Как навести порядок в Active Directory и защитить бизнес

Если злоумышленников можно поймать за руку, то с остальными нужно планомерно работать. Знакомить с правилами цифровой гигиены, приучать к дисциплине. И подстраховывать как мероприятиями, направленными на усиление безопасности, так и программными решениями — например, XDR-платформами. Но только тогда, когда остальное выстроено. Иначе — деньги на ветер.

Меня зовут Дмитрий Бессольцев, руковожу компанией ALP ITSM. Мы регулярно проводим аудит ИТ-инфраструктуры для среднего бизнеса и видим одну и ту же картину: компании тратят бюджеты на «железо», но игнорируют элементарные настройки, которые могут дать эффект прямо сейчас.

В этой статье разбираем, почему большую часть уязвимостей можно закрыть за пару часов, просто проведя ревизию Active Directory, и как выстроить процесс работы с учетными записями так, чтобы порядок сохранялся не до первого нового сотрудника, а постоянно.

Что такое аудит учетных записей и зачем он нужен

Аудит учетных записей — это регулярная проверка всех учетных записей пользователей и сервисов, их прав доступа и активности во времени. Цель — выявить слабые пароли, лишние привилегии, «мертвые души» и аномальные действия, которые могут стать точкой входа для злоумышленника.

В 2025 году атаки на учетные записи выросли почти в четыре раза по сравнению с предыдущим годом и составили около 50% всех зарегистрированных инцидентов. При этом 39% киберинцидентов были напрямую связаны с компрометацией привилегированных учетных записей — доменных администраторов, сервисных аккаунтов, админов критичных приложений. Для владельца бизнеса аудит — это способ понять реальное состояние защиты без погружения в технические детали Active Directory, GPO и политик безопасности Windows.

Принципы цифровой безопасности

Кто вооружен — защищен. Поэтому важно соблюдать принципы гигиены цифровой безопасности.

Нулевое доверие и строгий контроль доступа

Модель Zero Trust исходит из принципа: «никогда не доверяй, всегда проверяй». Это означает отсутствие «по умолчанию доверенных» пользователей и обязательную проверку каждого запроса на доступ с учетом контекста, ролей и критичности ресурсов.

Мониторинг и обнаружение угроз

Помимо периодических проверок прав, компании нужны инструменты мониторинга событий безопасности в режиме, близком к реальному времени. Это могут быть как специализированные SOC‑решения и SIEM, так и точечные сценарии: аудит входа в систему, отслеживание изменений в Active Directory, анализ событий, которые пишутся в журнале безопасности контроллеров домена.

Регулярная гигиена безопасности

Безопасность опирается на рутинные процедуры, недооценка которых часто приводит к инцидентам. К ним относятся:

• Строгая парольная политика (ограничения на длину и сложность, запрет переиспользования старых паролей, блокировка при нескольких неудачных вводах пароля).
• Своевременный патчинг ОС и ПО для устранения известных уязвимостей.
• Проверки боем: регулярные пентесты и аудит конфигураций, имитирующие действия хакеров и показывающие вероятные направления атак.

По итогам пентестов 2025 года взлом паролей банальным брутфорсом увенчались успехом почти что на 50% проверенных инфраструктур. Критерий успеха — восстановление хотя бы одного текстового пароля по его хэшу. Взломщикам всячески помогают сотрудники: 94% пользователей задают один и тот же пароль для разных сервисов, что несказанно облегчает взломы критичных для бизнеса информационных систем.

Резервное копирование и аварийное восстановление

Идеальные процессы аудита учетных записей не спасут предприятие, если в систему пролезет и отработает шифровальщик, а восстановить данные с резервных копий не получится. Поэтому профилактика в виде регулярного резервного копирования по принципу «3-2-1» — минимальный стандарт для любой компании. Принцип «3-2-1» говорит о том, что:

• 3 копии данных создаются;
• 2 типа носителей используется;
• 1 копия хранится не в том же помещении, где расположена серверная.

Заражение шифровальщиком происходит примерно по одному сценарию. Бухгалтер, офис-менеджер или другой ответственный сотрудник открывает полученное на официальную электронную почту письмо со счетом, актом сверки или другим очень важным документом. Пытается просмотреть PDF, но видит что-то невнятное. Закрывает письмо, некоторое время работает, потом уходит выпить чаю или на обеденный перерыв. Возвращается к рабочему месту и видит на мониторе сообщение о том, что файлы зашифрованы, а чтобы вернуть все на круги своя, нужно перевести выкуп в крипте. Вместе с локальными данными шифровальщик поражает и все подключенные сетевые диски: базу бухгалтерской программы, шаблоны документов, исходящую и входящую корреспонденцию — в общем, все, до чего у пользователя был доступ.

Как правило, на таких компьютерах бывает отключен антивирус, потому что он критически замедляет работу, а про резервирование данных в 1С кто-то что-то слышал, но кто и что — неизвестно. И хорошо, если специалисты франчайзи или штатные админы делали хоть какие-то копии куда-то кроме зашифрованного сервера. Открытие одного документа может поставить бизнес под угрозу закрытия. Или как минимум в режим аврала на неопределенное время.

Управление человеческим фактором

Самое уязвимое место любой системы — поведение людей, а не только настройки audit policy.

Два типичных сценария:

• «Аналоговый» пользователь переходит по ссылке в правдоподобном фишинговом письме, вводит логин и пароль, после чего аккаунт используется для доступа к файловым ресурсам и сервисам.
• Обиженный сотрудник перед увольнением массово копирует регламенты, клиентские базы и отчеты, что легко выявляется как аномальная активность — резкий рост объема выгружаемых данных или нетипичные действия с объектами.

Решение — сочетать обучение персонала, разделение полномочий, минимизацию прав и мониторинг аномальных действий в Active Directory и других системах.

Информационная безопасность не должна финансироваться «по остаточному принципу». Хорошая практика — выделять на нее порядка 10% IT‑бюджета, вкладываясь не только в продукты, но и в процессы, регламенты и аудит.

Чем опасно отсутствие порядка в Active Directory

Active Directory остается основой идентификации и управления доступом в большинстве инфраструктур на Windows. Если в домене хаос, политика аудита не настроена, а журналы безопасности не анализируются, компания фактически не видит, кто и какие действия выполняет с учетными записями.

По оценкам экспертов, Active Directory и в 2025–2026 годах остается одной из главных целей для атакующих: многие компании по‑прежнему работают на устаревших конфигурациях, не контролируют изменения и не ведут полноценный аудит действий с учетными записями. Обзоры угроз для российского бизнеса за 2024–2025 годы показывают рост доли инцидентов, начинающихся со злоупотребления валидными логинами и паролями, с примерно 20% до более чем 30%.

Типичные симптомы:

• Разные форматы логинов, самодельные правила именования, которые каждый администратор трактует по‑своему.
• Учетки с правами администратора, выданные «временно» и так и оставшиеся навсегда.
• Учетные записи пользователей с «вечными» паролями. Часто руководство компаний, ТОПы, бухгалтера требуют избавить их от регулярной смены паролей «не хочу запоминать», «слишком сложные пароли», «зачем это все?»
• «Мертвые души» — пользователи, давно уволенные или не заходившие в систему месяцами, но по-прежнему имеющие доступ к внутренним ресурсам.
• Отсутствие прозрачности: при появлении загадочного аккаунта никто не может быстро ответить, кто его создал, когда и зачем.

Как настроить аудит учетных записей в Windows и Active Directory

Технически аудит учетных записей в Windows строится вокруг нескольких опорных механизмов: политики аудита, настроек для контроллеров домена и анализа событий в журнале безопасности.

Базовые шаги:

• Включить аудит объектов Active Directory на контроллерах домена через audit policy (локальная политика безопасности или GPO).
• Определить, какие типы событий важны: создание и удаление user account, изменения атрибутов (пароль, группы, состояние enabled/disabled), сброс пароля, изменение прав.
• Настроить аудит для конкретных объектов и контейнеров AD (отдельных файлов, каталогов, OU, принтеров и т.д.), чтобы события попадали в журнал безопасности.
• Регулярно просматривать и анализировать события в event viewer, либо передавать их в SIEM или специализированный продукт аудита Active Directory.

Ключевая идея — не просто включить логирование, а продумать, какие события нужны бизнесу для расследований, соответствия требованиям и оперативного реагирования.

И, конечно, нужны квалифицированные инженеры, которые умеют «читать» логи, выявлять и разделять признаки массированных атак, попытки точечного несанкционированного доступа и пресловутый человеческий фактор «пользователь забыл пароль, а позвонить попросить сбросить стеснялся» и «кошка по ноутбуку потопталась и все заблокировала».

Инструменты и автоматизация процесса аудита

Аудит учетных записей невозможен без помощи специализированных средств мониторинга и автоматизации. Существует большое количество решений — от встроенных возможностей Windows Server до сторонних программных продуктов, которые позволяют отслеживать изменения в Active Directory в режиме реального времени.

Встроенные средства Windows и Active Directory

Базовой задачей является настройка политики аудита через Group Policy и анализ журнала событий безопасности на контроллерах домена.

Для автоматизации сбора и обработки событий администраторы часто используют PowerShell-скрипты, которые могут выполнить фильтрацию по ID события, извлечь необходимые параметры (имя пользователя, адрес компьютера, время операции) и перейти к формированию отчетов или отправке уведомлений ответственным сотрудникам.

Специализированные решения для аудита AD

В случае крупных организаций или при необходимости соответствия требованиям регуляторов (SOX, HIPAA, PCI-DSS, 152-ФЗ) базовых средств Windows часто недостаточно. Здесь на помощь приходят специализированные продукты аудита Active Directory.

Интеграция с IAM и SIEM

Современный подход к управлению учетными записями предполагает связь аудита Active Directory с более широкими системами — Identity and Access Management (IAM) и Security Information and Event Management (SIEM).

IAM-системы управляют жизненным циклом учетных записей: автоматически создают профили при приеме сотрудников, корректируют права при смене должности и блокируют доступ при увольнении.

SIEM-платформы собирают события из различных источников (AD, файловые серверы, сетевое оборудование, системы защиты периметра) и коррелируют их для обнаружения сложных атак.

Практические рекомендации по выбору инструментов

При выборе средств аудита стоит учитывать следующие моменты:

• для малого бизнеса с одним доменом достаточно встроенных возможностей Windows и PowerShell-скриптов;
• средним компаниям с несколькими площадками и требованиями соответствия регуляторам необходимы готовые продукты аудита AD с автоматическими отчетами;
• крупным организациям с распределенной инфраструктурой требуется полноценная интеграция AD-аудита в SIEM и IAM для централизованного управления и корреляции событий.

Больше информации о конкретных решениях и их возможностях можно найти на специализированных ресурсах и в блогах производителей систем информационной безопасности.

Минимальный чек‑лист аудита учетных записей

Экспресс‑аудит учетных записей и прав доступа позволяет закрыть до 80% типичных уязвимостей за несколько часов. Ниже — базовый список того, что нужно проверить в первую очередь.

Контроль доступов и «мертвых душ»

• Ревизия забытых учеток: отключить user account уволенных сотрудников и тех, кто не заходил в систему более определенного срока (например, двух месяцев).
• Аудит прав администратора: пересмотреть состав групп администраторов домена, локальных администраторов и других привилегированных групп, убрать лишних пользователей.
• Ограничение удаленного доступа: убедиться, что доступ внутрь инфраструктуры по RDP или VPN есть только у тех, кому это необходимо по роли.
• Актуализация групп доступа: проверить, кто и на каком основании состоит в критичных группах доступа к файловым ресурсам, базам и бизнес‑приложениям.

Парольная гигиена

• Жесткая политика паролей для домена, включая требования к длине, сложности и сроку действия.
• Исключения только для сервисных учеток: у людей пароли должны меняться по регламенту, постоянные пароли допустимы лишь для технических аккаунтов, которые дополнительно защищены.
• Регулярная смена паролей локального администратора на серверах и рабочих станциях, желательно с использованием централизованного решения.

Базовые настройки инфраструктуры

• Централизованное управление через домен: все рабочие станции и серверы должны быть включены в домен для управления политиками и аудитом.
• Ревизия групповых политик (GPO): отключение устаревших и потенциально опасных настроек, настройка политики аудита для контроллеров домена и ключевых серверов.
• Включение логирования критически важных событий безопасности и регулярный просмотр событий, связанных с входом в систему, изменением учетных записей и прав.
• Автоматическое завершение сессий при бездействии, чтобы снизить риск злоупотреблений с незаблокированных рабочих мест.

Как меняется аудит учетных записей в 2025–2026 годах

Аудит учетных записей перестал быть разовой инвентаризацией и все чаще превращается в непрерывный процесс. Компании автоматизируют жизненный цикл учетных записей (создание, изменение ролей, увольнение), регулярно проводят аудит прав и автоматически отключают неиспользуемые аккаунты.

Это продолжение модели Zero Trust: каждая учетка рассматривается как потенциально уязвимая, а доступ пересматривается не только при изменении должности, но и при обнаружении аномального поведения пользователя или устройства. В результате аудит учетных записей оказывается встроен в IAM‑системы и процессы управления доступом, а не живет отдельной «кампанией раз в год».

Как организовать экспресс‑аудит за 2–4 часа

По нашему опыту, базовый аудит учетных записей можно провести за 2–4 часа, если использовать заранее подготовленные инструкции и скрипты. Инженер подключается к инфраструктуре, выгружает ключевую информацию и оформляет результаты так, чтобы собственник бизнеса или IT‑директор получили понятную картину рисков.

Что обычно входит в экспресс‑аудит:

• Список неактивных учетных записей, которые давно не использовались.
• Перечень аккаунтов с паролями без срока действия и сервисных учеток.
• Состав групп администраторов домена, локальных администраторов и владельцев критичных ресурсов.
• Список пользователей с правами удаленного доступа (RDP, VPN, доступ к административным консолям).

По итогам формируется пояснительная записка с выявленными проблемами и практическими рекомендациями: какие учетные записи отключить, какие права пересмотреть, какие политики усилить и какие процессы добавить.

Безопасность — это процесс, а не разовый проект

Если кто-то провел один аудит AD и решил, что теперь с безопасностью все в порядке, то он ошибается. Через неделю уволится сотрудник, а его учетка так и останется в списке активных. Поднимут новый сервис и дадут его процессам полный доступ до всего — на всякий случай, просто чтобы не разбираться, как надо. И не потому, что админ — нехороший человек. А потому что нет правильных политик безопасности на уровне компании и механизма их исполнения.

Парадоксальный вывод: если на выполнение внутренних процессов не хватает внутренних ресурсов, можно задействовать внешние. И отдать информационную безопасность на аутсорсинг — так за сравнительно небольшие деньги снимается множество головных болей, приобретается богатый опыт специалистов подрядчика, закрываются лазейки, открытые админом для друзей. И, главное, забота о порядке, цифровой гигиене и информационной безопасности приобретает вид налаженного процесса с постоянным контролем и KPI, а не разовых потуг.