O que E a Seguranca de Senhas no Active Directory?
A seguranca de senhas no Active Directory abrange as politicas, configuracoes e ajustes de contas que regem como as credenciais sao criadas, armazenadas e validadas no dominio. Quando esses controles estao mal configurados, tornam-se pontos de entrada confiaveis para atacantes — sem exploits, sem zero-days, apenas uma senha fraca ou uma credencial em texto claro deixada em um campo de descricao.
As ma configuracoes de senhas sao particularmente perigosas porque sao silenciosas. Nenhum alerta e disparado quando uma senha nunca expira. Nenhum log e criado quando o WDigest esta habilitado.
Como Funciona
O Active Directory aplica controles de senhas atraves de dois mecanismos: a Politica de Senha do Dominio Padrao e as Fine-Grained Password Policies (FGPP).
A Cadeia de Ataque
Passo 1 - Enumerar Contas Fracas
# Contas com senhas que nunca expiram
Get-ADUser -Filter {PasswordNeverExpires -eq $true} -Properties PasswordNeverExpires, PasswordLastSet |
Select-Object SamAccountName, PasswordLastSet | Sort-Object PasswordLastSet
# Contas sem senha obrigatoria
Get-ADUser -Filter {PasswordNotRequired -eq $true} | Select-Object SamAccountName
# Contas com senha na descricao
Get-ADUser -Filter * -Properties Description |
Where-Object {$_.Description -match "pass|pwd|senha|chave"} |
Select-Object SamAccountName, Description
Passo 2 - Verificar Exposicao a Protocolos Legacy
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LmCompatibilityLevel
Passo 3 - Coletar e Crackear
sekurlsa::wdigest
hashcat -m 1000 ntlm_hashes.txt /usr/share/wordlists/rockyou.txt
Deteccao
| Event ID | Fonte | O que Procurar |
|---|---|---|
| 4723 | DC - Security | Tentativa de alteracao de senha |
| 4738 | DC - Security | Conta modificada — flag PasswordNeverExpires alterado |
| 4771 | DC - Security | Pre-auth Kerberos falhou — pode indicar spray |
event.code: "4624" AND winlog.event_data.LmPackageName: "NTLM V1"
Remediacao
💡 Acao Rapida: Audite todas as contas com
PasswordNeverExpiresePasswordNotRequiredhoje.
# Politica forte de senhas
Set-ADDefaultDomainPasswordPolicy -Identity corp.local `
-MinPasswordLength 14 -ComplexityEnabled $true `
-MaxPasswordAge (New-TimeSpan -Days 90) -PasswordHistoryCount 24
# Corrigir senhas que nunca expiram
Get-ADUser -Filter {PasswordNeverExpires -eq $true -and Enabled -eq $true} |
Set-ADUser -PasswordNeverExpires $false
# Desabilitar WDigest
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" `
-Name UseLogonCredential -Value 0
# Forzar apenas NTLMv2
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
-Name LmCompatibilityLevel -Value 5
Como o EtcSec Detecta Isso
PASSWORD_NEVER_EXPIRES, PASSWORD_POLICY_WEAK, PASSWORD_NOT_REQUIRED, PASSWORD_IN_DESCRIPTION, WDIGEST_ENABLED e NTLMV1_ALLOWED identificam todas as categorias de ma configuracao de senhas automaticamente.
ℹ️ Nota: O EtcSec verifica tudo isso automaticamente em cada auditoria AD. Execute uma auditoria gratuita.
Leituras Relacionadas
Este tema fica mais claro quando voce o compara com Kerberoasting: Como os Atacantes Crackiam Senhas de Contas de Servico, Contas Obsoletas e Superprivilegiadas: O Risco Oculto no Seu Active Directory e Monitoramento de Seguranca AD: Os Eventos que Importam. Esses artigos cobrem os caminhos adjacentes, as hipoteses de privilegio e as falhas de controle que costumam aparecer juntas em uma avaliacao real.
- Kerberoasting: Como os Atacantes Crackiam Senhas de Contas de Servico
- Contas Obsoletas e Superprivilegiadas: O Risco Oculto no Seu Active Directory
- Monitoramento de Seguranca AD: Os Eventos que Importam
Essa revisao cruzada ajuda a verificar se voce esta corrigindo uma falha isolada ou uma cadeia inteira de exposicao em identidade.
Prioridades de Revisao
Senhas no AD: As Ma Configuracoes que os Atacantes Adoram deve ser tratado como uma exposicao real dentro de seu ambiente Active Directory, e nao como uma configuracao isolada. O primeiro passo e definir o perimetro de revisao: quais grupos privilegiados, contas de servico, ACLs, links de GPO, trusts, delegacoes, templates de certificado e estacoes admin estao envolvidos, que dependencias de negocio existem, que privilegios ficam expostos e que excecoes de emergencia se acumularam com o tempo. Esse trabalho evita uma remediacao superficial, porque o sintoma tecnico costuma ser menor que o raio operacional de impacto. Quando o time documenta o caminho completo entre configuracao, privilegio e uso real, consegue priorizar mudancas que reduzem risco sem quebrar acessos legitimos nem travar a operacao.
Controles Adjacentes a Revisar
Quando um atacante entra em seu ambiente Active Directory, quase nunca para no primeiro ponto fraco. Em torno de Senhas no AD: As Ma Configuracoes que os Atacantes Adoram, ele normalmente tenta encadear o acesso com contas privilegiadas obsoletas, aninhamento perigoso, delegacao excessiva, politicas de senha fracas e abuso de ACL herdada. Por isso a defesa precisa revisar nao apenas a fraqueza principal, mas tambem cada dependencia vizinha que possa transformar acesso inicial em persistencia ou escalada. E preciso deixar claro quais identidades, roles, permissoes e suposicoes de confianca ainda podem ser reutilizadas. Se a correcao fecha um objeto, mas deixa caminhos adjacentes abertos, o risco real pouco muda. Uma boa analise de encadeamento e o que transforma este tema em hardening de verdade.
Evidencias e telemetria a revisar
Uma resposta madura para Senhas no AD: As Ma Configuracoes que os Atacantes Adoram depende de evidencias que engenharia e deteccao possam revisar juntas. Colete Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, mudancas em SYSVOL e atividade de certificados, compare mudancas recentes com janelas de manutencao esperadas e isole contas ou objetos cujo comportamento nao tenha justificativa clara de negocio. Essas evidencias devem responder a tres perguntas: quando a exposicao apareceu, quem ainda consegue usá-la e se existem variantes parecidas em outra parte de seu ambiente Active Directory. Revisar telemetria tambem ajuda a separar divida tecnica antiga de abuso ativo ou de controles afrouxados recentemente. Essa distincao muda a prioridade, a comunicacao e a ordem correta da remediacao.
Fraquezas vizinhas que merecem revisao
Poucos ambientes contem Senhas no AD: As Ma Configuracoes que os Atacantes Adoram de forma isolada. Na pratica, a mesma zona do tenant ou do diretorio costuma trazer tambem contas privilegiadas obsoletas, aninhamento perigoso, delegacao excessiva, politicas de senha fracas e abuso de ACL herdada, e sao essas fraquezas vizinhas que definem se a exposicao fica apenas feia ou se vira um caminho critico. Revise owners compartilhados, permissoes herdadas, excecoes duplicadas e atalhos administrativos que nunca foram removidos. Se o mesmo padrao de risco aparece em varios objetos, normalmente existe um problema de processo e nao apenas um erro tecnico. Essa visao mais ampla aumenta a chance de eliminar o caminho inteiro, e nao apenas uma peca visivel dele.
Ordem de remediacao que reduz risco rapido
Para Senhas no AD: As Ma Configuracoes que os Atacantes Adoram, a remediacao deve seguir uma ordem que derrube risco antes de buscar perfeicao. Primeiro feche os caminhos com maior valor de escalada, depois proteja as identidades ou objetos mais sensiveis e so entao limpe os gaps secundarios de hygiene. Use tiering, limpeza de delegacoes, revisao de ACLs, higiene de contas de servico, revisao de permissoes GPO e hardening ADCS como conjunto de controles alvo. Cada mudanca precisa ter owner, nota de rollback e validacao clara. Essa disciplina evita que o programa morra depois do primeiro ganho tecnico. Se uma reformulacao completa nao e viavel agora, documente controles intermediarios e planeje o trabalho estrutural para o proximo revisao semanal de privilegios e validacao mensal de controles.
Validacao depois de cada mudanca
Depois de qualquer ajuste relacionado a Senhas no AD: As Ma Configuracoes que os Atacantes Adoram, valide o resultado sob a visao do administrador legitimo e sob a visao do caminho de ataque. Confirme que usuarios e sistemas previstos continuam funcionando e prove ao mesmo tempo que o caminho perigoso nao entrega mais a mesma alavanca. Recolha de novo Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, mudancas em SYSVOL e atividade de certificados, revise aprovacoes e confira se nenhum objeto vizinho preserva uma rota alternativa. A validacao tambem deve incluir criterios de sucesso escritos. Em times maduros, um fix so e aceito quando o caminho de risco desaparece, o servico permanece operacional e o estado final coincide com o objetivo de hardening.
Ownership, escalacao e governanca
Assuntos como Senhas no AD: As Ma Configuracoes que os Atacantes Adoram falham quando o sintoma tecnico some, mas ninguem possui o controle de longo prazo. Distribua responsabilidades claras entre engenharia de diretorio, analistas SOC, admins de identidade e times de servidores, defina quem aprova excecoes e decida qual time precisa autorizar a reintroducao de um objeto arriscado. Essa governanca nao e burocracia vazia. Ela evita que uma migracao, uma urgencia ou uma integracao de terceiros reabra o mesmo caminho algumas semanas depois. Documente as decisoes que permitiram a fraqueza e atualize o processo ao redor, para que o proximo pedido seja avaliado contra a nova baseline e nao contra um atalho antigo.
Perguntas uteis durante a revisao
Durante uma revisao de Senhas no AD: As Ma Configuracoes que os Atacantes Adoram, perguntas praticas valem mais que frases genericas. Quais objetos ainda possuem mais privilegios que o necessario? Que excecao sobrevive so porque ninguem a revisou depois do fim de um projeto? Que time perceberia um abuso primeiro e com quais evidencias? Que dependencia de negocio bloqueia a remediacao hoje e que controle compensatorio existe ate la? Perguntas desse tipo revelam ambiguidade operacional que o inventario tecnico nao mostra. Elas tambem obrigam a conectar desenho de identidade, qualidade de logs, ownership e change management na mesma conversa.
O que monitorar de forma continua
Uma limpeza pontual em torno de Senhas no AD: As Ma Configuracoes que os Atacantes Adoram so produz menos caminhos ocultos de escalada, ownership mais claro e melhor separacao entre operacao e privilegio se o monitoramento virar rotina. Estabeleca verificacoes recorrentes baseadas em Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, mudancas em SYSVOL e atividade de certificados, reveja os objetos mais sensiveis no proximo revisao semanal de privilegios e validacao mensal de controles e trate drift como trataria um incidente. O objetivo nao e gerar mais ruido, mas reconhecer mudancas relevantes: novos privilegios, controles relaxados, contas reativadas, exclusoes ampliadas ou ownership alterado sem transicao clara. Quando esses sinais sao revistos de forma consistente, o ambiente fica ao mesmo tempo mais seguro e mais facil de explicar para auditoria, lideranca e times tecnicos.
Leituras Relacionadas
Vale a pena revisar este tema junto com Kerberoasting Explicado — Deteccao & Prevencao, Contas Obsoletas e Superprivilegiadas no AD, Monitoramento de Seguranca AD: Os Eventos que Importam, Ataques NTLM Relay: Sequestrar Autenticacao Sem Crackear Senhas e Aninhamento Perigoso de Grupos AD: Caminhos para Domain Admin. Esses artigos mostram como as mesmas fraquezas de identidade e permissoes costumam se encadear em uma avaliacao real.
- Kerberoasting Explicado — Deteccao & Prevencao
- Contas Obsoletas e Superprivilegiadas no AD
- Monitoramento de Seguranca AD: Os Eventos que Importam
- Ataques NTLM Relay: Sequestrar Autenticacao Sem Crackear Senhas
- Aninhamento Perigoso de Grupos AD: Caminhos para Domain Admin
Essas referencias internas ajudam a avaliar o caminho de risco completo e nao apenas um achado isolado.
Validacao Operacional
Antes de encerrar a revisao, repita os mesmos controles que revelaram o risco e confirme que o caminho vulneravel deixou de existir do ponto de vista de um atacante. Verifique identidades, privilegios, excecoes, dependencias e evidencias de remediacao em producao, e nao apenas na documentacao. Essa validacao final transforma uma correcao pontual em reducao de risco sustentavel.
