Active Directory תחת מתקפה — Kerberoasting, Pass-the-Hash והגנה

ברגע שתוקף השיג דריסת רגל ברשת ארגונית, היעד הבא כמעט תמיד זהה: Active Directory (AD) — המערכת שמנהלת משתמשים, מחשבים והרשאות. מי ששולט ב-AD, שולט בארגון.

מתקפות קלאסיות

Kerberoasting

התוקף מבקש "כרטיס" Kerberos לחשבון שירות, ומפענח אותו במצב לא-מקוון כדי לחלץ את הסיסמה. חשבונות שירות עם סיסמה חלשה = פרצה.

Pass-the-Hash (PtH)

ב-Windows לא תמיד צריך את הסיסמה — מספיק ה-hash שלה כדי להתחבר. תוקף שגונב hash ממחשב אחד יכול "לקפוץ" למחשבים אחרים.

Golden Ticket / DCS​Sync

אם התוקף משיג את החשבון krbtgt או הרשאות שכפול — הוא יכול לזייף כרטיסי כניסה לכל משתמש, כולל אדמין. שליטה מוחלטת.

איך מתגוננים

• מודל שכבות (Tiering): חשבון אדמין של דומיין לעולם לא מתחבר לתחנת קצה רגילה.
• סיסמאות חזקות לחשבונות שירות (25+ תווים, או gMSA אוטומטי).
• LAPS — סיסמת אדמין מקומית ייחודית ומתחלפת בכל מחשב (עוצר PtH לרוחב).
• הרשאות מינימום — לא כל אחד צריך להיות אדמין.
• ניטור — Event ID 4769 (Kerberos), התנהגות חריגה, כלי כמו Microsoft Defender for Identity.
• BloodHound — כלי שמפה מסלולי תקיפה ב-AD. הריצו אותו בעצמכם כדי לראות מה תוקף יראה.

הלקח: AD מורכב, וברירת המחדל שלו לא מאובטחת. הקשחה יזומה + ניטור הם ההבדל בין "ניסיון שנכשל" ל"כל הארגון מוצפן".