Por que o Active Directory e o principal alvo de atacantes?

O AD é o sistema de identidade central na maioria das empresas. Comprometer o AD significa controlar todas as contas, grupos e permissões. Atacantes buscam Domain Admin para ter controle total do ambiente. Mais de 90% dos ataques de ransomware em ambientes corporativos envolvem comprometimento do AD.

O que é Kerberoasting e como me proteger?

Kerberoasting explora o protocolo Kerberos para obter hashes de senhas de service accounts. Qualquer usuário autenticado pode solicitar tickets de serviço e tentar quebrar offline. Proteção: usar senhas longas (+25 caracteres) em service accounts, implementar gMSA (Group Managed Service Accounts), e monitorar solicitações anômalas de tickets.

Qual ferramenta usar para auditar segurança do AD?

PingCastle é a ferramenta mais recomendada para assessment rápido - gratuita e gera relatório com score e recomendações. BloodHound mapeia caminhos de ataque visualmente. Purple Knight (Semperis) oferece avaliação mais profunda. Para monitoramento contínuo, Microsoft Defender for Identity detecta ataques em tempo real.

Active Directory Security: Proteção contra Ataques

Por que proteger o Active Directory

O Active Directory (AD) é o sistema de identidade e diretório mais utilizado em ambientes corporativos Windows. Ele centraliza autenticação, autorização, políticas de grupo e gestão de recursos. Por isso, é o alvo número um de atacantes em praticamente todos os incidentes corporativos.

95%

dos ataques de ransomware em ambientes corporativos envolvem comprometimento do Active Directory, segundo Mandiant M-Trends 2025

Comprometer o AD significa obter acesso a Domain Admin - controle total sobre todas as contas, servidores e estações de trabalho do domínio. Atacantes podem criar backdoors persistentes, exfiltrar qualquer dado e criptografar todo o ambiente em um ataque de ransomware.

As "Joias da Coroa" do AD

Domain Admins: Controle total do domínio
Enterprise Admins: Controle de toda a floresta
KRBTGT account: Chave mestre do Kerberos (Golden Ticket)
Domain Controllers: Servidores que hospedam o AD
NTDS.dit: Banco de dados com todos os hashes

Principais Ataques ao Active Directory

Conhecer os ataques é essencial para defesa. Esses são os mais utilizados por atacantes e Red Teams:

Kerberoasting

O que é: Qualquer usuário autenticado pode solicitar tickets de serviço (TGS) para contas com SPN (Service Principal Name). O ticket é criptografado com o hash da senha da service account, permitindo ataque de força bruta offline.

Impacto: Obtenção de credenciais de service accounts, frequentemente com privilégios elevados.

Detecção: Event ID 4769 com encryption type 0x17 (RC4), volume anômalo de requisições TGS.

AS-REP Roasting

O que é: Contas com "Do not require Kerberos preauthentication" podem ter seu AS-REP (resposta de autenticação) solicitado sem senha. O hash pode ser quebrado offline.

Impacto: Comprometimento de contas mal configuradas.

Detecção: Event ID 4768 com Pre-Authentication Type 0.

Pass-the-Hash (PtH)

O que é: NTLM permite autenticação usando apenas o hash da senha, sem precisar da senha em texto claro. Atacantes extraem hashes da memória (Mimikatz) e os reutilizam.

Impacto: Movimentação lateral sem conhecer senhas.

Detecção: Event ID 4624 com Logon Type 3 e NtLmSsP, anomalias de comportamento.

Pass-the-Ticket (PtT)

O que é: Similar ao PtH, mas com tickets Kerberos (TGT ou TGS). Tickets são extraídos da memória e injetados em outra sessão.

Impacto: Impersonificação de usuários, movimentação lateral.

Detecção: Anomalias em uso de tickets, eventos Kerberos.

Golden Ticket

O que é: Com o hash do KRBTGT, atacantes podem forjar qualquer TGT (Ticket Granting Ticket), criando tickets para qualquer usuário, inclusive Domain Admin, com validade de anos.

Impacto: Persistência total no domínio, difícil de remediar.

Detecção: TGTs com lifetime anômalo, eventos de uso de TGT sem AS-REQ correspondente.

DCSync

O que é: Atacante com permissões de replicação (Replicating Directory Changes) pode solicitar ao DC os hashes de qualquer conta, simulando ser outro Domain Controller.

Impacto: Obtenção de todos os hashes do domínio, incluindo KRBTGT.

Detecção: Event ID 4662 com propriedades de replicação, origem não sendo DC.

Silver Ticket

O que é: Com o hash de uma service account, atacantes podem forjar TGS para o serviço específico, sem passar pelo KDC.

Impacto: Acesso persistente ao serviço alvo.

Detecção: Difícil - não passa pelo DC. Requer monitoramento no serviço alvo.

Hardening do Active Directory

Controles Essenciais

Senhas de service accounts: Mínimo 25+ caracteres ou usar gMSA
LAPS (Local Admin Password Solution): Senhas únicas por máquina
Desabilitar NTLM: Onde possível, forçar Kerberos
Protected Users group: Adicionar contas privilegiadas
Credential Guard: Isolar credenciais em virtualizacao
Desabilitar pré-autenticação desnecessária: Previne AS-REP Roasting
Restringir delegação: Evitar unconstrained delegation
Rotação do KRBTGT: A cada 180 dias no mínimo (2x seguidas)

Políticas de Grupo (GPO) Recomendadas

Bloquear armazenamento de credenciais em memória (WDigest)
Habilitar auditoria avançada de eventos de segurança
Restringir logon de contas privilegiadas a sistemas específicos
Configurar AppLocker/WDAC para bloquear ferramentas de ataque
Desabilitar PowerShell v2 e habilitar logging
Configurar Windows Firewall em todos os hosts

Modelo de Tiering Administrativo

O modelo de tiering é a abordagem recomendada pela Microsoft para proteger credenciais privilegiadas. Ele segmenta o ambiente em níveis (tiers) com isolamento estrito.

Estrutura de Tiers

Tier 0: Domain Controllers, AD, PKI, SCCM - joias da coroa
Tier 1: Servidores de aplicação, bancos de dados, file servers
Tier 2: Workstations, laptops, dispositivos de usuários

Regra de ouro: Credenciais de um tier NUNCA devem ser usadas em tier inferior. Admin de Tier 0 nunca loga em workstation.

Privileged Access Workstations (PAW)

Estações dedicadas e hardened para administração de recursos de Tier 0 e Tier 1. Isoladas da navegação web, email e outras atividades de alto risco. Essencial para proteger credenciais de Domain Admin.

Ferramentas de Auditoria do AD

PingCastle

Assessment rápido com score de risco, identifica vulnerabilidades e gera relatório executivo. Gratuito para uso interno.

Gratuito

BloodHound

Mapeia caminhos de ataque visualmente usando teoria de grafos. Identifica rotas para Domain Admin. Open source.

Open Source

Purple Knight

Ferramenta da Semperis com assessment profundo de segurança do AD. Verifica mais de 100 indicadores.

Gratuito

ADRecon

Coleta informações detalhadas do AD para análise. Gera relatórios em Excel/HTML. PowerShell.

Open Source

Mimikatz

Ferramenta ofensiva que extrai credenciais da memória. Use para testar suas defesas (Red Team).

Pentest

Defender for Identity

Solução Microsoft de detecção de ataques ao AD em tempo real. Cloud-based, integra com Sentinel.

Comercial

Monitoramento e Detecção

Event IDs Críticos para Monitorar

4624: Logon bem-sucedido (monitore Logon Type 3, 10)
4625: Falha de logon (brute force, password spray)
4648: Logon com credenciais explicitas
4662: Operação em objeto AD (DCSync detection)
4672: Privilégios especiais atribuídos (admin logon)
4768: TGT request (AS-REP Roasting)
4769: TGS request (Kerberoasting)
4771: Falha de pré-autenticação Kerberos
4776: NTLM authentication (Pass-the-Hash)
5136: Modificação de objeto AD
5141: Objeto AD deletado

Para threat hunting eficaz no AD, correlacione esses eventos no seu SIEM e crie alertas para padrões anômalos.

Detecções Recomendadas

Volume anômalo de requisições TGS (Kerberoasting)
Logon de Domain Admin em workstation (violação de tiering)
Modificação de grupos privilegiados
Criação de contas com privilégios
Replicação de diretório de origem não-DC (DCSync)
Uso de ferramentas conhecidas (Mimikatz, Rubeus)

Precisa de Assessment de Segurança do AD?

Oferecemos auditoria completa do Active Directory com PingCastle, BloodHound e testes manuais.

Solicitar Assessment

Perguntas Frequentes

Com que frequência devo resetar a senha do KRBTGT?

Recomendação: a cada 180 dias no mínimo. IMPORTANTE: reset deve ser feito DUAS vezes (com intervalo de 10-12h entre eles) para invalidar tickets antigos. Em caso de suspeita de comprometimento, reset imediato (2x). Isso invalida todos os Golden Tickets existentes.

O que é gMSA e por que devo usar?

Group Managed Service Accounts (gMSA) são contas de serviço gerenciadas automaticamente pelo AD. A senha (240+ caracteres) é rotacionada automaticamente a cada 30 dias sem intervenção manual. Elimina risco de Kerberoasting com senhas fracas. Use para todos os serviços que suportam.

Devo migrar para Azure AD e abandonar AD on-premises?

Azure AD (agora Entra ID) e AD on-premises servem propósitos diferentes. A maioria das organizações usa modelo híbrido. Azure AD é excelente para aplicações cloud e Zero Trust. AD on-premises ainda é necessário para muitos workloads tradicionais. Avalie caso a caso - a tendência é cloud-first, mas migração completa requer planejamento.

Inteligencia Brasil

Consultoria especializada em Segurança de Infraestrutura, Active Directory e Red Team.