Active Directory - Mitigação e Detecção

Objetivo

Converter achados ofensivos em controles defensivos sustentáveis para identidades, objetos AD, ADCS, GPOs e caminhos de administração privilegiada.

Checklist de Hardening

1. Aplicar modelo tiered admin e reduzir privilégios permanentes.
2. Revisar delegações/ACL em OUs, grupos, GPOs e objetos críticos.
3. Endurecer contas de serviço, SPNs e rotação de credenciais/chaves.
4. Revisar ADCS, templates, enrollment, manager approval e permissões sensíveis.
5. Restringir trusts e segmentar caminhos administrativos.
6. Usar Windows LAPS, Protected Users e estações administrativas dedicadas quando aplicável.

Checklist de Detecção

1. Alertar alterações em grupos privilegiados, GPOs críticas e ACLs sensíveis.
2. Correlacionar logons administrativos fora de baseline por origem, destino e horário.
3. Monitorar mudanças de ACL, trusts, templates ADCS e atributos de delegação.
4. Detectar uso anômalo de Kerberos/NTLM, SPNs e certificados.
5. Aplicar reteste periódico em vetores corrigidos.

Cobertura ATT&CK Prioritária

• T1003.006 DCSync: replicação anômala e direitos DS-Replication-Get-Changes.
• T1558.003 Kerberoasting: requisições TGS incomuns para SPNs sensíveis.
• T1484.001 Group Policy Modification: alteração de GPO, link, owner e permissão.
• T1098 Account Manipulation: mudança em grupos, atributos e permissões de contas críticas.
• T1550 Use Alternate Authentication Material: uso de hash, ticket ou certificado fora do fluxo esperado.

Comandos de Verificação

# Contexto e auditoria local/de domínio
whoami /groups
auditpol /get /category:*

# Grupos privilegiados
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain

# Trust e objetos AD
Get-ADTrust -Filter *
Get-ADOrganizationalUnit -Filter * | Select-Object -First 30
Get-ADObject -LDAPFilter "(adminCount=1)" -Properties nTSecurityDescriptor
certutil -config - -ping

# Eventos recentes
wevtutil qe Security /c:40 /f:text

Matriz de Reteste

• Grupo privilegiado: repetir consulta de membership e confirmar alerta de alteração.
• ACL/delegação: repetir caminho BloodHound e confirmar remoção da aresta explorável.
• ADCS: repetir enumeração de templates vulneráveis e confirmar que enrollment indevido falha.
• Movimento lateral: repetir autenticação a partir da mesma origem e confirmar bloqueio ou alerta.
• GPO: confirmar owner, aprovação, auditoria e ausência de escrita por contas fora do modelo administrativo.

Critério de Fechamento

• Achado com owner definido, prazo e evidência de correção.
• Risco residual documentado quando houver exceção operacional.
• Reteste comprova bloqueio do vetor e detecção funcional.
• O lab AD Pentest Labs reflete os principais cenários corrigidos para estudo e regressão controlada.

Referências de Defesa e Purple Team

• Splunk Attack Range: ambiente instrumentado para simular técnicas e validar detecções em Windows/AD.
• DetectionLab: referência de laboratório defensivo com domínio Windows, Splunk, Sysmon e auditoria reforçada.
• PurpleSharp: simulação ATT&CK em AD para validar cobertura de execução, credential access, lateral movement e privilege escalation.
• Microsoft - Windows LAPS: controle oficial contra reutilização de senha local e movimento lateral por administrador compartilhado.
• Black Hills - AD Early Warning: exemplo prático de detecção para Kerberos e password spraying.