Perché ti serve
Active Directory è la cosa più importante del tuo IT Windows. Se la perdi, hai perso tutto. Un singolo errore di configurazione (es. SPN su account privilegiato, NTLM relay non bloccato, ACL eccessive) trasforma un account utente normale in Domain Admin. Lo vedo regolarmente nei pentest.
Lo scenario tipico: un'azienda con 30-50 dipendenti, dominio AD costruito anni fa "alla buona", manutenzione sporadica fatta a turno da fornitori diversi. Nessuno ha più il quadro completo dei permessi, delle GPO accumulate, degli account di servizio creati e dimenticati. È un terreno dove un attaccante con un singolo phishing riuscito si muove libero in poche ore. Il pentest AD ti restituisce quel quadro complessivo che hai perso.
Cosa è incluso
- ✓ Enumeration utenti, gruppi, computer, GPO, OU
- ✓ Identificazione account con SPN (Kerberoasting)
- ✓ AS-REP Roasting su utenti senza pre-auth
- ✓ Analisi ACL abusabili (GenericAll, WriteDACL, GenericWrite)
- ✓ Scoperta di credenziali in plain text (GPP, sysvol, file share)
- ✓ Test NTLM Relay e SMB signing
- ✓ Mappatura BloodHound dei percorsi privilege escalation
- ✓ Test password policy e account lockout
- ✓ Verifica esposizione LAPS/LAPS2
- ✓ Test misconfigurations (Print Spooler, ESC1-ESC8 ADCS)
- ✓ Report con grafici BloodHound e piano remediation
- ✓ Riunione di chiusura 1 ora
Metodologia
Test grey-box: parto da un account utente standard fornito da te (simulando la compromissione di un dipendente, scenario più realistico). Metodologia ispirata a CRTP/CRTE e ricerche SpecterOps.
01
Briefing tecnico
Discussione dell'ambiente: numero utenti, computer, GPO, hybrid Azure AD.
02
Setup grey-box
Mi fornisci un account utente standard (no privilegi) per simulare l'attaccante interno.
03
Enumeration
PowerView, BloodHound, ADRecon. Mappatura completa del dominio.
04
Path identification
Identificazione percorsi privilege escalation con grafi BloodHound.
05
Exploitation controllata
Verifico i path con tecniche Kerberos, ACL abuse, ADCS. Niente lateral movement non autorizzato.
06
Reporting + Debrief
Report con screenshot BloodHound e piano hardening.
Quando ti serve
- Hai un dominio Active Directory con 20+ utenti
- Usi Microsoft 365 con sincronizzazione AD (hybrid)
- Non hai mai fatto un audit AD specifico
- Hai sospetti di compromissione interna
- Stai migrando a Azure AD / Entra ID e vuoi pulire prima
- Vuoi conformità NIS2, ISO 27001, GDPR Art. 32
FAQ
Servono privilegi di amministratore?
No. Parto da un account utente standard senza privilegi (è lo scenario più realistico: dipendente compromesso via phishing). Il punto del test è dimostrare cosa può fare un attaccante con quel solo accesso.
Quanto rumore fa nei log?
BloodHound e PowerView generano traffico LDAP visibile. Concordiamo prima se vuoi un test "silenzioso" (più lento, simula APT) o veloce e visibile (simula attacco rapido). Niente persistence, niente backdoor.
Cosa succede se trovate Domain Admin in 15 minuti?
È capitato. Anzi, è la norma per AD mai auditati. In quel caso il test continua per identificare TUTTI i path possibili, non solo il primo. Il valore è la lista completa di hardening da fare, non solo "sì, è bucabile".
Posso fare il test su un sotto-dominio?
Sì. Il prezzo base copre 1 dominio fino a 100 oggetti AD (utenti+computer). Per foreste multiple o domini grandi: preventivo.
Avete esperienza con ADCS / Certificate Services?
Sì, includo verifica di tutti gli scenari ESC1-ESC8 nei template ADCS. Sono tra le falle più gravi e meno conosciute degli ultimi 3 anni.