AD attack paths: что полезного защитнику в заметках CRTP

Active Directory редко падает из-за одной ошибки. Обычно домен ломают через цепочку доверий: локальные админы, writable shares, слабые сервисные аккаунты, delegation, GPO, ADCS, CI/CD-узлы и доступные сессии администраторов. Поэтому зрелая защита AD должна мыслить не списком “CVE”, а графом путей к Domain Admin.

Ключевые зоны риска

1. Сервисные аккаунты: SPN, слабые пароли, избыточные права и отсутствие ротации.
2. Delegation: unconstrained/constrained/RBCD должны иметь владельца, бизнес-обоснование и мониторинг.
3. GPO и SYSVOL: права изменения политик часто важнее локальной уязвимости на одном хосте.
4. Writable shares и automation: CI/CD, build-серверы и общие папки могут стать мостом к домену.
5. ADCS: опасные шаблоны сертификатов позволяют обойти привычные границы учётных записей.
6. Локальные администраторы: повторяющиеся пароли и широкие группы превращают один хост в маршрут по сети.

Что должен показать хороший отчёт

Для руководителя важно не “мы нашли Kerberoast”, а “вот путь от обычной учётной записи до критического сервера, вот бизнес-эффект, вот владелец исправления”. Для инженера важны evidence, affected objects, безопасная проверка, remediation и retest. Если отчёт не связывает эти два уровня, он остаётся набором техник.

Безопасная программа защиты

• Строить BloodHound/AD graph только в разрешённой среде и хранить результаты как sensitive evidence.
• Проводить quarterly review delegation, ADCS templates, privileged groups и GPO permissions.
• Отделить Tier 0 администрирование от рабочих станций и CI/CD.
• Включить detections на изменение GPO, certificate templates, добавление SPN, изменение delegation и необычные service logons.
• Использовать LAPS/Windows LAPS и отдельные пароли локальных администраторов.