Оказывается, если специалист уделит всего пару-тройку часов задаче по аудиту учетных записей Active Directory, это позволит снять большую часть рисков взлома. Подробности в статье.
Active Directory — служба каталогов в инфраструктуре Windows.
Привет, на связи Дмитрий Бессольцев, руководитель ALP ITSM. Уже 30 лет мы помогаем компаниям наводить порядок в ИТ‑инфраструктуре: от аудита и восстановления после сбоев до управления ИТ как сервисом для бизнеса. Сегодня речь о том, как не вложиться в избыточные внешние барьеры, забыв об уязвимостях изнутри.
Ситуация: собственник бизнеса озадачился вопросами безопасности. Зовет администратора и вместе они начинают возводить цифровую крепость против изощренных внешних атак крутых хакеров — покупают дорогущую XDR-платформу (платформу для расширенного обнаружения и реагирования на угрозы) и другие нужные решения. Их усилия напоминают мероприятия по защите средневекового замка: огромная стена, лучники в боевой готовности зорко смотрят вдаль, кипит смола в котлах. Содержание стражи и дрова для котлов обходятся владельцу в кругленькую сумму. При этом народ разобрал кладку стены в паре мест и шастает наружу и обратно через эти лазейки.
В бизнесе большинство этих лазеек обусловлены внутренним беспорядком: забытые учетные записи уволенных, пароли типа «1234», права администратора, выданные обычным пользователям «на всякий пожарный». Хакерам не нужно штурмовать замок — они проникнут через «черные» ходы и откроют ворота.
Чтобы прикрыть подавляющее большинство лазеек, достаточно 2–3 часов работы по ревизии учетных записей в Active Directory со стороны ответственного специалиста. Ну и еще немного времени на доработку типовых регламентов для админов и инструкций для пользователей, чтобы порядок сохранялся постоянно. Это многократно снижает риски проникновения хакеров за защитные барьеры.
Что такое аудит учетных записей и зачем он нужен
Аудит учетных записей — это регламентное мероприятие, проводящееся периодически и направленное на выявление возможных уязвимостей:
- активные учетные записи уже уволенных сотрудников;
- слишком слабые пароли;
- лишние привилегии у обычных пользователей.
Наличие подобных лазеек — открытая дверь для разного рода злоумышленников. И они об этом знают — не зря в 2025 году количество попыток проникновения с помощью взлома учетных записей выросло вчетверо и составило половину от общего числа взломов. Подавляющее большинство — 39% — инцидентов было связано с привилегированными учетками — администраторов доменов, сервисных аккаунтов, администраторов прикладного ПО.
Для владельца бизнеса такой аудит — это реальная картина базовой защиты компании от киберугроз. При этом собственник не должен сам разбираться в политиках безопасности Windows, групповых политиках Active Directory и вообще в том, как все устроено в ИТ-инфраструктуре предприятия. Аудит успешен? Отлично, можно выводить лучников и кипятить смолу. Нет? Закупаем кирпич и закладываем им лазейки.
Базовые принципы цифровой безопасности
Кто вооружен — защищен. Поэтому важно соблюдать базовые принципы гигиены цифровой безопасности.
Нулевое доверие и строгий контроль доступа
Модель Zero Trust исходит из принципа: «никогда не доверяй, всегда проверяй». Это означает отсутствие «по умолчанию доверенных» пользователей и обязательную проверку каждого запроса на доступ с учетом контекста, ролей и критичности ресурсов.
Мониторинг и обнаружение угроз
Помимо периодических проверок прав, компании нужны инструменты мониторинга событий безопасности в режиме, близком к реальному времени. Это могут быть как специализированные SOC‑решения (центры мониторинга и реагирования на инциденты) и SIEM (платформы управления событиями и информацией от подконтрольных устройств с упором на безопасность), так и точечные сценарии: аудит входа в систему, отслеживание изменений в Active Directory, анализ событий, которые пишутся в журнале безопасности контроллеров домена.
Регулярная гигиена безопасности
Безопасность опирается на рутинные процедуры, недооценка которых часто приводит к инцидентам. К ним относятся:
- Строгая парольная политика (ограничения на длину и сложность, запрет переиспользования старых паролей, блокировка при нескольких неудачных вводах пароля).
- Своевременный патчинг ОС и ПО для устранения известных уязвимостей.
- Проверки боем: регулярные пентесты и аудит конфигураций, имитирующие действия хакеров и показывающие вероятные направления атак.
По итогам пентестов 2025 года взлом паролей банальным брутфорсом увенчались успехом почти что на 50% проверенных инфраструктур. Критерий успеха — восстановление хотя бы одного текстового пароля по хэшу. Взломщикам всячески помогают сотрудники: большинство пользователей задают один и тот же пароль для разных сервисов, что несказанно облегчает взломы критичных для бизнеса информационных систем.
Резервное копирование и аварийное восстановление
Идеальные процессы аудита учетных записей не спасут предприятие, если в систему пролезет и отработает шифровальщик, а восстановить данные с резервных копий не получится. Поэтому профилактика в виде регулярного резервного копирования по принципу «3-2-1» — минимальный стандарт для любой компании. Принцип «3-2-1» говорит о том, что:
- 3 копии данных создаются;
- 2 типа носителей используется;
- 1 копия хранится не в том же помещении, где расположена серверная.
Заражение шифровальщиком происходит примерно по одному сценарию. Бухгалтер, офис-менеджер или другой ответственный сотрудник открывает полученное на официальную электронную почту письмо со счетом, актом сверки или другим очень важным документом. Пытается просмотреть PDF, но видит что-то невнятное. Закрывает письмо, некоторое время работает, потом уходит выпить чаю или на обеденный перерыв. Возвращается к рабочему месту, и на экране видит с извещение о том, что файлы зашифрованы, а чтобы вернуть все на круги своя, нужно перевести выкуп в крипте. Вместе с локальными данными шифровальщик поражает и все подключенные сетевые диски: базу бухгалтерской программы, шаблоны документов, исходящую и входящую корреспонденцию — в общем, все, до чего у пользователя был доступ.
Как правило, на таких компьютерах бывает отключен антивирус, потому что он критически замедляет работу, а про резервирование данных в 1С кто-то что-то слышал, но кто и что — неизвестно. И хорошо, если специалисты франчайзи или штатные админы делали хоть какие-то копии куда-то кроме зашифрованного сервера. Открытие одного документа может поставить бизнес под угрозу закрытия. Или как минимум в режим аврала на неопределенное время.
Управление человеческим фактором
Самое уязвимое место любой системы — поведение людей, а не только настройки политик безопасности.
Два типичных сценария:
- «Аналоговый» пользователь переходит по ссылке в правдоподобном фишинговом письме, вводит логин и пароль, после чего аккаунт используется для доступа к файловым ресурсам и сервисам.
- Обиженный сотрудник перед увольнением массово копирует регламенты, клиентские базы и отчеты, что легко выявляется как аномальная активность — резкий рост объема выгружаемых данных или нетипичные действия с объектами.
Решение — сочетать обучение персонала, разделение полномочий, минимизацию прав и мониторинг аномальных действий в Active Directory и других системах.
Информационная безопасность не должна финансироваться «по остаточному принципу». Хорошая практика — выделять на нее порядка 10% IT‑бюджета, вкладываясь не только в продукты, но и в процессы, регламенты и аудит.
Чем опасно отсутствие порядка в Active Directory
Active Directory — основной инструмент идентификации пользователей и управления ими в Windows. А на этой операционной системе построено большинство ИТ-инфраструктур предприятий малого и среднего бизнеса.
Кратко о сути. Пользователь, успешно авторизованный в AD, имеет доступы к любым ресурсам в сети предприятия, а также права на, например, установку программного обеспечения, управления периферийными устройствами, использование сменных носителей и т.д. Несложно догадаться, что большинству пользователей не нужно самим подключать флешки, камеры, МФУ, устанавливать программы.
Но! Если в управлении AD нет правил, админ выдает необходимые допуски и права по просьбе пользователей — он сам открывает двери для злоумышленников. А такое возможно только тогда, когда не выстроены процессы управления учетными записями.
Пример. Менеджер по продажам Иван просит своего приятеля Павла, администратора, разрешить самостоятельную установку программ и подключение личного смартфона к Windows через стандартную оснастку на компьютере. Мотивирует это тем, что так удобнее синхронизировать календарь и Битрикс. Павел, особо не вникая и не имея на руках регламентов, дает эти права Ивану. Иван же слегка лукавит и ставит на свой компьютер программы для обхода блокировок, чтобы удобно листать запрещенную соцсеть с картинками на большом экране. Таким образом, не имея никаких намерений навредить, приятели проделывают дыру в безопасности.
Но важно даже не это. Важно, что администратор Павел никому не сказал о том, что учетка Ивана имеет теперь дополнительные привилегии, нигде это не зафиксировал. Дыру мог бы обнаружить аудит учеток AD, но он не проводится. Как говорится, приехали.
Тренд атак на учетки Active Directory, прослеживаемый в 2025 году, продолжится и в 2026. А значит, собственникам бизнеса пора задуматься об обновлении версий AD до актуальных и, главное, о внедрении регламентов работы с учетными записями и их аудитов в практику.
В течение двух последних лет (2024 и 2025) наметился рост влияния инцидентов, связанных со злоупотреблениями в логинах и паролях. Вот типичная клиническая картина:
- Нет единого формата формирования логина. Каждый администратор придумывает свой принцип, игнорируя порядок, заведенный предшественником. Если этот порядок вообще был.
- Временное повышение уровня учетки пользователя до администратора превращается в постоянное по причине отсутствия записей и контроля за ними.
- «Неизменные» пароли — это серьезное нарушение обычно провоцируется кем-то из топ-менеджмента: не по чину главбуху или коммерческому директору каждый квартал новый пароль запоминать, вот и заставляют администратора продлевать срок действия до бесконечности.
- «Привидения» — сотрудник давно уволен, а его учетная запись живет своей жизнью. И хорошо, если не проявляет активности — но кто знает, за этим же не следят.
- «Мистика» — есть учетные записи, непонятно как появившиеся в каталоге. Их как бы никто не заводил, но они есть. И непонятно, зачем они есть.
Как настроить аудит учетных записей
Технически аудит учетных записей в Windows строится вокруг нескольких опорных механизмов: политики аудита, настроек для контроллеров домена и анализа событий в журнале безопасности.
Базовые шаги:
- Включить аудит объектов Active Directory на контроллерах домена через audit policy (локальная политика безопасности или GPO).
- Определить, какие типы событий важны: создание и удаление user account, изменения атрибутов (пароль, группы, состояние enabled/disabled), сброс пароля, изменение прав.
- Настроить аудит для конкретных объектов и контейнеров AD (отдельных файлов, каталогов, OU, принтеров и т.д.), чтобы события попадали в журнал безопасности.
- Регулярно просматривать и анализировать события в event viewer, либо передавать их в SIEM или специализированный продукт аудита Active Directory.
Ключевая идея — не просто включить логирование, а продумать, какие события нужны бизнесу для расследований, соответствия требованиям и оперативного реагирования.
И, конечно, нужны квалифицированные инженеры, которые умеют «читать» логи, выявлять и разделять признаки массированных атак, попытки точечного несанкционированного доступа и пресловутый человеческий фактор «пользователь забыл пароль, а позвонить попросить сбросить стеснялся» и «кошка по ноутбуку потопталась и все заблокировала».
Инструменты и автоматизация процесса аудита
Аудит учетных записей невозможен без помощи специализированных средств мониторинга и автоматизации. Существует большое количество решений — от встроенных возможностей Windows Server до сторонних программных продуктов, которые позволяют отслеживать изменения в Active Directory в режиме реального времени.
Встроенные средства Windows и Active Directory
Базовой задачей является настройка политики аудита через Group Policy и анализ журнала событий безопасности на контроллерах домена.
Для автоматизации сбора и обработки событий администраторы часто используют PowerShell-скрипты, которые могут выполнить фильтрацию по ID события, извлечь необходимые параметры (имя пользователя, адрес компьютера, время операции) и перейти к формированию отчетов или отправке уведомлений ответственным сотрудникам.
Специализированные решения для аудита AD
В случае крупных организаций или при необходимости соответствия требованиям регуляторов (SOX, HIPAA, PCI-DSS, 152-ФЗ) базовых средств Windows часто недостаточно. Здесь на помощь приходят специализированные продукты аудита Active Directory
Интеграция с IAM и SIEM
Современный подход к управлению учетными записями предполагает связь аудита Active Directory с более широкими системами — Identity and Access Management (IAM) и Security Information and Event Management (SIEM).
IAM-системы управляют жизненным циклом учетных записей: автоматически создают профили при приеме сотрудников, корректируют права при смене должности и блокируют доступ при увольнении.
SIEM-платформы собирают события из различных источников (AD, файловые серверы, сетевое оборудование, системы защиты периметра) и сопоставляют их для обнаружения сложных атак.
Практические рекомендации по выбору инструментов
При выборе средств аудита стоит учитывать следующие моменты:
- для малого бизнеса с одним доменом достаточно встроенных возможностей Windows и PowerShell-скриптов;
- средним компаниям с несколькими площадками и требованиями соответствия регуляторам необходимы готовые продукты аудита AD с автоматическими отчетами;
- крупным организациям с распределенной инфраструктурой требуется полноценная интеграция AD-аудита в SIEM и IAM для централизованного управления и анализа событий.
Больше информации о конкретных решениях и их возможностях можно найти на специализированных ресурсах и в блогах производителей систем информационной безопасности.
Минимальный чек‑лист аудита учетных записей
Экспресс‑аудит учетных записей и прав доступа позволяет закрыть до 80% типичных уязвимостей за несколько часов. Ниже — базовый список того, что нужно проверить в первую очередь.
Контроль доступов и «мертвых душ»
- Ревизия забытых учеток: отключить аккаунты уволенных сотрудников и тех, кто не заходил в систему более определенного срока (например, двух месяцев).
- Аудит прав администратора: пересмотреть состав групп администраторов домена, локальных администраторов и других привилегированных групп, убрать лишних пользователей.
- Ограничение удаленного доступа: убедиться, что доступ внутрь инфраструктуры по RDP или VPN есть только у тех, кому это необходимо по роли.
- Актуализация групп доступа: проверить, кто и на каком основании состоит в критичных группах доступа к файловым ресурсам, базам и бизнес‑приложениям.
Парольная гигиена
- Жесткая политика паролей для домена, включая требования к длине, сложности и сроку действия.
- Исключения только для сервисных учеток: у людей пароли должны меняться по регламенту, постоянные пароли допустимы лишь для технических аккаунтов, которые дополнительно защищены.
- Регулярная смена паролей локального администратора на серверах и рабочих станциях, желательно с использованием централизованного решения.
Базовые настройки инфраструктуры
- Централизованное управление через домен: все рабочие станции и серверы должны быть включены в домен для управления политиками и аудитом.
- Ревизия групповых политик (GPO): отключение устаревших и потенциально опасных настроек, настройка политики аудита для контроллеров домена и ключевых серверов.
- Включение логирования критически важных событий безопасности и регулярный просмотр событий, связанных с входом в систему, изменением учетных записей и прав.
- Автоматическое завершение сессий при бездействии, чтобы снизить риск злоупотреблений с незаблокированных рабочих мест.
Как меняется аудит учетных записей в 2025–2026 годах
Аудит учетных записей перестал быть разовой инвентаризацией и все чаще превращается в непрерывный процесс. Компании автоматизируют жизненный цикл учетных записей (создание, изменение ролей, увольнение), регулярно проводят аудит прав и автоматически отключают неиспользуемые аккаунты.
Это продолжение модели Zero Trust: каждая учетка рассматривается как потенциально уязвимая, а доступ пересматривается не только при изменении должности, но и при обнаружении аномального поведения пользователя или устройства. В результате аудит учетных записей оказывается встроен в IAM‑системы и процессы управления доступом, а не живет отдельной «кампанией раз в год».
Как организовать экспресс‑аудит
По нашему опыту, базовый аудит учетных записей можно провести за 2–4 часа, если использовать заранее подготовленные инструкции и скрипты. Инженер подключается к инфраструктуре, выгружает ключевую информацию и оформляет результаты так, чтобы собственник бизнеса или IT‑директор получили понятную картину рисков.
Что обычно входит в экспресс‑аудит:
- Список неактивных учетных записей, которые давно не использовались.
- Перечень аккаунтов с паролями без срока действия и сервисных учеток.
- Состав групп администраторов домена, локальных администраторов и владельцев критичных ресурсов.
- Список пользователей с правами удаленного доступа (RDP, VPN, доступ к административным консолям).
По итогам формируется пояснительная записка с выявленными проблемами и практическими рекомендациями: какие учетные записи отключить, какие права пересмотреть, какие политики усилить и какие процессы добавить. Подготовка рекомендаций по результатам занимает больше времени, чем сам аудит. Потому что важно не только выявить проблему, но и предложить ее системное решение. Обычно работы по аудиту от принятия решения до отправки итогового отчета занимают 2-5 дней.
Безопасность — это процесс, а не разовый проект
Аудит — мероприятие полезное. Но его легко превратить в бесполезное, если не соблюдать регулярность. Дисциплина, основа безопасности, — это постоянно проводимая политика, а не разовые внезапные проверки, которые ни к чему, кроме стресса, не приводят. Соблюдение порядка в управлении учетками должно быть прописано, как бизнес-процесс, иначе не обеспечить преемственность и контроль. А если порядка нет, то даже прекрасно выстроенный и вычищенный домен за год превратится в непонятную и неконтролируемую свалку.
Статистика неумолима. Атаки на учетки будут только усиливаться, поэтому политика «один раз и навсегда» не работает — за доменом нужно следить так же, как и за любой другой составляющей ИТ-инфраструктуры.
В конце концов, возведение стены, лучники и котлы с кипящей смолой — не самоцель, а лишь средство от проникновения врагов в замок. Если атака будет стоить врагу слишком дорого, он не пойдет на приступ. Поэтому закрытие существующих лазеек и регулярные обходы с целью недопущения новых вполне защищают собственность владельца от большинства угроз. Методичность и регулярность честных аудитов — это и есть такие обходы.
Что можно сделать уже сейчас
Если перед вами стоит задача выбора подрядчика, будет полезна наша инструкция по выбору поставщика: какие критерии важны, где чаще всего «прячутся» риски и как сравнивать предложения не только по цене.