Neste artigo

O Active Directory é o coração da infraestrutura de identidade da maioria das organizações. Ele centraliza autenticação, autorização e políticas para todos os recursos do domínio — o que o torna, inevitavelmente, o alvo mais valioso para atacantes.

Apesar disso, é comum encontrar ambientes AD com configurações padrão nunca ajustadas, GPOs insuficientes e práticas que facilitam escalação de privilégios. Este artigo cobre as configurações essenciais para proteger o AD de forma prática e estruturada. Para uma visão complementar sobre ataques específicos, consulte nosso artigo sobre proteção do AD contra ataques.

Por que o AD é o principal alvo de ataques

95%
das organizações Fortune 1000 usam Active Directory — comprometer o AD significa comprometer a organização inteira

O AD é alvo prioritário porque:

  • Centralização: uma única conta Domain Admin dá acesso a todos os recursos
  • Persistência: backdoors no AD (Golden Ticket, skeleton key) sobrevivem a reimaging de servidores
  • Movimentação lateral: credenciais em cache permitem Pass-the-Hash entre máquinas
  • Configurações padrão inseguras: NTLM habilitado, delegação irrestrita, SPNs vulneráveis
  • Complexidade: ambientes com anos de acumulação de objetos, permissões e trusts não revisados

GPOs essenciais de segurança

Group Policy Objects são o mecanismo nativo para aplicar configurações de segurança em escala. As GPOs a seguir representam o baseline mínimo que toda organização deve implementar.

Política de senhas e bloqueio de conta

Configurações recomendadas

  • Comprimento mínimo: 14 caracteres (NIST recomenda foco em comprimento sobre complexidade)
  • Histórico de senhas: mínimo 24 senhas lembradas
  • Idade máxima: 365 dias (ou sem expiração se combinado com MFA e monitoramento)
  • Bloqueio de conta: 5 tentativas falhas, bloqueio de 30 minutos
  • Fine-Grained Password Policies: políticas diferenciadas para contas privilegiadas (20+ chars, 0 expiração com MFA obrigatório)

Restrição de protocolos legados

  • Desabilitar NTLM onde possível: forçar Kerberos como protocolo de autenticação
  • Auditar uso de NTLM: GPO Network Security: Restrict NTLM em modo auditoria antes de bloquear
  • Desabilitar LM Hash: Network Security: Do not store LAN Manager hash = Enabled
  • Exigir NTLMv2: se NTLM for necessário, aceitar apenas v2 com 128-bit

Auditoria avançada

  • Account Logon Events: sucesso e falha (detecta brute force e credential stuffing)
  • Logon Events: logons interativos, remotos e de rede
  • Object Access: alterações em objetos críticos do AD
  • Privilege Use: uso de privilégios sensíveis (SeDebugPrivilege, SeTcbPrivilege)
  • Policy Change: modificações em GPOs e políticas de segurança

Esses logs devem ser encaminhados para o SIEM para correlação e alerta em tempo real.

Controle de execução e software

  • AppLocker ou WDAC: controle de aplicações permitidas por whitelist
  • PowerShell Constrained Language Mode: limita comandos disponíveis para usuários não privilegiados
  • Script Block Logging: registra todo código PowerShell executado
  • Desabilitar macros Office: bloquear ou restringir macros VBA por GPO

LAPS — Local Administrator Password Solution

LAPS gera senhas únicas e aleatórias para a conta de administrador local de cada máquina, armazenando-as de forma segura no AD. Elimina o risco de senha de admin local única em todo o parque — um dos vetores mais explorados em movimentação lateral.

Hardening de Domain Controllers

Domain Controllers são os ativos mais críticos do ambiente. Seu comprometimento equivale ao comprometimento total do domínio.

Checklist de hardening para DCs

  • Dedicados exclusivamente: DCs não devem executar outras funções (file server, print, aplicações)
  • Patches em dia: ciclo de atualização prioritário com testes prévios
  • Acesso restrito: apenas contas Tier 0 podem fazer logon em DCs
  • Credential Guard: protege hashes em memória contra extração
  • SMB signing obrigatório: previne ataques de relay
  • LDAP signing e channel binding: previne LDAP relay attacks
  • Desabilitar Print Spooler: vetor de ataque conhecido (PrintNightmare)
  • Monitoramento dedicado: alertas específicos para eventos críticos no DC

Tiering Model e segmentação de privilégios

O tiering model é a prática de segmentar privilégios em níveis, impedindo que credenciais de um nível sejam expostas em outro. É a base para proteger o AD contra escalação de privilégios e movimentação lateral.

Modelo de 3 Tiers

  • Tier 0 — Controle do domínio: Domain Controllers, contas Domain Admin, Azure AD Connect, PKI. Acesso apenas via PAW (Privileged Access Workstation) dedicada
  • Tier 1 — Servidores e aplicações: servidores de aplicação, bancos de dados, Exchange, file servers. Administrados por contas Tier 1 separadas
  • Tier 2 — Estações e usuários: desktops, laptops, helpdesk. Contas Tier 2 não devem ter acesso a Tier 1 ou Tier 0

Regra fundamental: credenciais de Tier 0 nunca devem fazer logon em máquinas Tier 1 ou Tier 2. Um Domain Admin que faz logon em uma estação de trabalho expõe suas credenciais em cache — qualquer malware naquela máquina pode extraí-las.

A implementação de PAM (Privileged Access Management) complementa o tiering com controle granular sobre quem acessa o quê e quando.

Ataques comuns ao AD e como prevenir

Pass-the-Hash (PtH)

O atacante extrai hashes NTLM da memória e os usa para autenticar sem conhecer a senha original.

  • Prevenção: Credential Guard, restrição de NTLM, tiering model, LAPS
  • Detecção: logons anômalos com hash (Event ID 4624 tipo 3 + 4776), ferramentas de ITDR

Kerberoasting

O atacante solicita tickets Kerberos (TGS) para service accounts com SPN e tenta quebrar a senha offline.

  • Prevenção: senhas longas (25+ chars) em service accounts, gMSA (Group Managed Service Accounts), limitar SPNs
  • Detecção: volume anômalo de requisições TGS (Event ID 4769), especialmente com criptografia RC4

DCSync

O atacante simula um Domain Controller e solicita replicação de hashes de todas as contas.

  • Prevenção: restringir permissões de replicação (DS-Replication-Get-Changes) apenas a DCs reais
  • Detecção: Event ID 4662 com operação de replicação originada de não-DC

Golden Ticket

Com o hash da conta KRBTGT, o atacante gera tickets Kerberos válidos para qualquer conta, incluindo Domain Admin.

  • Prevenção: rotacionar senha do KRBTGT periodicamente (2x seguidas para invalidar tickets antigos)
  • Detecção: tickets com lifetime anômalo, logons sem TGT prévio correspondente

Delegação irrestrita

Servidores com delegação irrestrita (Unconstrained Delegation) podem armazenar tickets Kerberos de qualquer usuário que se conecte a eles. Se um Domain Admin se conectar a esse servidor, seu TGT fica disponível para extração. Substitua por Constrained Delegation ou Resource-Based Constrained Delegation.

Monitoramento e auditoria do AD

Configurar o AD sem monitorar é como trancar a porta e não instalar alarme. Os eventos críticos que devem gerar alerta imediato:

Eventos críticos para monitorar

  • 4728/4732/4756: membro adicionado a grupo privilegiado (Domain Admins, Enterprise Admins, Schema Admins)
  • 4724/4723: reset de senha de conta privilegiada
  • 4662: operações de replicação (detecta DCSync)
  • 4769 com RC4: requisições Kerberos com criptografia fraca (Kerberoasting)
  • 4625 em volume: falhas de autenticação em massa (brute force)
  • 4719: alteração de política de auditoria (tentativa de encobrir rastros)
  • 7045: novo serviço instalado em DC (possível persistência)

Esses eventos devem ser encaminhados para SIEM com regras de correlação específicas. Ferramentas de ITDR adicionam detecção comportamental especializada em ataques de identidade.

Erros comuns na configuração do AD

Domain Admins usados no dia a dia

Contas Domain Admin usadas para tarefas rotineiras expõem credenciais em dezenas de máquinas. Cada logon deixa hash em cache. Use contas separadas para cada nível de privilégio.

GPOs padrão nunca ajustadas

A Default Domain Policy e Default Domain Controllers Policy vêm com configurações mínimas. Organizações que não customizam operam com o baseline mais fraco possível.

Service accounts com senha estática

Service accounts com a mesma senha há anos são alvos fáceis de Kerberoasting. Implemente gMSA para rotação automática.

Objetos órfãos e permissões acumuladas

Contas de ex-funcionários, grupos vazios, permissões delegadas sem revisão. Cada objeto desnecessário é superfície de ataque.

Ausência de monitoramento em DCs

DCs sem logs encaminhados para SIEM significam que ataques críticos passam despercebidos. Um DCSync executado sem alerta pode comprometer todo o domínio em minutos.

Considerações finais

O Active Directory é a infraestrutura de identidade mais crítica da organização e, por isso, exige configuração intencional, não padrões de fábrica.

GPOs bem definidas, hardening de DCs, tiering model e monitoramento contínuo transformam o AD de maior vulnerabilidade em maior força da estratégia de segurança. A diferença entre um AD seguro e um AD comprometido está na disciplina de configuração e revisão contínua.

Perguntas Frequentes

Por que o Active Directory é o principal alvo de ataques?

O AD centraliza autenticação, autorização e políticas de toda a organização. Comprometer o AD significa obter acesso a todos os recursos do domínio. Atacantes buscam contas privilegiadas e Domain Controllers porque uma única escalação de privilégio pode dar controle total sobre o ambiente.

Quais as GPOs mais importantes para segurança?

As GPOs essenciais incluem: política de senhas (comprimento mínimo 14 chars), bloqueio de conta, restrição de NTLM, auditoria avançada, controle de execução (AppLocker/WDAC) e LAPS para senhas de administrador local.

O que é o tiering model do Active Directory?

É um modelo de segmentação em 3 níveis: Tier 0 (Domain Controllers), Tier 1 (servidores) e Tier 2 (estações de trabalho). Contas de um tier não devem autenticar em recursos de outro, limitando o impacto de um comprometimento.

Como proteger o AD contra Kerberoasting e Pass-the-Hash?

Contra Kerberoasting: senhas longas em service accounts, gMSA e monitoramento de requisições TGS. Contra Pass-the-Hash: restrição de NTLM, Credential Guard, estações administrativas dedicadas (PAW) e tiering model.

Fontes e referências técnicas

  • Microsoft — Best Practices for Securing Active Directory
  • Microsoft — Privileged Access Strategy (Enterprise Access Model)
  • CIS Benchmark for Microsoft Windows Server — Domain Controller
  • NIST SP 800-63B — Digital Identity Guidelines (Authentication)
  • MITRE ATT&CK — Credential Access, Lateral Movement, Persistence
  • ANSSI — Recommandations pour l’administration sécurisée des SI (AD Tiering)

Precisa avaliar a segurança do seu Active Directory?

Realizamos assessment de AD, revisão de GPOs, implementação de tiering model e hardening de Domain Controllers com monitoramento contínuo.

Falar com Especialista
Inteligencia Brasil

Inteligencia Brasil

Consultoria especializada em Segurança de Identidade, Active Directory e Gestão de Acessos Privilegiados.