01Lavori02Ricerca03Chi sono04Blog05Contatti
← Blog
pentestingtoolssme

Active Directory Hardening: 15 quick win per la tua sicurezza

Active Directory rimane il bersaglio numero uno in ogni engagement di penetration testing. Nella mia esperienza, compromettere un dominio AD parte quasi sempre dagli stessi problemi: configurazioni di default mai cambiate, deleghe eccessive, e password policy inadeguate. La buona notizia e che una checklist di Active Directory hardening ben implementata puo eliminare l'80% dei vettori di attacco piu comuni. Ecco i 15 quick win che implemento sempre.

Identita e accesso (i primi 5)

  • Disabilita LLMNR e NBT-NS - sono usati per attacchi di relay delle credenziali (Responder/ntlmrelayx)
  • Abilita SMB signing su tutti i sistemi - previene relay attack su SMB
  • Implementa LAPS (Local Administrator Password Solution) - ogni macchina ha una password admin locale unica
  • Riduci i membri di Domain Admins al minimo assoluto - ogni account DA e un single point of failure
  • Implementa tiered administration model - gli admin del Tier 0 (DC) non usano le stesse credenziali del Tier 1 (server) o Tier 2 (workstation)

Monitoring e detection (i secondi 5)

  • Abilita Advanced Audit Policy - log di autenticazione, accesso a oggetti, modifiche policy
  • Monitora gli eventi critici: 4625 (login falliti), 4672 (assegnazione privilegi speciali), 4720 (creazione account), 4732 (aggiunta a gruppo privilegiato)
  • Implementa Honeytokens in AD - account esca che, se usati, indicano compromissione
  • Configura alert per Kerberoasting (TGS request anomale) e AS-REP Roasting
  • Monitora le modifiche ai GPO critici - un attaccante che modifica un GPO puo compromettere l'intero dominio

Hardening avanzato (gli ultimi 5)

  • Disabilita la delegazione unconstrained dove non necessaria
  • Implementa Protected Users security group per gli account privilegiati
  • Configura Credential Guard sulle workstation Windows 10/11
  • Blocca l'uso di protocolli legacy (NTLMv1, SMBv1, WDigest)
  • Esegui regolarmente BloodHound per visualizzare i path di attacco nel tuo dominio

Questi 15 interventi non richiedono investimenti significativi - sono configurazioni. Ma l'impatto sulla sicurezza e enorme. In un tipico engagement, implementare anche solo i primi 5 rende significativamente piu difficile la compromissione del dominio.

Hai bisogno di un parere esperto?

Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.

Parliamone
← PrecedenteQuanto costa un penetration test? Una guida realisticaSuccessivo →Il pattern di credential leak di cui nessuno parla