Active Directory - Mitigação e Detecção

Objetivo

Converter achados ofensivos em controles defensivos sustentáveis para identidades, objetos AD e caminhos de administração privilegiada.

Checklist de Hardening

1. Aplicar modelo tiered admin e reduzir privilégios permanentes.
2. Revisar delegações/ACL em OUs, grupos e objetos críticos.
3. Endurecer contas de serviço e rotação de credenciais/chaves.
4. Restringir trusts e segmentar caminhos administrativos.

Checklist de Detecção

1. Alertar alterações em grupos privilegiados e GPOs críticas.
2. Correlacionar logons administrativos fora de baseline.
3. Monitorar mudanças de ACL em objetos sensíveis.
4. Aplicar reteste periódico em vetores corrigidos.

Comandos de Verificação

# Contexto e auditoria local/de domínio
whoami /groups
auditpol /get /category:*

# Grupos privilegiados
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain

# Trust e objetos AD
Get-ADTrust -Filter *
Get-ADOrganizationalUnit -Filter * | Select-Object -First 30

# Eventos recentes
wevtutil qe Security /c:40 /f:text

Critério de Fechamento

• Achado com owner definido, prazo e evidência de correção.
• Risco residual documentado quando houver exceção operacional.
• Reteste comprova bloqueio do vetor e detecção funcional.