Содержание
1. Введение: Active Directory пентест2. Подготовка к пентесту
3. Разведка и сканирование
4. Перечисление домена
5. Анализ уязвимостей
6. Эксплуатация уязвимостей
7. Привилегии и lateral movement
8. Пост-эксплуатация
9. Очистка следов
10. Отчетность и рекомендации
11. Инструменты для AD пентеста
12. Часто задаваемые вопросы
13. Заключение
Введение: Active Directory пентест
Active Directory (AD) - это сердце современной корпоративной сети Windows. В 2026 году AD остается основной целью пентестеров, так как компрометация домена дает полный контроль над инфраструктурой. Этот чек-лист содержит 90 шагов для комплексного тестирования безопасности AD.
Почему AD критически важен
- Централизованное управление - 90% корпоративных сетей используют AD
- Привилегии администратора - доступ к домену = доступ ко всему
- Унаследованные уязвимости - многие системы не обновляются годами
- Цепная реакция - одна уязвимость может привести к полному компрометации
Статистика уязвимостей AD (2026)
- 78% breach начинаются с компрометации учетных записей
- 65% компаний имеют слабые пароли в AD
- 45% используют устаревшие версии Windows Server
- 30% не мониторят privileged accounts
Цели пентеста AD
1. Выявить слабые места в конфигурации домена
2. Найти уязвимые учетные записи и пароли
3. Проверить privilege escalation возможности
4. Оценить lateral movement риски
5. Протестировать persistence механизмы
Подготовка к пентесту
Правовые и организационные аспекты
1. Получить письменное разрешение от владельца домена
2. Определить scope тестирования - какие системы и пользователи
3. Установить Rules of Engagement - что можно и нельзя делать
4. Подготовить тестовую среду для безопасного тестирования
5. Согласовать время тестирования - избежать простоев
6. Подготовить emergency contacts для быстрой связи
7. Зафиксировать baseline - состояние системы до тестирования
8. Подготовить backup планы на случай сбоев
Техническая подготовка
9. Собрать информацию о домене - имя, контроллеры, IP диапазоны
10. Подготовить тестовые учетные записи с минимальными правами
11. Установить VPN/прокси для анонимного доступа
12. Подготовить виртуальную машину с инструментами пентеста
13. Скачать и обновить инструменты - Metasploit, BloodHound, etc.
14. Настроить logging всех действий и результатов
15. Подготовить чек-листы для систематического подхода
16. Проверить сетевую доступность целевых систем
Безопасность тестирования
17. Использовать dedicated сеть для тестирования
18. Избегать production систем без explicit разрешения
19. Мониторить ресурсы - не перегружать сеть
20. Иметь план отката на случай проблем
21. Защитить свои данные - шифрование, безопасное хранение
22. Использовать clean инструменты без malware
23. Документировать все действия для отчетности
Разведка и сканирование
Пассивная разведка
24. Собрать информацию из DNS - зоны, записи, серверы
25. Проанализировать whois данные домена
26. Проверить SSL сертификаты контроллеров домена
27. Изучить job postings компании на LinkedIn
28. Найти утечки в Shodan для IP диапазонов
29. Проверить GitHub на exposed credentials
30. Анализировать социальные сети сотрудников
31. Найти поддомены с помощью субдомен сканеров
Активное сканирование
32. Сканировать порты на контроллерах домена (53,88,135,139,389,445,636)
33. Определить версию Windows и роли серверов
34. Найти SMB shares с анонимным доступом
35. Проверить LDAP на anonymous bind
36. Сканировать на уязвимости с Nessus/OpenVAS
37. Тестировать NTP синхронизацию
38. Проверить Kerberos конфигурацию
39. Найти веб-интерфейсы управления (ADFS, Exchange)
Сетевая разведка
40. Определить IP диапазоны домена
41. Найти все доменные контроллеры через DNS
42. Сканировать на открытые RDP сессии
43. Проверить firewall правила для доменного трафика
44. Найти VPN endpoints и remote access
45. Определить trust relationships между доменами
46. Сканировать на wireless сети домена
47. Найти IoT устройства в сети
Перечисление домена
Базовое перечисление
48. Получить информацию о домене с помощью nltest
49. Перечислить пользователей через LDAP
50. Найти группы и их членов
51. Определить компьютеры в домене
52. Проверить GPO политики
53. Найти OU структуры организации
54. Перечислить доверительные отношения (trusts)
55. Определить FSMO роли контроллеров
Учетные записи и пароли
56. Тестировать default credentials (Administrator, Guest)
57. Найти учетные записи без паролей или с пустыми паролями
58. Проверить политику паролей сложности
59. Найти disabled accounts которые можно включить
60. Перечислить service accounts и их права
61. Найти privileged accounts (Domain Admins, Enterprise Admins)
62. Проверить last logon timestamps
63. Найти stale accounts не используемые долгое время
Группы и разрешения
64. Анализировать Domain Admins группу
65. Проверить nested groups и inheritance
66. Найти users с excessive privileges
67. Перечислить local administrators на workstations
68. Проверить delegation rights (constrained/unconstrained)
69. Найти accounts с SPN (service principal names)
70. Анализировать group membership для privilege escalation
Анализ уязвимостей
Конфигурационные уязвимости
71. Проверить LDAPS - шифрование LDAP трафика
72. Найти anonymous LDAP bind возможности
73. Проверить SMB signing требования
74. Найти weak encryption (RC4, DES в Kerberos)
75. Проверить DNSSEC implementation
76. Найти misconfigured GPO политики
77. Проверить backup operators права
78. Найти accounts без 2FA для privileged users
Известные уязвимости
79. Тестировать PrintNightmare (CVE-2021-34527)
80. Проверить PetitPotam (CVE-2021-36942)
81. Найти Zerologon (CVE-2020-1472)
82. Тестировать NoPac (CVE-2021-42278)
83. Проверить CVE-2021-42287 (SamAccountName spoofing)
84. Найти CVE-2022-26923 (DFS-R elevation)
85. Тестировать CVE-2022-33679 (Windows Defender bypass)
86. Проверить CVE-2022-33647 (Active Directory escalation)
Слабые пароли и учетки
87. Провести password spraying атаку
88. Тестировать common passwords в словаре
89. Найти password in description поля
90. Проверить reversible encryption паролей
91. Найти accounts с never expire паролями
92. Тестировать AS-REP roasting для pre-auth disabled
93. Провести Kerberoasting для service accounts
94. Найти accounts vulnerable to Pass-the-Hash
Эксплуатация уязвимостей
Первичная эксплуатация
95. Получить foothold через vulnerable service
96. Эксплуатировать misconfigured shares для доступа
97. Использовать weak credentials для входа
98. Эксплуатировать LLMNR/NBT-NS poisoning
99. Тестировать relay attacks (PetitPotam)
100. Эксплуатировать unconstrained delegation
101. Использовать Golden Ticket если возможно
102. Тестировать Silver Ticket атаки
Privilege escalation
103. Найти local admin rights на workstations
104. Эксплуатировать SeBackupPrivilege для backup
105. Использовать DCSync для domain replication
106. Тестировать RID cycling для accounts enumeration
107. Эксплуатировать weak service accounts
108. Найти misconfigured scheduled tasks
109. Тестировать AlwaysInstallElevated GPO
110. Использовать UAC bypass техники
Credential harvesting
111. Извлечь credentials из LSASS (Mimikatz)
112. Найти credentials в registry (reg save)
113. Извлечь из SAM database если возможно
114. Найти stored credentials (cmdkey /list)
115. Извлечь browser credentials (Chrome, IE)
116. Найти WiFi passwords в системе
117. Извлечь RDP credentials если есть
118. Найти SSH keys в user profiles
Привилегии и lateral movement
Lateral movement техники
119. Использовать Pass-the-Hash для аутентификации
120. Тестировать Pass-the-Ticket атаки
121. Эксплуатировать RDP для remote access
122. Использовать PsExec для remote execution
123. Тестировать WMI для lateral movement
124. Эксплуатировать WinRM протокол
125. Использовать SMB для file execution
126. Тестировать DCOM для remote instantiation
Domain privilege escalation
127. Найти domain admin sessions на workstations
128. Эксплуатировать GPO permissions для privilege escalation
129. Тестировать SCCM для code execution
130. Использовать Exchange для privilege escalation
131. Эксплуатировать Azure AD Connect если есть
132. Найти misconfigured certificates (ESC1-ESC13)
133. Тестировать ADCS (Certificate Services) abuse
134. Использовать constrained delegation для escalation
Persistence techniques
135. Создать hidden accounts в AD
136. Добавить backdoors в GPO policies
137. Создать scheduled tasks для persistence
138. Добавить startup scripts в domain
139. Создать service accounts с high privileges
140. Добавить SID History для elevated access
141. Создать machine accounts для persistence
142. Использовать adminSDHolder для persistence
Пост-эксплуатация
Data exfiltration
143. Определить sensitive data locations
144. Найти domain backups и их содержимое
145. Извлечь password hashes из NTDS.dit
146. Найти sensitive files (financial, PII)
147. Определить data flows в сети
148. Найти cloud storage credentials
149. Извлечь email data из Exchange
150. Найти intellectual property documents
Domain dominance
151. Получить Domain Admin privileges
152. Компрометировать all domain controllers
153. Установить persistence на DC
154. Создать golden tickets для unlimited access
155. Настроить command & control infrastructure
156. Компрометировать trust relationships
157. Установить backdoors в critical systems
158. Подготовить для ransomware deployment
Advanced techniques
159. Тестировать forest trusts exploitation
160. Эксплуатировать external trusts relationships
161. Найти Azure AD integration vulnerabilities
162. Тестировать ADFS security
163. Эксплуатировать Office 365 integration
164. Найти Intune misconfigurations
165. Тестировать MFA bypass methods
166. Эксплуатировать conditional access policies
Очистка следов
Логи и артефакты
167. Очистить event logs на compromised systems
168. Удалить temporary files и artifacts
169. Очистить browser history и caches
170. Удалить created accounts и backdoors
171. Очистить PowerShell history и transcripts
172. Удалить scheduled tasks созданные во время тестирования
173. Очистить registry keys добавленные инструментами
174. Удалить files от penetration testing tools
Сетевые следы
175. Очистить DNS cache и logs
176. Удалить firewall rules добавленные для testing
177. Очистить proxy logs если использовались
178. Удалить VPN connections и profiles
179. Очистить ARP cache на systems
180. Удалить network shares созданные для access
181. Очистить NetBIOS cache и name resolution
182. Удалить wireless profiles если создавались
AD cleanup
183. Удалить test accounts созданные во время pentest
184. Восстановить original GPO policies
185. Удалить SPN records добавленные для testing
186. Очистить group memberships измененные во время testing
187. Восстановить password policies к original state
188. Удалить computer accounts созданные для testing
189. Очистить SID History если изменялась
190. Восстановить delegation rights к original state
Отчетность и рекомендации
Подготовка отчета
191. Документировать methodology использованную в тестировании
192. Описать findings с severity ratings (Critical/High/Medium/Low)
193. Предоставить evidence для каждого finding (screenshots, logs)
194. Оценить business impact каждой уязвимости
195. Дать remediation steps для исправления
196. Предоставить timeline выполнения remediation
197. Включить executive summary для руководства
198. Добавить technical details для IT teams
Рекомендации по безопасности
199. Внедрить multi-factor authentication для privileged accounts
200. Регулярно менять пароли service accounts
201. Мониторить privileged access с SIEM
202. Использовать least privilege principle
203. Внедрить network segmentation для domain isolation
204. Регулярно обновлять domain controllers
205. Проводить security awareness training
206. Внедрить automated monitoring для anomalous activity
Long-term improvements
207. Провести AD forest redesign если необходимо
208. Внедрить Azure AD для modern authentication
209. Настроить conditional access policies
210. Внедрить privileged access workstations (PAW)
211. Настроить automated backups с encryption
212. Внедрить zero-trust architecture
213. Проводить regular penetration testing
214. Создать incident response plan для AD
Инструменты для AD пентеста
Основные фреймворки
#### Metasploit
215. Использовать auxiliary modules для enumeration
216. Эксплуатировать AD vulnerabilities с exploits
217. Создавать payloads для post-exploitation
218. Интегрировать с BloodHound для visualization
#### BloodHound
219. Собирать AD data с SharpHound
220. Анализировать attack paths в Neo4j
221. Найти shortest path к Domain Admin
222. Visualize privilege escalation возможности
#### Covenant/Cobalt Strike
223. Создавать C2 infrastructure для persistence
224. Использовать beacons для command execution
225. Эксплуатировать lateral movement
226. Управлять compromised hosts
Специализированные инструменты
#### Credential harvesting
227. Mimikatz для LSASS dumping
228. Rubeus для Kerberos attacks
229. Invoke-Mimikatz PowerShell версия
230. SafetyKatz .NET версия Mimikatz
#### Enumeration tools
231. PowerView для AD enumeration
232. ADRecon для automated recon
233. PingCastle для AD security assessment
234. Group3r для GPO analysis
#### Exploitation tools
235. Impacket для network protocols
236. CrackMapExec для network exploitation
237. Evil-WinRM для WinRM exploitation
238. PetitPotam для AD relay attacks
Monitoring и forensics
#### Logging tools
239. Sysmon для advanced logging
240. OSQuery для endpoint visibility
241. Splunk для log analysis
242. ELK Stack для centralized logging
#### Forensics tools
243. Volatility для memory analysis
244. Autopsy для disk forensics
245. Plaso для timeline analysis
246. RegRipper для registry analysis
Часто задаваемые вопросы
Общие вопросы
Сколько времени занимает полный AD пентест?От 2 недель для малого домена до 3 месяцев для enterprise среды.
Какие разрешения нужны для тестирования?
Полное разрешение от руководства и технических специалистов.
Что делать если найдена критическая уязвимость?
Немедленно остановить тестирование и уведомить заказчика.
Технические вопросы
Какой самый эффективный способ получить Domain Admin?Через компрометацию service accounts или GPO abuse.
Какие инструменты самые важные?
BloodHound для mapping, Mimikatz для credentials, Metasploit для exploitation.
Как избежать обнаружения во время тестирования?
Использовать living-off-the-land техники и избегать known malicious tools.
Заключение
Этот чек-лист охватывает 90+ шагов комплексного пентеста Active Directory - от первоначальной разведки до финальной отчетности. Active Directory остается критической целью для пентестеров, поскольку компрометация домена дает полный контроль над корпоративной инфраструктурой.
Ключевые takeaways:
1. Систематический подход - следуйте чек-листу последовательно
2. Комбинация инструментов - используйте несколько tools для verification
3. Документация важна - фиксируйте каждый шаг и finding
4. Безопасность превыше всего - не нарушайте production systems
5. Continuous learning - AD security постоянно эволюционирует
Рекомендации по внедрению:
- Начинайте с reconnaissance - понимание инфраструктуры критично
- Фокусируйтесь на credentials - 80% успешных атак начинаются с них
- Тестируйте privilege escalation - горизонтальное и вертикальное движение
- Не забывайте про cleanup - удаляйте все следы тестирования
- Создавайте detailed отчеты - с actionable recommendations
Будущие тренды AD security 2026:
- Cloud integration - Azure AD и hybrid environments
- AI-powered attacks - automated exploitation
- Zero-trust adoption - отказ от implicit trust
- Quantum-resistant crypto - подготовка к quantum threats
- Automated defense - AI-driven threat detection
Помните: знание - сила. Этот чек-лист поможет вам стать экспертом в пентесте Active Directory и значительно повысить безопасность корпоративных сетей.
---
**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.
