Active Directory (AD) is de ruggengraat van de Windows-omgeving in vrijwel elke organisatie. Het beheert gebruikersaccounts, computers, groepsbeleid en toegangsrechten voor het hele bedrijfsnetwerk. Juist die centrale rol maakt Active Directory een belangrijk doelwit voor aanvallers. Wie controle heeft over AD, heeft controle over de hele Windows-infrastructuur.
Active Directory is een complex systeem, met gedelegeerde rechten, groepslidmaatschappen, trusts en service accounts. Daardoor ontstaan er veel paden die een aanvaller kan misbruiken. Met technieken als Kerberoasting, Golden Ticket-aanvallen, ADCS-exploitatie en NTLM relay weet een aanvaller vaak van een gewoon gebruikersaccount door te dringen tot Domain Admin.
Een Active Directory pentest (ook wel AD pentest, AD pen-test of AD penetratietest genoemd) test de beveiliging van uw Windows-domein vanuit het perspectief van een gewone werknemer. Onze ethische hackers starten met een standaard gebruikersaccount en proberen via misconfiguraties, zwakke wachtwoorden en privilege escalation Domain Admin-rechten te krijgen. Precies zoals een echte aanvaller dat zou doen.
Active Directory bevat de sleutels tot uw hele Windows-infrastructuur. Als een aanvaller het domein in handen krijgt, heeft hij toegang tot alle Windows-systemen en alle data. Vaak kan hij zich daarna lange tijd ongemerkt in uw netwerk verschuilen.
Een Active Directory pentest is verstandig in de volgende situaties:
Het is verstandig om Active Directory regelmatig te laten testen. Er worden voortdurend nieuwe aanvalstechnieken ontdekt, zoals ADCS-exploits en aanvalspaden via Azure AD.
Onze Active Directory pentests voeren we uit vanuit een grey box-perspectief. We starten met een standaard werknemersaccount en proberen van daaruit zo ver mogelijk in het AD te komen. Zo brengen we alle aanvalspaden naar Domain Admin in kaart.
We testen delegation (unconstrained en constrained), het wachtwoordbeleid en gevaarlijke account-attributen zoals DONT_REQ_PREAUTH en PASSWD_NOREQD. Daarnaast kijken we naar admin- en service-accounts, SPN’s, protected users en de beveiliging van het krbtgt-account.
Hieronder vallen SQL Server en de databases die aan AD gekoppeld zijn. We kijken wie database- of sysadmin-rechten heeft, en naar database ownership, vertrouwde databases en database links. Ook controleren we of service accounts onnodig Domain Admin-rechten hebben.
We controleren de certificate templates op ESC1- tot ESC8- en ESC11-misconfiguraties, onveilige enrollment en kwetsbare certificate web enrollment endpoints. Die kunnen een aanvaller een pad naar privilege escalation geven.
We testen of LDAP- of SMB-relay mogelijk is door ontbrekende LDAPS, LDAP signing of SMB signing. Ook kijken we of het wachtwoordbeleid (reversible encryption, zwakke eisen) en de DNS-configuratie (wildcards, hijacking) extra risico geven.
We kijken naar de permissies op SYSVOL en file shares, naar wachtwoorden in shares en description-velden, en naar gevoelige configuratiebestanden zoals unattend.xml, sysprep, .SAM en .SYSTEM die credentials kunnen lekken.
Hieronder vallen onder andere Print Spooler op domain controllers, ontbrekende LAPS, SCCM-misconfiguraties, Domain- of Enterprise Admins die op niet-DC-systemen ingelogd zijn, lang inactieve accounts en de ondersteuning van verouderde protocollen zoals LM hashes.
Meer over onze aanpak en expertise op onze over ons pagina.
Wilt u weten hoe weerbaar uw Active Directory is? Neem dan vrijblijvend contact met ons op voor een gesprek met een van onze hackers. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag over uw organisatie en de scope van uw Active Directory-omgeving.
Elke Active Directory-omgeving is anders. Daarom stellen we elk voorstel op maat op. Een pentest kan binnen 3 weken starten. De uitvoering duurt, afhankelijk van de complexiteit, tussen de 3 dagen en 3 weken.
Wij brengen het aanvalspad van werkstation naar Domain Admin in kaart en wijzen aan welke misconfiguraties dat mogelijk maken. Vraag een voorstel op maat aan.
Neem contact opOf mail ons direct via [email protected]
Een Active Directory pentest kijkt specifiek naar de beveiliging van uw Windows-domein. Wij onderzoeken onder andere:
Een netwerk pentest onderzoekt de volledige infrastructuur. Een AD pentest richt zich op de beveiliging van het Windows-domein en de paden naar Domain Admin-rechten.
Er zijn verschillende erkende certificeringen voor Active Directory penetratietesters:
Deze certificeringen tonen aan dat een pentester de kennis en ervaring heeft om Active Directory grondig te onderzoeken.
Wij werken bij een Active Directory pentest volgens internationaal erkende methodieken:
Daarnaast houden we rekening met CWE (Common Weakness Enumeration) en scoren we kwetsbaarheden met CVSS (Common Vulnerability Scoring System).
Onze pentesters werken met onder andere de volgende tools:
We combineren deze tools altijd met handmatige analyse door ervaren ethische hackers.
Hoe lang een pentest duurt, hangt af van de complexiteit van uw AD-domein:
Dit is inclusief BloodHound-analyse, credential-aanvallen, lateral movement en het testen van privilege escalation.
Onze ethische hackers komen in AD-omgevingen regelmatig deze kwetsbaarheden tegen:
Deze kwetsbaarheden geven een aanvaller vrijwel altijd een pad naar volledige Domain Admin-rechten.