info@neobit.ba +387 63 088 488
FacebookLinkedInInstagramBHS|EN
NeoBit/Akademija/ Pen Testing
Pen Testing

Active Directory penetration testing za firme

NB NeoBit tim 15. lip 2026 8 min čitanja
Active Directory penetration testing za firme

Active Directory penetration testing je kontrolirani napad na vaš domenski sustav u kojem etički haker pokušava od običnog korisničkog računa doći do potpune kontrole nad domenom, baš onako kako bi to napravio pravi napadač. Cilj nije srušiti sustav, nego pronaći put: gdje su loše postavljeni ACL-ovi, koji servisni računi se daju Kerberoastati, gdje je moguća eskalacija privilegija i kako se napadač lateralno kreće kroz mrežu. U firmama u regiji Active Directory je gotovo uvijek središnja meta jer drži ključeve svega: prijave, dijeljene mape, e-poštu, ERP. Ako padne domena, pada cijela infrastruktura.

Naše rješenje

Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.

Većina kompromitacija o kojima čitamo ne počinje nekim egzotičnim zero-day napadom. Počinje phishingom ili ukradenom lozinkom, a onda napadač iskoristi ono što već postoji u domeni: zaboravljene servisne račune, predugo nepromijenjene lozinke, administratore koji su istovremeno i obični korisnici, te ACL-ove koje godinama nitko nije pregledao. Penetration test Active Directoryja postoji upravo zato da se taj lanac prekine prije nego ga netko zlonamjeran iskoristi.

Zašto je Active Directory glavna meta napadača

Active Directory je dizajniran da olakša upravljanje korisnicima i resursima, a ta ista fleksibilnost ga čini privlačnim za napad. Jedan kompromitirani račun u prosječnoj firmi ima pristup desetinama sustava. Kada napadač uđe, ne traži samo podatke - traži put prema Domain Admins grupi, jer tko kontrolira domenu, kontrolira sve.

Problem je što se AD okruženja talože godinama. Stari serveri se ne gase, bivši zaposlenici ostaju u grupama, testni računi s jakim ovlastima ostanu zaboravljeni, a delegacije ovlasti se dodaju ad hoc i nikad ne uklanjaju. Svaki od tih ostataka je potencijalni korak u lancu napada. Active directory penetration testing radi upravo to: spaja te naizgled bezopasne sitnice u stvarni napadni put i pokazuje vam koliko je on kratak.

Tipičan put napadača kroz domenu

  • Ulazak (initial access): phishing, slaba lozinka izložena na internetu, ranjiv servis ili VPN bez višefaktorske autentifikacije.
  • Izviđanje: mapiranje domene alatima poput BloodHounda, koji vizualno pokaže najkraći put do Domain Admins grupe.
  • Eskalacija privilegija: iskorištavanje loših ACL-ova, ranjivih GPO-ova, ADCS certifikatnih predložaka ili lokalnih admin lozinki koje su svuda iste.
  • Lateralno kretanje: prelazak s računala na računalo pomoću ukradenih hash-eva (pass-the-hash), Kerberos tiketa ili legitimnih alata za daljinski pristup.
  • Dominacija domene: izvlačenje krđ.ntds baze, kreiranje Golden Ticketa i trajni pristup koji je gotovo nemoguće primijetiti bez detaljnog nadzora.

Što konkretno testira active directory penetration testing

Kvalitetan test AD-a nije skeniranje ranjivosti i izvještaj od 300 stranica koji nitko ne pročita. To je ciljano traženje konkretnih, iskoristivih slabosti. Evo onih koje u praksi najčešće pronalazimo.

Kerberoasting

Kerberoasting je napad na servisne račune. Svaki korisnik u domeni može zatražiti Kerberos servisni tiket za bilo koji račun koji ima postavljen SPN, a taj tiket je kriptiran lozinkom tog računa. Napadač ga izvuče i offline pokušava razbiti lozinku - bez ijedne neuspjele prijave koja bi pokrenula alarm. Servisni računi često imaju stare, ručno postavljene lozinke i visoke ovlasti, što ih čini idealnom metom. Rješenje su dugačke, nasumične lozinke ili gMSA (group Managed Service Accounts), ali to mora netko provjeriti.

Loši ACL-ovi i delegacije

Access Control Liste određuju tko što smije nad kojim objektom u domeni. Tijekom godina nakupe se opasne kombinacije: obična grupa koja smije resetirati lozinku administratoru, korisnik koji može mijenjati članstvo u privilegiranoj grupi, ili GenericAll ovlast nad nekim računom koja praktički znači potpunu kontrolu. Ovakvi propusti su nevidljivi golim okom, ali alati za analizu grafa odnosa ih pronalaze za nekoliko minuta i pretvaraju u lanac eskalacije.

Eskalacija privilegija i lateralno kretanje

Provjeravamo može li se s običnog računa doći do lokalnih admin ovlasti, jesu li lokalne admin lozinke iste na svim računalima (čest problem koji se rješava LAPS-om), te koliko se lako napadač kreće između sustava jednom kad uđe. Testiramo i pogrešne konfiguracije Active Directory Certificate Servicesa (ESC1-ESC8), koje su posljednjih godina postale jedan od najčešćih i najopasnijih putova do dominacije domene.

Higijena računa i least privilege

Najveći dobitak često nije neka sofisticirana ranjivost, nego osnovna higijena. Koliko računa ima lozinku koja nikad ne istječe? Koliko ih je u Domain Admins grupi, a ne bi trebalo biti? Postoje li administratori koji svojim dnevnim računom čitaju e-poštu i surfaju internetom? Princip najmanje privilegije (least privilege) znači da svaki račun ima točno onoliko ovlasti koliko mu treba i ni gram više. To je nezahvalan, ali najučinkovitiji posao u zaštiti domene.

Najčešće slabosti AD-a i njihov utjecaj

Slabost Kako je napadač iskorištava Preporučena mjera
Kerberoasting na servisnim računima Offline razbijanje lozinke iz tiketa, tiho i bez alarma gMSA ili dugačke nasumične lozinke (25+ znakova)
Loši ACL-ovi i delegacije Lanac eskalacije do privilegiranih grupa Redovan pregled ovlasti, uklanjanje viška prava
Iste lokalne admin lozinke Pass-the-hash i lateralno kretanje na sva računala Microsoft LAPS (jedinstvene lozinke po uređaju)
Pogrešni ADCS predlošci (ESC1-ESC8) Izdavanje certifikata za tuđi identitet, dominacija domene Pregled i zaključavanje certifikatnih predložaka
Previše članova Domain Admins grupe Jedan kompromitiran račun znači pad cijele domene Least privilege, tiered model, zasebni admin računi
Lozinke koje nikad ne istječu Stari, zaboravljeni računi ostaju trajna ulazna točka Politika lozinki, gašenje neaktivnih računa

Kako NeoBit testira vaš Active Directory

U NeoBitu pristupamo AD penetration testu kao stvarnom napadu, ali pod potpunom kontrolom i u dogovoru s vama. Ne radimo nasumično skeniranje, nego pratimo metodologiju koja oponaša realne napadače, a opet ostaje sigurna za vašu produkciju.

  • Dogovor opsega i pravila: definiramo što se testira, kada, do koje razine i koji su sustavi izvan dometa. Sve je pisano i potpisano prije nego išta krene.
  • Pristup iznutra (assumed breach): najčešće krećemo s pozicije običnog zaposlenika ili kompromitiranog računala, jer tako izgleda većina stvarnih napada. To pokazuje koliko štete napadač može napraviti nakon prvog ulaska.
  • Mapiranje i analiza: koristimo iste alate kao napadači (BloodHound, PowerView i slično) da pronađemo najkraće putove do dominacije domene.
  • Kontrolirana eksploatacija: dokazujemo da je put stvaran, ali bez rušenja sustava i bez diranja vaših podataka.
  • Jasan izvještaj: dobivate konkretne nalaze poredane po prioritetu, s tehničkim detaljima za vaš IT tim i sažetkom za upravu, te jasne korake za sanaciju.
  • Ponovni test: nakon što popravite nalaze, provjeravamo jesu li rupe stvarno zatvorene.

Naš cilj nije vas uplašiti debelim izvještajem, nego vam dati realnu sliku otpornosti domene i konkretan plan kako je ojačati. Radimo s firmama u BiH, Hrvatskoj i Srbiji koje žele znati može li im se domena srušiti od jednog phishinga, prije nego to saznaju na teži način.

Ako želite provjeriti koliko je vaš Active Directory zaista otporan, kontaktirajte NeoBit za besplatnu uvodnu procjenu. Dogovorit ćemo opseg testa prilagođen vašem okruženju i pokazati vam gdje su stvarne slabosti, a ne teoretske.

Često postavljana pitanja

Hoće li penetration testing srušiti našu produkciju?

Ne. Test se radi po unaprijed dogovorenim pravilima i opsegu, uz pažljivo biranje tehnika koje ne ugrožavaju dostupnost sustava. Cilj je dokazati postojanje ranjivosti, a ne nanijeti štetu. Sve potencijalno rizične aktivnosti dogovaraju se s vašim timom prije izvođenja.

Koliko traje active directory penetration testing?

Ovisi o veličini domene i broju sustava, ali tipičan test traje od jednog do dva tjedna, uključujući izvođenje, izradu izvještaja i prezentaciju nalaza. Manja okruženja mogu se pokriti brže, dok velike domene s više šuma i povjerenja zahtijevaju više vremena.

Što dobivamo nakon testa?

Dobivate detaljan izvještaj s konkretnim nalazima poredanim po prioritetu, tehničkim opisom svake ranjivosti, dokazom iskoristivosti i jasnim koracima za sanaciju. Uz to ide i sažetak za upravu te po potrebi ponovni test nakon što popravite uočene propuste.

Trebamo li imati interni sigurnosni tim da bi test imao smisla?

Ne morate. Mnoge firme u regiji nemaju zaseban sigurnosni tim, a upravo njima test najviše koristi jer otkriva slabosti koje inače ostaju nevidljive. NeoBit nalaze objašnjava jezikom koji razumije i vaš IT i vaša uprava, te po potrebi pomaže oko sanacije.

Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnosna procjena (security audit) - što je i kako teče · Red team, blue team i purple team - razlike

Natrag na Akademiju Zatražite procjenu
Akademija

Pročitajte još

Pen TestingPen Testing
15. lip 2026 · 9 min

Sigurnosna procjena (security audit) - što je i kako teče

Sigurnosni audit (security audit): što obuhvaća, kako teče kroz pet faza i po čemu se razlikuje od penetracijskog testa.

Pročitaj
Pen TestingPen Testing
15. lip 2026 · 10 min

Red team, blue team i purple team - razlike

Red team, blue team i purple team: objašnjavamo razlike, uloge i kako odabrati pravi pristup za sigurnost vaše firme u B

Pročitaj
Pen TestingPen Testing
15. lip 2026 · 9 min

Penetration testing web aplikacija - što obuhvaća

Penetration testing web aplikacija otkriva i dokazuje iskoristive ranjivosti vaše aplikacije te daje izvještaj s preporu

Pročitaj