Encontre caminhos de ataque no Active Directory antes de um adversário
A EtcSec executa 340 deteções nomeadas em 14 categorias de Active Directory. A cobertura foi construída em torno das falhas de controlo que surgem repetidamente em cadeias reais de compromisso: abuso de Kerberos, deriva de Tier 0, caminhos de tomada de controlo via ACL, definições GPO inseguras, exposição de trusts e escalada através de certificados ADCS.
A recolha mantém-se em leitura apenas. O ETC Collector consulta LDAP ou LDAPS, lê SYSVOL via SMB para a análise de GPO e pode acrescentar sondas de rede opt-in para superfícies sensíveis como spooler ou pilhas TLS fracas. Não é instalado qualquer agente em controladores de domínio e nenhum objeto AD é alterado.
A auditoria nomeia os findings concretos por trás do risco: PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_NEVER_EXPIRES, ADMIN_ASREP_ROASTABLE, KERBEROASTING_RISK, GOLDEN_TICKET_RISK, WEAK_ENCRYPTION_DES, bem como findings de delegação em utilizadores e computadores.
Em vez de um único bloco de contas privilegiadas, a plataforma distingue administradores obsoletos, flags adminCount órfãos, contas de serviço em grupos sensíveis, foreign security principals e lacunas em Protected Users.
ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ACL_SELF_MEMBERSHIP, WRITESPN_ABUSE e os padrões ACE relacionados surgem como findings individuais para mostrar que objeto, que trustee e porque a permissão é explorável.
O nível Pro acrescenta controlos ESC1 a ESC11, três detetores de grafo de ataque e mapeamentos CIS, NIST SP 800-53, ANSSI e DISA STIG. Isso é essencial quando a auditoria precisa de explicar caminhos de escalada e não apenas higiene.
As 14 categorias correspondem diretamente às formas reais de comprometer AD
O catálogo é amplo, mas não é decorativo. Cada categoria fecha um ponto cego específico na cadeia de ataque, desde passwords fracas e Kerberos até certificados ADCS e lacunas de monitorização.
Contas privilegiadas e Tier 0
33 deteções sobre administradores obsoletos, contas de serviço em grupos privilegiados, abuso de SID history, shadow credentials, lacunas em Protected Users e foreign security principals.
Kerberos e delegação
14 deteções sobre AS-REP roasting, Kerberoasting, delegação restrita e irrestrita, idade do krbtgt, downgrade RC4/DES e alvos de delegação desconhecidos.
Passwords e autenticação
10 deteções para armazenamento em claro, cifragem reversível, idade de password e contas onde os utilizadores não conseguem rodar a própria password.
GPO e hardening de Windows
33 deteções cobrindo passwords em SYSVOL, WDigest, Zerologon, PrintNightmare, UNC hardening, proteção LSA, firewall e abuso de privilégios.
Escalada por certificados ADCS
11 deteções cobrindo a taxonomia ESC1-ESC11: templates vulneráveis, ACL de CA, SAN permissivo, mapeamentos fracos e superfícies HTTP ou RPC suscetíveis a relay.
Permissões, trusts, monitorização, rede e conformidade
Análise ACL, fronteiras de confiança, qualidade da política de auditoria, assinatura LDAP ou SMB, segurança DNS e mapeamentos de conformidade no mesmo fluxo.
Porque as equipas de segurança usam a EtcSec para revisões AD recorrentes
Muitas ferramentas AD continuam otimizadas para um relatório HTML pontual. A EtcSec foi pensada para execução repetida, listas de remediação concretas e um modelo de recolha defensável operacionalmente.
Recolha em leitura apenas
O ETC Collector autentica-se com uma conta de diretório em leitura apenas e acesso SMB de leitura a SYSVOL. Não altera utilizadores, grupos, GPO ou objetos PKI.
Rápido o suficiente para o ritmo operacional
O domínio publicado de 546 utilizadores, 100 computadores e 154 grupos termina em 6,58 segundos com as sondas de rede ativas. Ambientes pequenos e médios podem ser reavaliados após alterações de funções ou janelas de manutenção.
Findings nomeados em vez de um número opaco
Os operadores recebem findings concretos com severidade e contexto do objeto. Isso facilita distribuir o trabalho seguinte entre IAM, Windows, PKI ou equipas aplicacionais.
Um único fluxo para standalone e SaaS
O mesmo collector pode correr localmente em modo standalone server ou ser registado como daemon para alimentar a EtcSec com histórico e orquestração multi-site.
O que uma auditoria completa de Active Directory deve explicar aos operadores
Uma landing page sobre segurança AD só é útil quando explica como os dados são recolhidos, que categorias interessam realmente e como os findings se ligam à remediação e à governação. As secções seguintes seguem o catálogo publicado e a documentação do collector.
Modelo de recolha, fontes de prova e expectativas de runtime
A auditoria de Active Directory começa com recolha LDAP paralela de utilizadores, grupos, computadores, OU, definições de domínio, relações de confiança e security descriptors. A análise de GPO lê SYSVOL por SMB para interpretar registry.pol, GptTmpl.inf e scripts referenciados. Se existirem dados Azure ou Entra configurados, estes mantêm-se em fluxo separado e não alteram o caminho de recolha AD.
O ponto operacional central é que não é necessário instalar nada num controlador de domínio. O fluxo é recolha, parsing, análise, construção de grafo e resposta. Isso torna a cadeia de prova explicável em revisões internas: é possível indicar que protocolo foi usado, que classe de objeto foi consultada e porque foi emitido um finding.
As 14 categorias e o que cada uma demonstra
| Categoria | Controlos | O que o operador consegue demonstrar |
|---|---|---|
| Password | 10 | Que a configuração das contas já expõe passwords em claro, reversíveis, antigas ou mal geridas. |
| Kerberos | 14 | Que ticketing, pre-auth, delegação ou cifragem abrem caminhos de roasting, downgrade ou impersonation. |
| Accounts | 33 | Que contas privilegiadas e de serviço derivaram para estados que aumentam persistência ou takeover. |
| Groups | 15 | Que memberships de grupos sensíveis concentram ou escondem privilégio. |
| Computers | 31 | Que postos e servidores deixam abertas superfícies para movimento lateral ou delegação explorável. |
| Advanced | 50 | Que assinatura LDAP ou SMB, direitos DCSync, quotas ou AdminSDHolder permitem ataques mais profundos. |
| Permissions | 21 | Que as ACL dão controlo suficiente para redefinir passwords, alterar SPN ou reescrever DACL. |
| ADCS | 11 | Que a infraestrutura de certificados permite abuso do tipo ESC e escalada por certificados. |
| GPO | 33 | Que a distribuição de políticas de domínio expõe passwords ou desativa proteções críticas de Windows. |
| Trusts | 7 | Que os limites de confiança não têm SID filtering, selective auth ou proteções Kerberos modernas. |
| Attack Paths | 3 | Que a análise de grafo consegue mostrar explicitamente rotas de escalada para Domain Admin. |
| Monitoring | 9 | Que a política de auditoria é suficiente para deteção e resposta a incidentes. |
| Compliance | 23 | Que os mesmos findings podem ser reutilizados como evidência para CIS, NIST, ANSSI ou DISA. |
| Network | 15 | Que LDAP, SMB, DNS e configurações de rede não continuam a expor relay ou transportes fracos. |
As famílias de deteção que realmente orientam a remediação
Exposição de credenciais e gestão fraca de passwords
A categoria Password nomeia os problemas que o helpdesk e a equipa IAM precisam de corrigir: PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_CLEARTEXT_STORAGE, UNIX_USER_PASSWORD, PASSWORD_IN_DESCRIPTION e PASSWORD_VERY_OLD.
- Distingue configuração da conta de fraqueza de política.
- Deteta descrições arriscadas e atributos Unix, não apenas flags UAC.
- Entrega listas de objetos acionáveis, não apenas um score.
Abuso de Kerberos
ADMIN_ASREP_ROASTABLE, ASREP_ROASTING_RISK, GOLDEN_TICKET_RISK, UNCONSTRAINED_DELEGATION, KERBEROASTING_RISK, KERBEROS_AES_DISABLED e DELEGATION_UNKNOWN_TARGET explicam porque o ambiente é explorável, não apenas que Kerberos está “fraco”.
- Separa os casos AS-REP privilegiados do restante parque.
- Cobre tanto downgrade de cifragem como erros de delegação.
- Torna a higiene do krbtgt visível como risco de persistência.
Deriva de Tier 0 e contas de serviço
A exposição privilegiada distribui-se por SERVICE_ACCOUNT_PRIVILEGED, SERVICE_ACCOUNT_INTERACTIVE, ADMIN_COUNT_ORPHANED, PRIVILEGED_ACCOUNT_STALE, NOT_IN_PROTECTED_USERS e FOREIGN_SECURITY_PRINCIPALS.
- Útil quando a ownership está dividida entre IAM, messaging e equipas aplicacionais.
- Ajuda a limpar privilégios residuais e não apenas a detetá-los.
- Torna visíveis grupos de operadores e built-ins muitas vezes esquecidos.
Takeover via ACL e condições DCSync
Os findings de Permissions mostram GenericAll, WriteDACL, WriteOwner, self-membership, ForceChangePassword e direitos de replicação fora das contas DC normais, com o objeto e trustee responsáveis.
- A saída serve remediação e não apenas o grafo de ataque.
- As identidades com capacidade DCSync ficam visíveis de imediato.
- WriteSPN e reset de passwords aparecem separados porque o abuso é diferente.
GPO e hardening de Windows
GPO_PASSWORD_IN_SYSVOL, HARDENED_UNC_PATHS_WEAK, WDIGEST_ENABLED, LSA_PROTECTION_DISABLED, ZEROLOGON_PATCH_ENFORCEMENT, PRINTNIGHTMARE_VULNERABLE e abuso de privilégios ligam segurança de identidade e hardening de Windows.
- Importa quando o risco AD vive na policy e não apenas nos objetos de identidade.
- Cobre exfiltração de credenciais e superfícies de execução em escala.
- Mapeia-se naturalmente para owners de postos ou servidores.
Escalada por certificados e análise de grafo
Os findings ADCS como ESC1_VULNERABLE_TEMPLATE, ESC4_VULNERABLE_TEMPLATE_ACL, ESC8_HTTP_ENROLLMENT e ESC10_WEAK_CERTIFICATE_MAPPING complementam os três findings de attack path que modelam a escalada através do grafo.
- Útil em ambientes onde a PKI já é crítica.
- Mostra onde a infraestrutura de certificados cria privilégio.
- Liga findings brutos a explicação por caminho.
A distribuição por severidade importa porque a remediação é multi-equipa
O catálogo pondera findings críticos a 10, altos a 3, médios a 1 e baixos a 0,2. Isso é útil para scoring, mas o verdadeiro resultado operacional continua a ser a distribuição: alguns temas críticos exigem contenção imediata, enquanto High e Medium definem o backlog de hardening.
Na prática, a remediação quase nunca assenta numa única equipa. IAM trata grupos privilegiados e política de passwords, engenharia Windows possui o hardening de GPO e endpoints, PKI gere o backlog ADCS e governação olha para mapeamentos de conformidade. A auditoria precisa por isso de separar findings de forma atribuível.
- Use os Critical para definir contenção imediata ou hardening urgente.
- Agrupe os High por responsável: IAM, Windows, PKI ou infraestrutura.
- Use os Medium para o backlog recorrente e a revisão trimestral.
- Mantenha os Low visíveis sem deixar que escondam os verdadeiros caminhos de privilégio.
Onde termina o collector open-source e onde a EtcSec acrescenta mais
O collector é o motor de prova. Trata da recolha, parsing, deteção, análise de grafo opcional e saída JSON. Em modo standalone server, tudo pode permanecer na sua infraestrutura com GUI local e API REST na porta 8443. Em modo daemon, o mesmo binário é registado na plataforma SaaS e faz polling de comandos a cada 30 segundos, mantendo a recolha AD local.
A EtcSec acrescenta a esta camada de recolha dashboards, trending histórico, orquestração multi-site e workflow de remediação. As equipas podem assim manter a mesma recolha local e adicionar uma camada operacional central quando isso fizer sentido.
Perguntas frequentes
O que cobre exatamente a auditoria de Active Directory?
O catálogo publicado lista 340 deteções em 14 categorias: Password (11), Kerberos (14), Accounts (34), Groups (17), Computers (33), Advanced (50), Permissions (21), ADCS (11), GPO (34), Trusts (7), Attack Paths (3), Monitoring (9), Compliance (81) e Network (15).
Esta composição importa porque cobre tanto objetos de identidade como controlos Windows em torno da identidade.
A auditoria exige privilégios elevados ou um agente nos DC?
Não. O modelo documentado assenta em LDAP ou LDAPS em leitura apenas e leitura SMB de SYSVOL. Nenhum agente é instalado nos controladores de domínio e o collector não altera o diretório.
Quanto tempo demora a obter um relatório utilizável?
O benchmark publicado num domínio com 546 utilizadores, 100 computadores e 154 grupos termina em 6,58 segundos com as sondas de rede ativas. Isso permite revisões recorrentes após alterações importantes e não apenas auditorias anuais.
Como se compara a EtcSec com PingCastle em revisões AD?
A documentação comparativa mostra o ETC Collector com 59 regras PingCastle em 61 e 876 pontos de risco em 896, acrescentando análise ADCS ESC, grafos de ataque, cobertura Entra ID e mapeamentos de conformidade que PingCastle não traz.
Páginas relacionadas com segurança de identidade
Veja como o mesmo collector audita Conditional Access, MFA, PIM, permissões de aplicações e governação guest em Entra ID.
Inspecione as deteções nomeadas e as categorias que alimentam as páginas AD e Entra.
Compreenda o modo standalone, o daemon, a GUI local, a API REST e a pegada open-source.
Compare o collector open-source com a camada SaaS para dashboards, scheduling e acompanhamento.
Inicie a sua auditoria de Active Directory
Implemente o collector, execute a auditoria com credenciais em leitura apenas e obtenha um conjunto de findings que as equipas de IAM, Windows, PKI e governação consigam tratar de forma concreta.