🏢Active DirectoryIdentityPrivileged AccessAttack Paths

Auditar a segurança do Active Directory: checklist prática

Uma checklist prática de auditoria de segurança do Active Directory cobrindo grupos privilegiados, Kerberos, delegação, ADCS, política de senha e prioridades de remediação.

ES
EtcSec Security Team
12 min read
Auditar a segurança do Active Directory: checklist prática

Auditar a segurança do Active Directory deve se apoiar em evidência de produção, ownership clara e um processo de revisão que sobreviva à próxima mudança de infraestrutura.

Uma auditoria de segurança do Active Directory deve fazer mais do que listar más configurações. Ela deve ajudar sua equipe a responder três perguntas práticas:

  1. Quais achados expõem Tier 0 ou identidades privilegiadas?
  2. Quais caminhos podem ser abusados de forma realista em seguida?
  3. Quais medidas de remediação devem ser tratadas primeiro?

Se você quer o caminho mais curto, comece por um workflow dedicado de Active Directory security audit e execute o coletor localmente por meio do ETC Collector. Se preferir primeiro a checklist completa, use o guia abaixo.

1. Comece pelas identidades privilegiadas e pelo Tier 0

Muitos programas de auditoria AD perdem tempo porque começam pela higiene geral em vez da exposição privilegiada. A primeira passada deve focar em:

  • Domain Admins, Enterprise Admins, Schema Admins e outros grupos privilegiados nativos
  • caminhos de administração delegada
  • contas com direitos de replicação
  • contas privilegiadas com senhas antigas ou proteções fracas
  • anomalias de adminCount e proteções órfãs

Nesta etapa, o objetivo é entender quais identidades podem alterar limites de confiança do domínio, e não apenas quais configurações parecem desorganizadas.

2. Revise Kerberos e os caminhos de abuso de delegação

Fraquezas em Kerberos continuam impulsionando muitos achados AD de alto impacto. Uma auditoria prática deve procurar:

  • contas kerberoastable
  • contas vulneráveis a AS-REP Roasting
  • delegação irrestrita
  • delegação restrita com alvos arriscados
  • abuso de resource-based constrained delegation
  • contas privilegiadas com SPN
  • contas que ainda dependem de criptografia fraca

Essas verificações importam porque se conectam diretamente a roubo de credenciais, movimento lateral e escalada de privilégios.

3. Verifique política de senha e higiene de contas

A revisão de política de senha continua útil, mas deve ser ligada à exposição e ao impacto de remediação. Foque em:

  • password never expires
  • password not required
  • reversible encryption
  • contas privilegiadas obsoletas
  • contas desabilitadas dentro de grupos administrativos
  • cobertura fraca de fine-grained password policies

Se seu ambiente ainda possui exceções, documente se elas são justificadas, temporárias e atribuídas a um owner claro.

4. Audite ADCS e os caminhos de abuso de certificados

ADCS costuma ser ignorado em revisões internas, embora possa criar caminhos diretos de escalada. Sua auditoria deve cobrir:

  • templates de certificado vulneráveis
  • ACL perigosas em templates
  • abuso de enrollment agent
  • certificate mapping fraco
  • flags de CA arriscadas e configurações RPC fracas

Se seu processo atual não avalia caminhos de abuso de certificados no estilo ESC, a auditoria está incompleta para uma defesa AD moderna.

5. Inspecione ACLs, direitos de replicação e attack paths

Uma revisão bruta de ACL não basta. Você precisa entender quais permissões podem ser encadeadas em abuso significativo. Uma auditoria forte deve destacar:

  • abuso de GenericAll, WriteDacl, WriteOwner e direitos estendidos
  • direitos de replicação e principals capazes de DCSync
  • permissões perigosas sobre OUs, GPOs e AdminSDHolder
  • attack paths que alcançam ativos de alcance de domínio em um ou dois saltos

É aqui que uma análise profunda se diferencia de uma checagem básica de postura.

6. Inclua GPO, logging e hardening

Group Policy e o hardening do plano de controle continuam trazendo ganhos rápidos valiosos. Verifique:

  • política de senha fraca na Default Domain Policy
  • ausência de LDAP signing ou channel binding
  • falta de PowerShell logging
  • UNC path hardening insuficiente
  • scripts de logon perigosos
  • exposição fraca de SMB e TLS em domain controllers

Esses achados podem parecer operacionais, mas são exatamente os controles que mudam o custo do ataque na prática.

7. Priorize a remediação pelo impacto sobre a identidade

Não remedie em uma fila plana. Agrupe a saída por impacto:

  • crítico: exposição privilegiada direta, atalhos de attack path, abuso de certificados, capacidade DCSync
  • alto: abuso de delegação, contas privilegiadas roastable, ACLs de risco, legacy auth ou protocolos fracos
  • médio: deriva de higiene e política que aumenta a superfície de ataque
  • baixo: limpeza informativa com valor limitado de exploração

Se você precisa de um workflow alinhado com esse modelo, a página Active Directory security audit mostra como estruturar a revisão, e EtcSec pricing explica quando a camada SaaS de acompanhamento faz sentido sobre o ETC Collector.

8. Repita a revisão após mudanças

Uma auditoria AD não deve virar um artefato anual. Repita os mesmos checks após:

  • mudanças de função
  • atualizações de GPO
  • alterações em certificate services
  • mudanças na administração delegada
  • fusões, novos sites ou novos domínios

É também por isso que equipes começam a avaliar uma PingCastle alternative: o problema real muitas vezes não é o primeiro relatório, mas a falta de um ciclo de revisão repetível depois.

Conclusão

Uma auditoria de segurança AD eficaz é uma revisão repetível de exposição privilegiada, e não apenas um relatório de saúde. Comece por Tier 0, Kerberos, delegação, ADCS e caminhos de abuso de ACL. Depois priorize a remediação com base no que realmente muda o alcance de um atacante.

Se você quer um workflow dedicado, comece pela página Active Directory security audit ou veja como o ETC Collector executa a coleta técnica localmente.

9. Monte um pacote de evidências para cada ciclo de revisão

Uma auditoria de AD útil fica mais rápida e consistente quando a equipe define um pacote de evidências repetível. Em vez de executar verificações ad hoc sempre que um administrador muda, vale definir de antemão quais exports, capturas e snapshots do diretório serão coletados em cada revisão. Isso facilita comparar um ciclo com o próximo, sustentar prioridades de remediação e explicar por que um achado ainda está aberto.

Área de revisãoEvidência a coletarPor que isso importa
Acesso privilegiadoMembros de Domain Admins, Enterprise Admins, grupos operadores e grupos de administração delegadaMostra os caminhos mais curtos até o Tier 0 e evidencia acessos amplos demais
Kerberos e delegaçãoContas com SPN, contas AS-REP roastable, delegação irrestrita e delegações restritas arriscadasLiga a configuração fraca a roubo de credenciais e movimento lateral
Replicação e abuso de ACLPrincipais com capacidade de DCSync e ACLs perigosas em OUs, GPOs, AdminSDHolder e grupos críticosExpõe caminhos de abuso que nem sempre parecem privilegiados à primeira vista
ADCSCAs ativas, templates publicados, permissões arriscadas em templates e exposição de enrollment agentsCobre escaladas por certificados que muitas equipes internas deixam passar
Hardening e loggingLDAP signing, channel binding, logging de PowerShell, configurações SMB e exposição de scriptsConfirma se controles compensatórios realmente reduzem a liberdade do atacante

O objetivo desse pacote de evidências não é burocracia, e sim consistência. Quando os mesmos dados são exportados em cada ciclo, a revisão se torna comparável. A equipe consegue mostrar se um caminho privilegiado é novo, continua igual ou foi parcialmente remediado, em vez de discutir de memória. Também fica mais fácil separar problemas que exigem mudança de arquitetura daqueles que precisam apenas de ownership e limpeza.

Uma convenção simples de nomes também ajuda. Salve os exports por data de revisão, domínio e área de controle para que o próximo analista consiga comparar resultados rapidamente. Se várias equipes participarem, defina quem coleta, quem valida os achados e quem aprova exceções. Assim a auditoria vira um processo operacional repetível, e não um exercício técnico isolado.

Auditar a segurança do Active Directory: validação antes do fechamento

Uma revisão sólida de Auditar a segurança do Active Directory deve terminar com evidência de produção, não com a suposição de que o caminho arriscado desapareceu. Antes de fechar o achado, revalide as identidades privilegiadas, os direitos delegados e os acessos herdados, o escopo real da política, ACL, grupo ou GPO que mudou e a evidência de logs ou do collector ligada ao achado. Confirme que o estado mais seguro se aplica ao escopo que realmente importa: a OU de produção, a atribuição efetiva de função, o caminho de aplicação ou o caminho de confiança e delegação que um atacante realmente exploraria. Documente o owner técnico, a dependência de negócio e a condição de rollback para que a próxima revisão consiga avaliar se o estado mais seguro foi mantido.

Use uma checklist curta de fechamento:

  • verificar que o estado arriscado desapareceu do ponto de vista do atacante, e não apenas em um screenshot administrativo
  • guardar um export antes/depois ou uma amostra de log que prove que o escopo afetado mudou
  • documentar o owner e a decisão de exceção se o controle não puder ser aplicado integralmente

Para exposição adjacente, compare o resultado com Monitoramento de Seguranca AD: Os Eventos que Importam, Azure Identity Protection: Politicas de Risco, Conformidade AD e Azure: NIS2, ISO 27001, CIS, e Contas Obsoletas e Superprivilegiadas no AD. A mesma lacuna de controle costuma reaparecer em caminhos vizinhos de identidade, falhas de logging ou permissões delegadas excessivas; por isso a validação final importa tanto.

Auditar a segurança do Active Directory: evidências para manter no próximo ciclo

A próxima pessoa que revisar o tema não deveria reconstruir o caso de memória. Guarde a evidência que justificou o achado original, a prova de que a mudança foi aplicada e a nota que explica por que o estado final é aceitável. Para este tema, o conjunto de evidências mais útil costuma combinar a exportação atual das identidades, grupos ou caminhos delegados afetados, a prova antes/depois da configuração ou controle alterado e o ticket, o owner e a nota de exceção que explicam o estado final. Esse pacote compacto acelera muito as revisões trimestrais ou pós-mudança e ajuda a explicar se o problema foi removido, reduzido ou aceito formalmente.

ManterPor que importa
Export de identidades, grupos ou caminhosMostra o escopo afetado e os objetos que mudaram
Prova de configuração ou permissõesProva que o controle está aplicado em produção
Owner, ticket e registro de exceçãoPreserva a ownership e a justificativa de negócio

Se uma mudança posterior de administração, política ou aplicação reabrir o caminho, esse histórico também facilita provar exatamente o que derivou. É isso que transforma Auditar a segurança do Active Directory em um processo de assurance repetível, em vez de uma checagem isolada.

FAQ

Com que frequência a auditoria de segurança de AD deve rodar?

A maioria das equipes internas deveria repetir a revisão principal pelo menos trimestralmente e sempre depois de mudanças importantes de identidade. Isso inclui fusões, reestruturações de domínio, mudanças em serviços de certificados, novos modelos de administração delegada ou grandes revisões de GPO. Se o ambiente muda rápido ou vários administradores atuam nele, checks mensais sobre exposição Tier 0 e grupos privilegiados costumam fazer sentido.

O que deve ser corrigido primeiro depois da auditoria?

Comece pelos achados que dão ao atacante acesso privilegiado direto ou quase direto. Excesso de membros em grupos privilegiados, contas com capacidade de DCSync, delegação irrestrita, templates de certificados perigosos e attack paths curtos devem vir antes da higiene geral. Problemas de idade de senha, contas obsoletas e falhas de logging continuam importantes, mas raramente merecem a primeira prioridade quando já existe um caminho claro de escalada no domínio.

Quem deve ser o dono da remediação?

Normalmente a equipe de segurança deve liderar a priorização e validar os resultados, mas o owner da remediação precisa ser o time que realmente consegue alterar a configuração de risco. Pode ser o time de AD, de endpoint management, os owners de PKI ou equipes de aplicação dependentes de contas de serviço. A auditoria fica muito mais útil quando cada achado relevante tem um owner nomeado, uma data-alvo e uma decisão explícita caso o risco não possa ser removido imediatamente.

ADCS deve estar sempre no escopo?

Se ADCS existe em qualquer lugar da floresta, deve estar no escopo. Caminhos de escalada baseados em certificados podem enfraquecer um trabalho que parecia sólido em grupos privilegiados, política de senha e hardening de delegação. Muitas equipes internas deixam ADCS para uma revisão separada de PKI, mas essa divisão cria pontos cegos. Uma auditoria de AD fica mais forte quando trata templates, direitos de enrollment e configurações de CA como parte da mesma exposição privilegiada.

Quais evidências devem ser mantidas entre ciclos de auditoria?

Guarde evidências suficientes para mostrar o que mudou, o que continua aberto e o que foi aceito como exceção. Na prática isso costuma significar os conjuntos exportados usados na revisão, a lista final de achados, o tracker de remediação e o registro de exceções com owners e datas de revisão. Guardar apenas o relatório final não basta, porque torna a próxima revisão mais lenta e enfraquece a prova de progresso.

Quando vale combinar a auditoria de AD com uma revisão de Entra ID?

Se administradores privilegiados também usam serviços cloud, se a sincronização híbrida ou a gestão de aplicações impacta identidades críticas, ou se os processos de recuperação dependem de funções cloud, a revisão de AD deve ser combinada com uma revisão de Entra. Muitas equipes descobrem que a postura on-prem parece mais limpa do que o plano geral de controle de identidade. Combinar a visão de Active Directory security audit com a visão de Microsoft Entra ID security audit ajuda a evitar esses pontos cegos.

Leituras Relacionadas

Vale a pena revisar este tema junto com Comparação de ferramentas de auditoria AD, Caminhos de Ataque AD: Ma Configuracoes em Cadeia, Monitoramento de Seguranca AD: Os Eventos que Importam, Senhas no AD: As Ma Configuracoes que os Atacantes Adoram e Conformidade AD e Azure: NIS2, ISO 27001, CIS. Esses artigos mostram como as mesmas fraquezas de identidade e permissoes costumam se encadear em uma avaliacao real.

Essas referencias internas ajudam a avaliar o caminho de risco completo e nao apenas um achado isolado.

🏢 Active DirectoryIdentityPrivileged AccessAttack Paths
Auditar a segurança do Active Directory | EtcSec