5 تكوينات خاطئة في Active Directory لا تزال تؤدي إلى اختراق المجال في عام 2026
على الرغم من ظهور موفري الهوية السحابية ومبادرات الثقة المعدومة، يظل Active Directory موجودًا في الغالبية العظمى من بيئات المؤسسات. ونتيجة لذلك، لا يزال أحد أكثر الأهداف جاذبية للمهاجمين الذين يسعون إلى تصعيد الامتيازات والسيطرة على المجال. في كل مشاركة للفريق الأحمر تقريبًا، يمر الطريق إلى التسوية الكاملة للنطاق مباشرة من خلال تكوينات AD الخاطئة التي كانت موجودة منذ سنوات – ولم يتم اكتشافها.
فيما يلي الخمسة الأكثر شيوعًا التي يجدها مختبرو الاختراق اليوم.
1. Kerberoasting – حسابات الخدمة بكلمات مرور ضعيفة
يعد Kerberoasting أحد أشهر هجمات Active Directory، ولا يزال يعمل في عام 2026. يمكن لأي مستخدم مجال طلب تذكرة خدمة Kerberos لأي حساب باستخدام اسم الخدمة الرئيسي (SPN). يتم تشفير هذه التذكرة باستخدام تجزئة كلمة المرور الخاصة بحساب الخدمة – ويمكن اختراقها دون الاتصال بالإنترنت، دون تشغيل أي تنبيهات.
الإصلاح: يجب أن تستخدم حسابات الخدمة كلمات مرور قوية وعشوائية (أكثر من 25 حرفًا) أو يتم استبدالها بحسابات الخدمة المُدارة للمجموعة (gMSA)، والتي تقوم بتدوير كلمات المرور تلقائيًا.
الكشف: مراقبة معرف الحدث 4769 للكميات غير العادية من طلبات TGS، خاصة من مستخدم واحد يطلب تذاكر لخدمات متعددة في نافذة زمنية قصيرة.
2. AS-REP Roasting — حسابات بدون مصادقة مسبقة
عندما يتم تعطيل مصادقة Kerberos المسبقة على أحد الحسابات، يمكن لأي مهاجم غير مصادق أن يطلب استجابة AS-REP لهذا المستخدم. تحتوي الاستجابة على بيانات مشفرة بتجزئة كلمة المرور الخاصة بالمستخدم – ويمكن اختراقها دون الاتصال بالإنترنت، ولا حاجة إلى بيانات اعتماد.
الإصلاح: قم بمراجعة إعلانك للحسابات التي تم تعيين `DONT_REQUIRE_PREAUTH` عليها وتمكين المصادقة المسبقة في كل مكان. هناك عدد قليل جدًا من الأسباب المشروعة لتعطيله.
الكشف: مراقبة معرف الحدث 4768 لطلبات AS-REP من مصادر غير متوقعة أو للحسابات التي لا ينبغي مصادقتها خارجيًا.
3. الامتيازات المفرطة وإساءة استخدام الرباط الصليبي الأمامي
يتم توريث أذونات Active Directory، ومتراكمة، ونادرًا ما يتم تنظيفها. بمرور الوقت، يتراكم لدى المستخدمين ذوي الامتيازات المنخفضة وحسابات الخدمة الحقوق التي لا ينبغي لهم مطلقًا الحصول عليها – مثل `GenericAll` أو `WriteDACL` أو `ForceChangePassword` في الحسابات أو المجموعات الحساسة.
إن تكوينات ACL الخاطئة هذه هي الهدية التي تستمر في تقديمها للمهاجمين. أدوات مثل BloodHound تجعل من السهل تصور مسارات الهجوم من خلال هذه العلاقات والعثور على طرق إلى Domain Admin لم يدرك أحد بوجودها.
الإصلاح: قم بتشغيل BloodHound CE بانتظام ومراجعة قوائم ACL على الكائنات المميزة. تطبيق مبدأ الامتيازات الأقل وإزالة أي أذونات لا يمكن تبريرها.
الكشف: مراقبة تعديلات ACL غير المتوقعة عبر معرف الحدث 5136 (تم تعديل كائن خدمة الدليل).
4. التفويض غير المقيد
عندما يتم تكوين حساب كمبيوتر أو خدمة للتفويض غير المقيد، فإن أي مستخدم يقوم بالمصادقة على هذه الخدمة يقوم بتسليم تذكرة منح تذكرة Kerberos (TGT) الخاصة به. إذا قام أحد المهاجمين باختراق جهاز بتفويض غير مقيد، فيمكنه التقاط TGTs وانتحال شخصية أي مستخدم قام بالمصادقة – بما في ذلك مسؤولي المجال.
الإصلاح: استبدل التفويض غير المقيد بالتفويض المقيد أو التفويض المقيد القائم على الموارد (RBCD) حيثما أمكن ذلك.
الكشف: تدقيق إعدادات التفويض بانتظام. قم بوضع علامة على أي حسابات جديدة مُنحت تفويضًا غير مقيد وراقب نشاط TGT غير المعتاد.
5. التعرض لبيانات اعتماد DPAPI
يتم استخدام واجهة برمجة تطبيقات حماية بيانات Windows (DPAPI) لتشفير بيانات الاعتماد المخزنة – كلمات مرور المتصفح، ومفاتيح Wi-Fi، وبيانات اعتماد RDP، والمزيد. تستحق إساءة استخدام DPAPI مقالًا خاصًا بها نظرًا للتأثير الذي يمكن أن تحدثه أثناء أنشطة ما بعد الاستغلال في بيئات Active Directory — أتقن فن استغلال DPAPI من خلال قراءة هذا الدليل الفني الشامل.
في بيئة المجال، يتم عمل نسخة احتياطية من مفاتيح DPAPI الرئيسية إلى وحدة تحكم المجال. ومن خلال الامتيازات المناسبة، يمكن للمهاجم فك تشفير بيانات الاعتماد من أي جهاز في المجال – بصمت ودون تشغيل معظم أدوات الأمان.
الإصلاح: تقييد الوصول إلى مفاتيح النسخ الاحتياطي DPAPI ومراجعة الحسابات التي تتمتع بامتيازات متعلقة بـ DPAPI على وحدات تحكم المجال.
الكشف: مراقبة الوصول غير المعتاد إلى lsass.exe ومفاتيح التسجيل ذات الصلة بـ DPAPI. ترتبط بمؤشرات الحركة الجانبية.
كيف يمكن للمدافعين اكتشاف هذه الهجمات – معرفات الأحداث الرئيسية
| معرف الحدث | وصف |
| 4768 | Kerberos AS-REQ (مراقب للحسابات المعطلة للمصادقة المسبقة) — غير ممكّن افتراضيًا |
| 4769 | Kerberos TGS-REQ (شاشة لأنماط Kerberoasting) — غير ممكنة افتراضيًا |
| 5136 | تم تعديل كائن خدمة الدليل (تغييرات ACL) |
| 4742 | تم تغيير حساب الكمبيوتر (تغييرات التفويض) |
| 4662 | تم تنفيذ العملية على كائن AD (شاشة الوصول إلى المفتاح الرئيسي DPAPI) |
قم بتشغيل BloodHound CE بشكل مستمر — وليس فقط أثناء الاستجابة للحوادث. تعامل معها كأداة رؤية دائمة، وليس تدقيقًا لمرة واحدة.
خاتمة
لا يحتاج المهاجمون إلى يوم الصفر لتسوية المؤسسة. إنهم بحاجة إلى حساب مستخدم مجال صالح وبضع ساعات مع BloodHound. التكوينات الخاطئة الموضحة في هذه المقالة ليست نظرية، فهي موجودة في بيئات حقيقية، وفي ارتباطات حقيقية، كل يوم.
والخبر السار هو أن معظمها قابل للإصلاح. الخبر السيئ هو أن معظم المنظمات لا تعرف أنها تمتلكها.
