🏢Active DirectoryIdentityPrivileged AccessAttack Paths

Como auditar a segurança do Active Directory: checklist prática para equipes internas

Uma checklist prática de auditoria de segurança do Active Directory cobrindo grupos privilegiados, Kerberos, delegação, ADCS, política de senha e prioridades de remediação.

ES
EtcSec Security Team
5 min read
Como auditar a segurança do Active Directory: checklist prática para equipes internas

Uma auditoria de segurança do Active Directory deve fazer mais do que listar más configurações. Ela deve ajudar sua equipe a responder três perguntas práticas:

  1. Quais achados expõem Tier 0 ou identidades privilegiadas?
  2. Quais caminhos podem ser abusados de forma realista em seguida?
  3. Quais medidas de remediação devem ser tratadas primeiro?

Se você quer o caminho mais curto, comece por um workflow dedicado de Active Directory security audit e execute o coletor localmente por meio do ETC Collector. Se preferir primeiro a checklist completa, use o guia abaixo.

1. Comece pelas identidades privilegiadas e pelo Tier 0

Muitos programas de auditoria AD perdem tempo porque começam pela higiene geral em vez da exposição privilegiada. A primeira passada deve focar em:

  • Domain Admins, Enterprise Admins, Schema Admins e outros grupos privilegiados nativos
  • caminhos de administração delegada
  • contas com direitos de replicação
  • contas privilegiadas com senhas antigas ou proteções fracas
  • anomalias de adminCount e proteções órfãs

Nesta etapa, o objetivo é entender quais identidades podem alterar limites de confiança do domínio, e não apenas quais configurações parecem desorganizadas.

2. Revise Kerberos e os caminhos de abuso de delegação

Fraquezas em Kerberos continuam impulsionando muitos achados AD de alto impacto. Uma auditoria prática deve procurar:

  • contas kerberoastable
  • contas vulneráveis a AS-REP Roasting
  • delegação irrestrita
  • delegação restrita com alvos arriscados
  • abuso de resource-based constrained delegation
  • contas privilegiadas com SPN
  • contas que ainda dependem de criptografia fraca

Essas verificações importam porque se conectam diretamente a roubo de credenciais, movimento lateral e escalada de privilégios.

3. Verifique política de senha e higiene de contas

A revisão de política de senha continua útil, mas deve ser ligada à exposição e ao impacto de remediação. Foque em:

  • password never expires
  • password not required
  • reversible encryption
  • contas privilegiadas obsoletas
  • contas desabilitadas dentro de grupos administrativos
  • cobertura fraca de fine-grained password policies

Se seu ambiente ainda possui exceções, documente se elas são justificadas, temporárias e atribuídas a um owner claro.

4. Audite ADCS e os caminhos de abuso de certificados

ADCS costuma ser ignorado em revisões internas, embora possa criar caminhos diretos de escalada. Sua auditoria deve cobrir:

  • templates de certificado vulneráveis
  • ACL perigosas em templates
  • abuso de enrollment agent
  • certificate mapping fraco
  • flags de CA arriscadas e configurações RPC fracas

Se seu processo atual não avalia caminhos de abuso de certificados no estilo ESC, a auditoria está incompleta para uma defesa AD moderna.

5. Inspecione ACLs, direitos de replicação e attack paths

Uma revisão bruta de ACL não basta. Você precisa entender quais permissões podem ser encadeadas em abuso significativo. Uma auditoria forte deve destacar:

  • abuso de GenericAll, WriteDacl, WriteOwner e direitos estendidos
  • direitos de replicação e principals capazes de DCSync
  • permissões perigosas sobre OUs, GPOs e AdminSDHolder
  • attack paths que alcançam ativos de alcance de domínio em um ou dois saltos

É aqui que uma análise profunda se diferencia de uma checagem básica de postura.

6. Inclua GPO, logging e hardening

Group Policy e o hardening do plano de controle continuam trazendo ganhos rápidos valiosos. Verifique:

  • política de senha fraca na Default Domain Policy
  • ausência de LDAP signing ou channel binding
  • falta de PowerShell logging
  • UNC path hardening insuficiente
  • scripts de logon perigosos
  • exposição fraca de SMB e TLS em domain controllers

Esses achados podem parecer operacionais, mas são exatamente os controles que mudam o custo do ataque na prática.

7. Priorize a remediação pelo impacto sobre a identidade

Não remedie em uma fila plana. Agrupe a saída por impacto:

  • crítico: exposição privilegiada direta, atalhos de attack path, abuso de certificados, capacidade DCSync
  • alto: abuso de delegação, contas privilegiadas roastable, ACLs de risco, legacy auth ou protocolos fracos
  • médio: deriva de higiene e política que aumenta a superfície de ataque
  • baixo: limpeza informativa com valor limitado de exploração

Se você precisa de um workflow alinhado com esse modelo, a página Active Directory security audit mostra como estruturar a revisão, e EtcSec pricing explica quando a camada SaaS de acompanhamento faz sentido sobre o ETC Collector.

8. Repita a revisão após mudanças

Uma auditoria AD não deve virar um artefato anual. Repita os mesmos checks após:

  • mudanças de função
  • atualizações de GPO
  • alterações em certificate services
  • mudanças na administração delegada
  • fusões, novos sites ou novos domínios

É também por isso que equipes começam a avaliar uma PingCastle alternative: o problema real muitas vezes não é o primeiro relatório, mas a falta de um ciclo de revisão repetível depois.

Conclusão

Uma auditoria de segurança AD eficaz é uma revisão repetível de exposição privilegiada, e não apenas um relatório de saúde. Comece por Tier 0, Kerberos, delegação, ADCS e caminhos de abuso de ACL. Depois priorize a remediação com base no que realmente muda o alcance de um atacante.

Se você quer um workflow dedicado, comece pela página Active Directory security audit ou veja como o ETC Collector executa a coleta técnica localmente.

🏢 Active DirectoryIdentityPrivileged AccessAttack Paths
EtcSec

© 2026 EtcSec. All rights reserved.

78, Avenue des Champs-Élysées, Bureau 326, 75008 Paris

Auditar a segurança do Active Directory | EtcSec — EtcSec Blog | EtcSec