практиками, сотрудничающими с российскими компаниями. Программа включает 100 техник тестирования на проникновение, разбитых на 12 модулей с нарастающей сложностью практических задач.
Академия АйТи
Пентестер: этичный хакинг и анализ систем безопасности
Программа повышения квалификации объёмом 220 часов, подходящая в том числе для новичков. Формирует практические навыки проведения пентеста и анализа безопасности с выдачей удостоверения о повышении квалификации.
Продвинутые курсы
Otus
Пентест. Практика тестирования на проникновение
Практический курс уровня Middle объёмом 80 часов (5 месяцев), ориентированный на разработчиков и специалистов по ИБ. Охватывает анализ уязвимостей сетей, ПО и веб-ресурсов, наиболее распространённые сценарии атак.
Для начинающих специалистов
БАУМАНТЕХ
Специалист по тестированию на проникновение (Junior Pentester)
Шестимесячная программа профессиональной переподготовки: сетевое сканирование, методологии PTES, OWASP и MITRE ATT&CK, пост-эксплуатация и составление отчётов. По окончании выдаётся диплом.
УЦ «Специалист» при МГТУ им. Баумана
Hacker. Penetration Testing and Security
Курс по тестированию на проникновение и анализу безопасности с возможностью очного и онлайн-обучения. Программа готовит к сертификационным экзаменам в сфере этичного хакинга.
Все курсы по пентесту
Сравните программы по уровню подготовки, формату и стоимости в каталоге ibcourses.ru.
Смотреть курсы по пентесту →