Tiered administration: Grunden i all AD-härdning

Microsofts Enterprise Access Model (tidigare kallad "tiered administration model") delar upp administrativa behörigheter i tre nivåer. Det är det enskilt viktigaste strukturella skyddet för AD, och det är förvånansvärt få organisationer som implementerar det konsekvent.

De tre nivåerna

Kärnprincipen är att ett konto på en lägre tier aldrig får ha behörigheter på en högre tier, och framför allt: att inloggning från en lägre tier till en högre tier blockeras med GPO. Om en angripare kompromitterar en helpdesk-arbetsstation (tier 2) ska det vara fysiskt omöjligt att använda eventuellt stulna credentials för att nå en domänkontrollant (tier 0).

Varför det är svårt i praktiken

Det tekniska i tier-modellen är inte komplicerat. Utmaningen är organisatorisk. Vi ser regelbundet att:

• Samma person har ett enda konto som används för allt från e-post till DC-administration
• Legacy-applikationer kräver att servicekonton har Domain Admin-rättigheter (ofta en myt som aldrig verifierats)
• IT-avdelningen motsätter sig separata konton per tier eftersom det "tar för lång tid"

På Opsio rekommenderar vi att börja med en behörighetsinventering – en fullständig kartläggning av vilka konton som har privilegierade rättigheter och varför. Ofta hittar vi 3–5 gånger fler Domain Admins än vad organisationen trodde.

Molnsäkerhet

Härdning av domänkontrollanter

Domänkontrollanterna (DC) är tier 0-resurser per definition. Kompromitterad DC betyder kompromitterad domän. Ändå ser vi domänkontrollanter som kör tredjepartsapplikationer, har internetåtkomst och saknar grundläggande härdning.

Konkreta åtgärder

Operativsystem och patchning

• Kör senaste Windows Server-versionen som stöds (Server 2022 eller 2025)
• Patcha inom 72 timmar för kritiska sårbarheter – domänkontrollanter bör ha egen patch-ring med högsta prioritet
• Kör Server Core (utan grafiskt gränssnitt) där det är möjligt – det minskar attackytan markant

Nätverkssegmentering

• DC:er ska finnas i ett dedikerat VLAN/subnät
• Brandväggsregler ska begränsa inkommande trafik till nödvändiga portar: Kerberos (88), LDAP (389/636), DNS (53), RPC
• Utgående internetåtkomst från DC:er ska vara helt blockerad – det finns ingen legitim anledning till att en DC behöver nå internet direkt

KRBTGT-lösenordsrotation

KRBTGT-kontots lösenord används för att kryptera alla Kerberos-tickets i domänen. Om en angripare får tag på denna hash kan de skapa Golden Tickets som är giltiga tills lösenordet ändras två gånger (AD behåller de två senaste hasharna). Vi rekommenderar rotation var 90:e dag – och omedelbart vid misstänkt intrång.

NTLM-begränsning

NTLM är ett äldre autentiseringsprotokoll som är sårbart för relay-attacker och pass-the-hash. Aktivera NTLM-auditering först (GPO: Network Security > Restrict NTLM > Audit) för att identifiera beroenden. Planera sedan gradvis utfasning till förmån för Kerberos.

Åtkomstkontroll och minsta behörighet

Principen om minsta behörighet (least privilege) är inte ett nytt koncept, men det är ett av de svåraste att genomdriva konsekvent i AD-miljöer som vuxit organiskt under 15–20 år.

Praktiska steg

Just-In-Time (JIT) administration

Istället för permanenta privilegierade gruppmedlemskap, använd tidsbegränsad åtkomst. Microsoft Privileged Access Management (PAM) med MIM, eller tredjepartslösningar som CyberArk eller BeyondTrust, möjliggör att en administratör begär tier 0-åtkomst som automatiskt förfaller efter exempelvis 4 timmar. Under resten av tiden har kontot inga privilegierade rättigheter.

Delegation istället för Domain Admin

De flesta administrativa uppgifter – skapa användare, hantera grupper, ändra GPO:er – kräver inte Domain Admin-rättigheter. Använd AD:s inbyggda delegeringsmodell för att ge specifika behörigheter på OU-nivå (Organizational Unit). En helpdesk-tekniker behöver kunna återställa lösenord i sin OU – inte i hela domänen.

Rensa upp servicekonton

Servicekonton är en av de mest försummade riskerna i AD. De har ofta:

• Lösenord som aldrig ändras (vi har sett konton med samma lösenord sedan 2009)
• SPN:er som gör dem sårbara för Kerberoasting
• Onödigt höga behörigheter

Migrera till Group Managed Service Accounts (gMSA) där det är möjligt – dessa har automatisk lösenordsrotation och kan inte användas för interaktiv inloggning.

Övervakning och detektion

Härdning minskar attackytan, men ingen miljö är obrytbar. Övervakning är det som avgör om ett intrång tar dagar eller månader att upptäcka. Enligt Flexeras State of the Cloud har säkerhet konsekvent rankats som den främsta oron bland molnanvändare, och detta gäller i lika hög grad den lokala infrastruktur som AD representerar.

Kritiska händelser att övervaka

Dessa händelser ska inte bara loggas – de ska trigga alerts i ett SIEM (Security Information and Event Management) med tydliga eskaleringsrutiner. I Opsios SOC har vi sett fall där DCSync-attacker pågick i veckor utan att någon reagerade, trots att loggarna fanns – för att ingen tittade.

Verktyg för AD-övervakning

Microsoft Defender for Identity (tidigare Azure ATP) analyserar AD-trafik i realtid och detekterar kända attackmönster som pass-the-hash, Kerberoasting och lateral movement. Det är ett starkt baseline-verktyg som bör kompletteras med:

• SIEM-integration – exempelvis Microsoft Sentinel, Splunk eller Elastic för korrelation med andra datakällor
• BloodHound – open source-verktyg för att visualisera attackvägar i AD. Vi rekommenderar regelbundna körningar (minst kvartalsvis) för att identifiera oväntade vägar till Domain Admin
• Purple Knight (Semperis) – gratis AD-säkerhetsgranskning som ger en snapshot av konfigurationsbrister

Managerade molntjänster

Hybridmiljöer: AD och Entra ID

De flesta organisationer har idag en hybridmiljö där on-premises AD synkroniseras med Microsoft Entra ID (tidigare Azure AD) via Entra Connect (tidigare Azure AD Connect). Det här skapar en ny kategori av risker som inte finns i en ren on-prem-miljö.

Specifika risker i hybridmiljöer

Entra Connect-servern som tier 0-resurs

Servern som kör Entra Connect har behörigheter att läsa alla attribut i AD, inklusive lösenordshashar (om Password Hash Sync är aktiverat). Trots det ser vi regelbundet att denna server:

• Inte behandlas som tier 0-infrastruktur
• Står i samma VLAN som vanliga servrar
• Administreras av konton utan MFA

Kompromitterad Entra Connect = kompromitterat AD och Entra ID. Skydda den som en domänkontrollant.

Conditional Access som komplement

I Entra ID ersätter Conditional Access-policyer delvis den roll som GPO:er har i on-prem AD. Implementera som minimum:

• MFA för alla administrativa konton (inga undantag)
• Blockering av legacy-autentisering (Basic Auth)
• Riskbaserade inloggningspolicyer med Identity Protection
• Geografisk begränsning där det är praktiskt möjligt

Passback-attacker

En angripare som kompromitterar Entra ID kan i vissa konfigurationer skriva tillbaka ändringar till on-prem AD. Granska noga vilka writeback-funktioner som är aktiverade och begränsa dem till det absolut nödvändiga.

Molnmigrering

Regulatoriska krav: NIS2 och GDPR

NIS2-direktivet, som trädde i kraft i EU-medlemsstaterna under 2024–2025, ställer explicita krav på åtkomstkontroll, incidenthantering och riskbedömning som direkt påverkar AD-säkerhet. Organisationer som omfattas av NIS2 (och det är fler än många tror – direktivet inkluderar "viktiga" och "väsentliga" entiteter) måste kunna visa att de har:

• Systematisk åtkomstkontroll – least privilege dokumenterat och implementerat
• Incidentdetektionsförmåga – realtidsövervakning som kan identifiera och rapportera säkerhetshändelser inom 24 timmar
• Regelbundna riskbedömningar – inklusive specifik bedömning av identitetsinfrastruktur

GDPR:s artikel 32 kräver "lämpliga tekniska och organisatoriska åtgärder" för att säkerställa säkerheten i behandlingen. AD hanterar åtkomst till personuppgifter – bristande AD-säkerhet är därmed direkt relevant för GDPR-efterlevnad. IMY (Integritetsskyddsmyndigheten) har i flera tillsynsärenden betonat att otillräcklig åtkomstkontroll utgör en överträdelse.

Incidentresponse: När AD kompromitteras

Trots alla skyddsåtgärder behöver varje organisation en plan för scenariot att AD faktiskt kompromitteras. De första timmarna är avgörande.

Steg-för-steg vid misstänkt AD-kompromiss

1. Isolera – Identifiera och isolera påverkade domänkontrollanter utan att stänga av dem (för att bevara forensiska artefakter i minnet)

2. Rotera KRBTGT – Ändra lösenordet två gånger med minst 10 timmars mellanrum (för att invalididera alla existerande tickets)

3. Identifiera lateral movement – Använd nätverksloggar och SIEM-data för att kartlägga vilka system angriparen har nått

4. Återställ kompromitterade konton – Alla konton med misstänkt kompromiss måste få nya lösenord och granskas för bakdörrar (t.ex. SID History manipulation)

5. Bygg om vid behov – Om förtroendet för AD-integriteten inte kan återställas är en fullständig återuppbyggnad från säkerhetskopia (eller clean build) ibland det enda alternativet

Opsios SOC-team har hanterat incidenter där hela AD-skogen behövde byggas om efter ransomware-attacker. Den gemensamma nämnaren var alltid bristande segmentering och för många privilegierade konton.

Managerad DevOps

Mognadsmodell för AD-säkerhet

Nedan presenterar vi en förenklad mognadsmodell baserad på vad vi ser hos våra kunder. Använd den för att identifiera var din organisation befinner sig och vad nästa steg bör vara.

De flesta organisationer vi möter befinner sig på nivå 1–2. Att nå nivå 3 eliminerar de vanligaste attackvektorerna och uppfyller NIS2:s grundkrav.

Avslutande perspektiv

AD-säkerhet är inte ett projekt med ett slutdatum – det är en kontinuerlig förmåga som kräver regelbunden granskning, anpassning till nya hotbilder och organisatorisk disciplin. De viktigaste åtgärderna (tiered administration, behörighetsminimering, KRBTGT-rotation och aktiv övervakning) är varken dyra eller tekniskt komplicerade. Hindret är nästan alltid organisatoriskt: vanan att "det alltid har fungerat så här".

Organisationer som tar AD-säkerhet på allvar investerar inte bara i verktyg utan i processer och kompetens. Det handlar om att göra det svårare för angripare vid varje steg – inte om att bygga en perfekt mur.

Cloud FinOps

Vanliga frågor

Varför är Active Directory ett så attraktivt mål för angripare?

AD kontrollerar autentisering och auktorisering för i princip alla resurser i en Windows-miljö. En angripare som får Domain Admin-rättigheter kan skapa konton, exfiltrera data, distribuera ransomware och radera loggar. Det är one-stop-shop för en hotaktör.

Vad är skillnaden mellan Entra ID och on-prem Active Directory ur säkerhetsperspektiv?

On-prem AD hanterar Kerberos-baserad autentisering inom nätverket, medan Entra ID bygger på OAuth 2.0/OIDC för molnresurser. Attackytorna skiljer sig – on-prem är sårbart för NTLM relay och Kerberoasting, medan Entra ID kräver fokus på token-säkerhet och Conditional Access. De flesta organisationer har hybridmiljöer och måste skydda båda.

Hur lång tid tar det att implementera tiered administration?

En realistisk tidsram för en medelstor organisation (500–2 000 användare) är 3–6 månader. De första veckorna går åt till kartläggning av befintliga behörigheter, följt av design av tier-modellen och gradvis migrering. Det svåra är inte tekniken utan organisationsförändringen – att få administratörer att acceptera separata konton per tier.

Vilka loggar bör vi övervaka för att upptäcka AD-attacker?

Fokusera på Event ID 4662 (DCSync-liknande operationer), 4769 (Kerberos service ticket requests för Kerberoasting), 4728/4732 (tillägg till säkerhetsgrupper), 4724/4726 (lösenordsändringar/kontoborttagning) och 1102 (rensning av Security-loggen). Dessa händelser ska trigga alerts i SIEM med hög prioritet.

Räcker det med Microsoft Defender for Identity för AD-säkerhet?

Defender for Identity är ett starkt verktyg som detekterar många kända AD-attacker i realtid, men det ersätter inte grundläggande härdning. Utan tiered administration, strikt GPO-konfiguration och regelbundna behörighetsgranskningar ger inget övervakningsverktyg tillräckligt skydd. Verktyget är ett lager i en defense-in-depth-strategi, inte hela strategin.