Active Directory vẫn là xương sống xác thực cho hơn 90% các công ty trong danh sách Fortune 1000. Tầm quan trọng của AD ngày càng tăng khi các công ty áp dụng hạ tầng lai (hybrid) và đám mây, nhưng sự phức tạp của nó cũng tăng theo. Mọi ứng dụng, người dùng và thiết bị đều truy ngược về AD để xác thực và cấp quyền, biến nó thành mục tiêu cuối cùng. Đối với những kẻ tấn công, nó là chén thánh: xâm nhập Active Directory, và bạn có thể truy cập toàn bộ mạng lưới.
Tại sao kẻ tấn công nhắm vào Active Directory
AD đóng vai trò là người gác cổng cho mọi thứ trong doanh nghiệp của bạn. Vì vậy, khi kẻ tấn công xâm nhập AD, chúng sẽ có được quyền truy cập đặc quyền cho phép chúng tạo tài khoản, sửa đổi quyền, vô hiệu hóa các biện pháp kiểm soát bảo mật và di chuyển ngang (lateral movement), tất cả mà không kích hoạt hầu hết các cảnh báo.
Vụ vi phạm Change Healthcare năm 2024 đã cho thấy điều gì có thể xảy ra khi AD bị xâm nhập. Trong cuộc tấn công này, tin tặc đã khai thác một máy chủ thiếu multifactor authentication, sau đó chuyển hướng sang AD, leo thang đặc quyền (escalated privileges), và sau đó thực hiện một cuộc tấn công mạng cực kỳ tốn kém. Việc chăm sóc bệnh nhân bị đình trệ nghiêm trọng. Hồ sơ sức khỏe bị lộ. Tổ chức này đã phải trả hàng triệu USD tiền chuộc.
Một khi kẻ tấn công kiểm soát AD, chúng sẽ kiểm soát toàn bộ mạng lưới của bạn. Và các công cụ bảo mật tiêu chuẩn thường gặp khó khăn trong việc phát hiện các cuộc tấn công này vì chúng trông giống như các hoạt động AD hợp pháp.
Các kỹ thuật tấn công phổ biến
- Golden ticket attacks tạo ra các vé xác thực giả mạo cấp quyền truy cập toàn bộ miền trong nhiều tháng.
- DCSync attacks khai thác quyền sao chép để trích xuất các hàm băm mật khẩu (password hashes) trực tiếp từ các bộ điều khiển miền (domain controllers).
- Kerberoasting giành được quyền hạn nâng cao bằng cách nhắm mục tiêu vào các service accounts có mật khẩu yếu.
Môi trường lai mở rộng bề mặt tấn công như thế nào
Các tổ chức đang chạy hybrid Active Directory đối mặt với những thách thức chưa từng tồn tại cách đây 5 năm. Cơ sở hạ tầng định danh (identity infrastructure) của bạn hiện bao gồm các domain controllers tại chỗ, đồng bộ hóa Azure AD Connect, các dịch vụ định danh đám mây và nhiều giao thức xác thực.
Kẻ tấn công khai thác sự phức tạp này, lạm dụng các cơ chế đồng bộ hóa để chuyển hướng giữa các môi trường. OAuth token compromises trong các dịch vụ đám mây cung cấp quyền truy cập backdoor vào các tài nguyên tại chỗ. Và các giao thức cũ như NTLM vẫn được bật để tương thích ngược, mang đến cho những kẻ xâm nhập cơ hội tấn công relay dễ dàng.
Tình trạng bảo mật rời rạc làm mọi thứ trở nên tồi tệ hơn. Các nhóm bảo mật tại chỗ sử dụng các công cụ khác với các nhóm bảo mật đám mây, khiến các lỗ hổng hiển thị (visibility gaps) xuất hiện tại các ranh giới. Các tác nhân đe dọa hoạt động trong các điểm mù này trong khi các nhóm bảo mật phải vật lộn để tương quan các sự kiện trên các nền tảng.
Các lỗ hổng phổ biến mà kẻ tấn công khai thác
Báo cáo Điều tra Vi phạm Dữ liệu của Verizon (Verizon's Data Breach Investigation Report) cho thấy các thông tin đăng nhập bị xâm phạm (compromised credentials) có liên quan đến 88% các vụ vi phạm. Tội phạm mạng thu thập thông tin đăng nhập thông qua phishing, malware, brute force và mua cơ sở dữ liệu vi phạm.
Các lỗ hổng thường gặp trong Active Directory
- Mật khẩu yếu: Người dùng tái sử dụng cùng một mật khẩu cho các tài khoản cá nhân và công việc, vì vậy một vụ vi phạm có thể làm lộ nhiều hệ thống. Các quy tắc phức tạp tiêu chuẩn tám ký tự có vẻ an toàn, nhưng tin tặc có thể bẻ khóa chúng trong vài giây.
- Sự cố tài khoản dịch vụ: Service accounts thường sử dụng mật khẩu không bao giờ hết hạn hoặc thay đổi, và chúng thường có các quyền quá mức cho phép di chuyển ngang (lateral movement) một khi bị xâm nhập.
- Thông tin đăng nhập được lưu trong bộ nhớ cache (Cached credentials): Các máy trạm lưu trữ thông tin đăng nhập quản trị trong bộ nhớ, nơi kẻ tấn công có thể trích xuất chúng bằng các công cụ tiêu chuẩn.
- Khả năng hiển thị kém (Poor visibility): Các nhóm thiếu cái nhìn sâu sắc về việc ai đang sử dụng privileged accounts, cấp độ truy cập của họ là gì và khi nào họ sử dụng chúng.
- Truy cập lỗi thời (Stale access): Các nhân viên cũ vẫn giữ quyền truy cập đặc quyền rất lâu sau khi họ rời đi vì không ai kiểm tra và xóa bỏ chúng, dẫn đến sự tích tụ các stale accounts mà kẻ tấn công có thể khai thác.
Và các cuộc tấn công vẫn tiếp diễn: Tháng 4 năm 2025 đã mang đến một lỗ hổng AD nghiêm trọng khác cho phép privilege escalation từ quyền truy cập cấp thấp lên kiểm soát cấp hệ thống (system-level control). Microsoft đã phát hành một patch, nhưng nhiều tổ chức gặp khó khăn trong việc kiểm tra và triển khai các bản cập nhật nhanh chóng trên tất cả các domain controllers.
Các phương pháp hiện đại để củng cố Active Directory của bạn
Bảo vệ AD đòi hỏi một phương pháp bảo mật đa lớp (layered security approach) giải quyết vấn đề đánh cắp thông tin đăng nhập, quản lý đặc quyền và giám sát liên tục.
Chính sách mật khẩu mạnh là tuyến phòng thủ đầu tiên của bạn
Các chính sách mật khẩu hiệu quả đóng một vai trò quan trọng trong việc bảo vệ môi trường của bạn. Chặn các mật khẩu xuất hiện trong các cơ sở dữ liệu bị vi phạm ngăn nhân viên sử dụng thông tin đăng nhập mà tin tặc đã có. Quét liên tục phát hiện khi mật khẩu người dùng bị xâm phạm trong các vụ vi phạm mới, không chỉ khi đặt lại mật khẩu. Và phản hồi động (dynamic feedback) cho người dùng biết mật khẩu của họ có mạnh hay không theo thời gian thực, hướng dẫn họ đến các mật khẩu an toàn mà họ thực sự có thể nhớ được.
Quản lý truy cập đặc quyền (Privileged access management) giảm bề mặt tấn công của bạn
Việc triển khai privileged access management giúp giảm thiểu rủi ro bằng cách hạn chế cách thức và thời điểm sử dụng các đặc quyền quản trị. Bắt đầu bằng cách tách biệt các tài khoản quản trị khỏi các tài khoản người dùng tiêu chuẩn, để thông tin đăng nhập người dùng bị xâm phạm không thể cung cấp quyền truy cập quản trị. Thực thi quyền truy cập just-in-time chỉ cấp các đặc quyền nâng cao khi cần thiết và tự động thu hồi chúng sau đó. Định tuyến tất cả các tác vụ quản trị thông qua privileged access workstations để ngăn chặn việc đánh cắp thông tin đăng nhập từ các endpoint thông thường.
Nguyên tắc Zero-trust áp dụng cho Active Directory
Áp dụng phương pháp Zero-trust củng cố bảo mật Active Directory bằng cách xác minh mọi nỗ lực truy cập thay vì giả định tin cậy trong mạng. Thực thi các chính sách conditional access đánh giá vị trí người dùng, tình trạng thiết bị và các mẫu hành vi trước khi cấp quyền truy cập, không chỉ tên người dùng và mật khẩu. Yêu cầu multifactor authentication cho tất cả các privileged accounts để ngăn chặn các tác nhân độc hại đánh cắp thông tin đăng nhập.
Giám sát liên tục phát hiện các cuộc tấn công đang diễn ra
Triển khai các công cụ theo dõi mọi thay đổi quan trọng của AD, bao gồm sửa đổi thành viên nhóm, cấp quyền, cập nhật chính sách và hoạt động sao chép bất thường giữa các domain controllers. Sau đó, cấu hình cảnh báo cho các mẫu đáng ngờ, như nhiều lần xác thực thất bại từ cùng một tài khoản, hoặc các hành động quản trị xảy ra lúc 3 giờ sáng khi quản trị viên của bạn đang ngủ. Giám sát liên tục cung cấp khả năng hiển thị cần thiết để phát hiện và ngăn chặn các cuộc tấn công trước khi chúng leo thang.
Quản lý bản vá (Patch management) là điều bắt buộc đối với domain controllers
Các thực hành patch management mạnh mẽ là rất cần thiết để duy trì các domain controllers an toàn. Triển khai các bản cập nhật bảo mật (security updates) đóng các đường dẫn privilege escalation trong vòng vài ngày, không phải vài tuần, vì các tác nhân độc hại (bad actors) tích cực quét các hệ thống chưa được vá.
Bảo mật Active Directory là một quá trình liên tục
Bảo mật Active Directory không phải là một dự án một lần mà bạn hoàn thành. Tin tặc liên tục cải tiến kỹ thuật, các lỗ hổng mới xuất hiện và cơ sở hạ tầng của bạn thay đổi. Điều đó có nghĩa là bảo mật của bạn cũng đòi hỏi sự quan tâm và cải tiến liên tục.
Mật khẩu vẫn là vector tấn công phổ biến nhất, khiến chúng trở thành ưu tiên hàng đầu của bạn để khắc phục. Để có mức độ bảo vệ cao nhất, hãy đầu tư vào một giải pháp liên tục giám sát các thông tin đăng nhập bị xâm phạm và chặn chúng theo thời gian thực. Ví dụ, một công cụ như Specops Password Policy tích hợp trực tiếp với Active Directory để chặn các thông tin đăng nhập bị xâm phạm trước khi chúng trở thành vấn đề.
Specops Password Policy liên tục chặn hơn 4 tỷ mật khẩu bị xâm phạm, ngăn người dùng tạo thông tin đăng nhập mà kẻ tấn công đã có. Quét hàng ngày phát hiện mật khẩu bị rò rỉ theo thời gian thực thay vì chờ chu kỳ thay đổi mật khẩu tiếp theo. Và khi người dùng tạo mật khẩu mới, phản hồi động (dynamic feedback) sẽ hướng dẫn họ đến các tùy chọn mạnh mẽ mà họ thực sự có thể nhớ, giảm các cuộc gọi hỗ trợ đồng thời cải thiện bảo mật. Đặt lịch demo trực tiếp Specops Password Policy ngay hôm nay.
