Active Directory Pentesting 2026: Guida Completa a Kerberos, NTLM e Privilege Escalation
Active Directory Pentesting spiegato in modo operativo: architettura AD, Kerberos vs NTLM, BloodHound, Kerberoasting, AS-REP Roasting, NTLM Relay, ACL abuse, AD CS, DCSync, Golden Ticket, Shadow Credentials e difese reali.
- Pubblicato il 2026-03-03
- Tempo di lettura: 11 min
Active Directory Pentesting è il processo con cui un pentester identifica un percorso reale da utente standard a Domain Admin analizzando identità, permessi, relazioni, autenticazione e trust in un dominio Windows.In Active Directory non conta quanti tool usi. Conta quanto bene capisci attack path, ACL, ticket Kerberos, NTLM, deleghe e trust.
L’Active Directory Pentesting non è “hackerare Windows”.
È capire come si combinano Kerberos, NTLM, LDAP, ACL, GPO, deleghe, trust e Certipy (AD CS) per trasformare un accesso minimo in privilege escalation, lateral movement e controllo del dominio.
Questa guida è una pagina pillar: ti mostra il modello mentale corretto, gli attacchi che contano davvero e come collegare tutto in un unico flusso offensivo tramite tecniche come Kerberoasting, NTLM Relay, ACL Abuse e DCSync.
Se studi AD seriamente, l’ordine è questo:
modello → attack path → attacchi → tool
Per visualizzare realmente i percorsi di attacco usa BloodHound: è lo strumento chiave per passare da enumerazione a domain compromise.
Indice #
- Active Directory Pentesting in 30 secondi
- Cos’è l’Active Directory Pentesting e perché è il target principale
- Architettura Active Directory: forest, domain, OU, oggetti e trust
- Componenti chiave: Domain Controller, LDAP, Kerberos, DNS, SYSVOL e GPO
- Kerberos vs NTLM: la distinzione che devi capire subito
- Superficie di attacco Active Directory
- Attacchi Active Directory più comuni nei pentest reali
- BloodHound e attack path: come si ragiona davvero in AD
- Tool per Active Directory Pentesting
- Lab minimo per studiare Active Directory Pentesting
- Percorso tipico: da utente standard a controllo del dominio
- Come ragiona un pentester dentro Active Directory
- Difesa reale di Active Directory
- Errori concettuali che ti fanno studiare male Active Directory
- FAQ Active Directory Pentesting
- Riferimenti esterni
- Conclusione
Active Directory Pentesting in 30 Secondi #
Il flusso mentale corretto è questo:
accesso iniziale → enumerazione LDAP → mappatura privilegi → ricerca attack path → privilege escalation → lateral movement → domain dominance
In un pentest AD non vince chi lancia più tool. Vince chi capisce meglio le relazioni tra utenti, gruppi, computer, ACL, sessioni, deleghe e trust.
| Fase | Obiettivo | Risultato |
|---|---|---|
| Accesso iniziale | Ottenere credenziali o una sessione | Primo foothold |
| Enumerazione | Leggere struttura, gruppi, ACL, SPN, deleghe | Mappa del dominio |
| Attack path | Trovare una catena verso privilegi più alti | Direzione di attacco |
| Privilege escalation | Controllare identità o oggetti ad alto valore | Accesso elevato |
| Lateral movement | Muoversi su host e servizi interni | Espansione del controllo |
| Domain dominance | Ottenere controllo logico del dominio | Impatto massimo |
Cos’è l’Active Directory Pentesting e Perché è il Target Principale #
Active Directory è il sistema con cui una rete Windows gestisce utenti, computer, gruppi, policy e permessi. In un ambiente enterprise, il bersaglio più redditizio raramente è il singolo host: è il sistema che governa l’identità dell’intera infrastruttura.
Quando un utente apre una share SMB, usa RDP, accede a una web app interna o avvia un servizio, in qualche punto entra in gioco AD. Per questo l’Active Directory Pentesting è il cuore dei pentest interni e dei red team su ambienti Windows.
Se comprometti una macchina, ottieni una shell. Se comprometti il modello di identità, ottieni una rete.
Architettura Active Directory: Forest, Domain, OU, Oggetti e Trust #
Forest #
La forest è il contenitore logico più grande. Condivide schema, configurazione e catalogo globale tra i domini che ne fanno parte.
Dal punto di vista offensivo conta perché trust e relazioni tra domini possono trasformare una compromissione locale in una compromissione più ampia.
Domain #
Il domain è l’unità operativa principale. Ha i suoi Domain Controller, i suoi utenti, i suoi gruppi e le sue policy.
Quando si parla di “diventare Domain Admin”, si parla del controllo completo di questo perimetro. In ambienti multi-domain, però, il dominio è spesso solo il primo step.
Organizational Unit #
Le OU servono a organizzare oggetti e delegare amministrazione o Group Policy.
Errore classico: pensare che una OU sia un confine di sicurezza. Non lo è. Il suo valore offensivo dipende dai permessi che la circondano.
Oggetti #
Gli oggetti più rilevanti in ottica offensiva sono:
- Utenti: gruppi, SPN, flag pericolosi, pre-auth disabilitata
- Computer: account macchina, deleghe, trust impliciti, admin locali
- Gruppi: contengono privilegi e aprono percorsi di escalation
- GPO: possono diventare esecuzione remota distribuita
- Template di certificato: se esiste AD CS, possono valere quanto un attack path verso admin
Trust #
I trust sono canali di fiducia tra domini. Per un pentester, ogni trust va letto così:
questa relazione mi permette di usare un dominio debole per raggiungerne uno più forte?
Se non capisci i trust, vedi solo host. Se li capisci, inizi a vedere percorsi verso il controllo della foresta.
Componenti Chiave: Domain Controller, LDAP, Kerberos, DNS, SYSVOL e GPO #
Domain Controller #
Il Domain Controller ospita la directory e i servizi più critici del dominio. Non è un server come gli altri. È il nodo che governa autenticazione, replica, policy e identità.
Se ottieni il controllo di un DC, il pentest è già nella sua fase più critica.
LDAP #
LDAP è il protocollo con cui leggi la directory. Appena ottieni credenziali di dominio, LDAP diventa la prima miniera di informazioni:
- utenti
- gruppi
- computer
- SPN
- ACL
- deleghe
- OU
- GPO
Molti ambienti AD non crollano per un exploit. Crollano perché qualcuno legge bene LDAP e trova la relazione giusta.
Kerberos #
Kerberos è il protocollo di autenticazione principale in Active Directory. È il mondo di TGT, service ticket, deleghe e ticket forged.
Se studi AD e non capisci Kerberos, stai guardando solo la superficie.
DNS #
AD dipende da DNS per localizzare Domain Controller e servizi. In molti ambienti, il DNS interno è anche una mappa gratuita di naming, ruoli e segmentazione.
SYSVOL #
SYSVOL è una share replicata leggibile dagli utenti autenticati. Contiene script, policy e residui amministrativi che in ambienti deboli possono ancora esporre informazioni sensibili.
Group Policy #
Le GPO applicano configurazioni e regole a utenti e computer. In ottica offensiva, una GPO scrivibile nel punto giusto può diventare un vettore di esecuzione di codice su larga scala.
Kerberos vs NTLM: La Distinzione Che Devi Capire Subito #
Uno degli errori più comuni è confondere i due protocolli.
- Kerberos: pensa a ticket, SPN, deleghe, KDC, TGT, TGS
- NTLM: pensa a challenge-response, hash, relay, coercizione, Pass-the-Hash
| Aspetto | Kerberos | NTLM |
|---|---|---|
| Modello | Ticket | Challenge-response |
| Mentalità offensiva | Abuso di identità e servizi | Abuso di autenticazione e trasporto |
| Attacchi tipici | Kerberoasting, delegation abuse, ticket forgery | Pass-the-Hash, NTLM Relay, capture |
| Rischio chiave | Ticket e trust mal gestiti | Hash e relay |
Se vedi Kerberos, ragioni in termini di ticket e deleghe. Se vedi NTLM, ragioni in termini di hash, relay e movimento laterale.
Superficie di Attacco Active Directory #
La superficie di attacco AD non è una singola porta. È un ecosistema di errori che si accumulano nel tempo.
Credenziali deboli #
Password prevedibili, pattern stagionali, service account mai ruotati e policy deboli rendono ancora efficace il password spraying.
Service Account con SPN #
Ogni account con SPN può diventare un target di Kerberoasting. Se la password è debole e i privilegi sono alti, il valore offensivo cresce subito.
ACL mal gestite #
Permessi come GenericAll, GenericWrite, WriteDACL, WriteOwner e ForceChangePassword sono tra le cause più comuni di privilege escalation reale.
Deleghe insicure #
Unconstrained Delegation, Constrained Delegation e RBCD restano tra le superfici più potenti per costruire attack path verso account ad alto valore.
GPO scrivibili #
Una GPO controllabile da un account basso è spesso una scorciatoia verso esecuzione remota distribuita.
AD CS #
Se è presente una CA interna, Certipy e l’analisi dei template diventano fondamentali. Template troppo permissivi e enrollment debole possono aprire percorsi di impersonazione ad altissimo impatto. Leggi la guida completa qui con le relativa priv-esc su tutti e 16 i template!
Trust e ambienti ibridi #
Un dominio debole può diventare il trampolino verso uno più forte. Il problema non è solo il singolo oggetto, ma la catena.
Attacchi Active Directory Più Comuni nei Pentest Reali #
| Attacco | Richiede credenziali | Impatto | Obiettivo |
|---|---|---|---|
| Password Spraying | No o minime | Medio | Primo accesso |
| Kerberoasting | Sì | Alto | Credenziali di service account |
| AS-REP Roasting | No | Medio | Materiale crackabile offline |
| NTLM Relay | No, ma serve traffico relayabile | Alto | Impersonazione e escalation |
| Pass-the-Hash | Sì, basta l’hash | Alto | Lateral movement |
| ACL Abuse | Sì | Molto alto | Privilege escalation |
| Delegation Abuse | Sì | Molto alto | Impersonazione |
| AD CS Abuse | Sì | Critico | Identità ad alto privilegio |
| DCSync | Privilegi adeguati | Critico | Hash del dominio |
Password Spraying #
Il password spraying prova una password comune su tanti account restando sotto la soglia di lockout. Funziona perché le aziende usano ancora pattern umani, non davvero casuali.
Kerberoasting #
Il Kerberoasting è uno degli attacchi più frequenti nei pentest AD perché è semplice, silenzioso e spesso efficace.
Un utente autenticato può richiedere un service ticket per un account con SPN. Quel ticket può diventare materiale da attacco offline. Se il service account usa una password debole, hai una strada concreta verso credenziali più forti.
AS-REP Roasting #
L’AS-REP Roasting colpisce account con pre-autenticazione disabilitata. Non sempre c’è, ma quando c’è è un ottimo punto di partenza per ottenere materiale crackabile offline senza partire da un account di dominio.
NTLM Relay #
L’NTLM Relay intercetta un’autenticazione NTLM e la inoltra verso un altro servizio che la accetta.
Il punto non è rubare subito la password. Il punto è farsi autenticare come la vittima su un target differente. In ambienti che accettano ancora NTLM senza protezioni adeguate, il relay resta una tecnica concreta di escalation e lateral movement.
Pass-the-Hash #
Il Pass-the-Hash usa l’hash come credenziale. Non serve conoscere la password in chiaro: se il protocollo accetta quel materiale, puoi autenticarti direttamente.
Per questo è una tecnica chiave nel lateral movement.
ACL Abuse #
L’ACL Abuse è una delle forme più sottovalutate di privilege escalation in AD.
Se controlli i permessi di un oggetto ad alto valore, spesso non serve exploitare nulla. Basta usare bene la relazione:
- cambiare password di un account bersaglio
- aggiungere SPN a un account
- riscrivere una DACL
- prendere possesso di un oggetto e poi modificarne i permessi
Delegation Abuse e RBCD #
Le deleghe esistono per far parlare servizi tra loro. Se sono configurate male, permettono a un attaccante di impersonare utenti ad alto privilegio.
In ambienti moderni, il concetto più importante da capire è spesso RBCD.
AD CS Abuse #
Se esiste una CA interna, i template di certificato diventano una superficie di attacco seria. In molti ambienti “hard”, è proprio AD CS il punto che rompe tutto.
Per questa parte, il collegamento naturale è Certipy.
DCSync #
Il DCSync simula la replica della directory e permette di ottenere materiale critico del dominio se hai i diritti corretti.
È uno degli attacchi che segnano il passaggio da semplice compromissione a controllo del dominio.
Golden Ticket, Silver Ticket e Shadow Credentials #
Questa è la zona in cui il pentest smette di essere accesso e diventa dominio dell’identità.
- Golden Ticket: ticket forgiato con impatto a livello di dominio
- Silver Ticket: ticket forgiato per uno specifico servizio
- Shadow Credentials: abuso di attributi legati ad autenticazione basata su chiavi
BloodHound e Attack Path: Come Si Ragiona Davvero in AD #
Il modo sbagliato di vedere AD è questo: “chi ha admin locale dove?”
Il modo giusto è questo: quale catena di relazioni mi porta da dove sono adesso fino a un account o gruppo ad alto valore?
Qui entra in gioco BloodHound.
BloodHound non è solo un tool. È un modo di pensare. Trasforma la directory in un grafo e mostra relazioni come:
- membership ai gruppi
- sessioni utente
- admin locali
- diritti ACL
- controllo su GPO
- deleghe
- relazioni con certificate services
Il valore offensivo non è nel singolo permesso. È nella somma dei permessi lungo il percorso.
Tool per Active Directory Pentesting #
Questa sezione intercetta anche query tool-based senza perdere il focus della keyword principale.
| Tool | A cosa serve | Quando conta davvero |
|---|---|---|
| BloodHound | Analisi attack path | Quando vuoi vedere relazioni e percorsi |
| SharpHound | Raccolta dati per BloodHound | Durante l’enumerazione |
| NetExec | Validazione accessi e movimento laterale | Quando devi testare rapidamente servizi e credenziali |
| Impacket | Toolkit offensivo multiuso | Quando lavori su protocolli AD |
| Rubeus | Ticket e Kerberos abuse | Quando lavori su TGT, TGS e deleghe |
| Certipy | AD CS enumeration e abuse | Quando c’è una CA interna |
| Mimikatz | Credenziali, ticket, memoria | Quando hai accesso locale |
I tool accelerano. Ma se non capisci perché una relazione è pericolosa, non riconosci il percorso nemmeno quando ce l’hai davanti.
Lab Minimo per Studiare Active Directory Pentesting #
Se vuoi imparare davvero, ti basta un lab piccolo ma sensato:
- 1 Domain Controller
- 1 client Windows joinato al dominio
- 1 macchina Linux o Kali per i tool
- utenti standard, un paio di gruppi, qualche SPN e almeno una misconfigurazione
Con questa base puoi già studiare:
- enumerazione LDAP
- differenza tra Kerberos e NTLM
- raccolta dati con SharpHound
- analisi grafica con BloodHound
- attacchi come Kerberoasting, AS-REP Roasting e NTLM Relay
Non serve partire da un dominio gigantesco. Serve un dominio che ti faccia vedere relazioni, errori e percorsi.
Percorso Tipico: Da Utente Standard a Controllo del Dominio #
Questo è il modello mentale più utile da fissare:
- Ottieni un foothold iniziale Una credenziale valida, una shell interna o un accesso limitato.
- Leggi la directory Usi LDAP e raccolta dati per capire utenti, gruppi, SPN, ACL, GPO, deleghe e trust.
- Costruisci l’attack path Non cerchi “il bug”. Cerchi la sequenza: un permesso basso che apre un salto, poi un altro, fino a un oggetto ad alto valore.
- Escali i privilegi Qui entrano in gioco Kerberoasting, ACL Abuse, RBCD o AD CS.
- Ti muovi lateralmente Con Pass-the-Hash, accessi remoti, ticket o credenziali recuperate.
- Raggiungi il controllo logico del dominio Il punto di arrivo tipico è DCSync, Golden Ticket o un controllo equivalente su identità e autenticazione.
In AD si vince raramente con un colpo solo. Si vince con una catena coerente.
Come Ragiona un Pentester Dentro Active Directory #
Il pentester efficace non pensa in termini di exploit isolati. Pensa in termini di identità, relazioni, percorsi e impatto.
Le domande corrette sono:
- Chi può autenticarsi dove?
- Chi controlla chi?
- Quali ACL aprono un salto di privilegio?
- Dove ci sono sessioni ad alto valore?
- Quale account ha un diritto piccolo ma strategico?
- Quale combinazione di permessi mi porta a impatto massimo?
In AD, il singolo bug conta meno della catena giusta.
Difesa Reale di Active Directory #
Chi difende AD deve ragionare come chi lo attacca. Le misure che contano davvero sono quelle che spezzano gli attack path.
Ridurre i privilegi #
Meno permessi inutili ci sono, meno archi ha il grafo dell’attaccante. Il least privilege in AD chiude più percorsi di attacco di quasi ogni altra misura.
Separare l’amministrazione #
Gli account più critici non devono vivere su host normali. Se un account ad alto valore finisce su una workstation debole, le sue credenziali diventano un target immediato.
Ridurre NTLM #
Ogni flusso NTLM non necessario è una superficie di relay in meno.
Hardening di LDAP e Autenticazione #
LDAP signing, channel binding e configurazioni coerenti possono bloccare intere classi di attacco che altrimenti restano aperte per inerzia amministrativa.
Proteggere i Domain Controller #
I DC devono essere trattati come asset di livello massimo: accessi limitati, segmentazione, ruoli minimi e controllo stretto.
Mettere in Sicurezza AD CS #
Se hai una CA interna, devi auditarla come componente critico. Template, enrollment e mapping vanno controllati con lo stesso rigore di un DC.
Monitorare Quello che Conta #
Gli attacchi moderni generano spesso eventi di successo, non solo errori. Devi osservare:
- richieste insolite di ticket
- membership privilegiate modificate
- cambi ACL su oggetti sensibili
- nuove relazioni di delega
- richieste di certificati fuori profilo
Errori Concettuali Che Ti Fanno Studiare Male Active Directory #
“AD è solo un server” #
No. È un sistema distribuito di identità e controllo.
“Basta essere nel dominio” #
No. Essere un utente di dominio significa solo avere un’identità valida. Il vero lavoro è costruire il percorso verso privilegi più alti.
“Le OU sono confini di sicurezza” #
No. Sono contenitori organizzativi, non muri difensivi.
“Kerberos e LDAP sono la stessa cosa” #
No. Uno autentica. L’altro descrive e interroga la directory.
“Le GPO servono solo per impostazioni desktop” #
No. Se controlli una GPO nel punto giusto, stai controllando esecuzione, configurazione e distribuzione.
“AD e Microsoft Entra ID sono la stessa cosa” #
No. Sono mondi diversi. Possono convivere in ambienti ibridi, ma hanno superfici di attacco diverse.
FAQ Active Directory Pentesting #
Cos’è l’Active Directory Pentesting? #
L’Active Directory Pentesting è l’analisi offensiva di utenti, gruppi, computer, ACL, trust, deleghe, GPO e protocolli di autenticazione per trovare un percorso da accesso basso a controllo del dominio.
Cos’è il Kerberoasting in Active Directory? #
Il Kerberoasting è una tecnica con cui un utente autenticato richiede ticket di servizio associati ad account con SPN per ottenere materiale attaccabile offline e tentare di recuperare la password del service account.
Quando usare BloodHound in un pentest AD? #
BloodHound va usato quando vuoi trasformare l’enumerazione grezza in attack path reali. Non serve solo a vedere chi è admin, ma a capire quali relazioni portano a impatto.
Che differenza c’è tra DCSync e Golden Ticket? #
DCSync serve a ottenere materiale critico del dominio simulando la replica della directory. Il Golden Ticket è l’abuso successivo, in cui forgi un ticket con impatto a livello di dominio.
NTLM Relay funziona ancora nel 2026? #
L’NTLM Relay resta rilevante quando esistono ancora servizi che accettano NTLM senza protezioni adeguate e quando l’attaccante riesce a forzare o attirare autenticazione verso di sé.
Serve un lab per imparare Active Directory security? #
Sì. Senza lab impari i nomi, ma non capisci i flussi. Un piccolo dominio con un DC, un client Windows e una macchina Linux è già sufficiente per iniziare bene.
Da dove conviene iniziare? #
Inizia da tre basi:
- struttura di AD
- Kerberos vs NTLM
- attack path con BloodHound
Se salti queste basi e vai subito sui tool, impari solo a copiare output.
Riferimenti Esterni #
- Microsoft - Active Directory Domain Services overview
- Microsoft - Kerberos authentication overview in Windows Server
- Microsoft - NTLM overview in Windows Server
- Microsoft - Active Directory Certificate Services overview
- SpecterOps - BloodHound introduction
- RFC 4120 - The Kerberos Network Authentication Service
Conclusione #
Active Directory non è difficile perché ha troppi tool. È difficile perché è un sistema di relazioni.
Utenti, gruppi, computer, ACL, GPO, deleghe, certificati e trust: tutto si collega. Il pentester che capisce queste connessioni vede percorsi che gli altri non vedono.
Per questo l’Active Directory Pentesting non si riduce a lanciare comandi. Significa capire:
- come viene autenticata un’identità
- come vengono assegnati i permessi
- dove si accumulano privilegi nel tempo
- quale catena porta da utente standard a controllo del dominio
Studia prima il modello. Poi gli attacchi. Poi i tool. Questo è l’ordine che separa chi esegue comandi da chi compromette davvero un dominio.
Vuoi supportare il progetto? Supporta HackIta. Sei bloccato su AD, OSCP, CRTP, CRTE o OSCE3? Formazione 1:1. Vuoi capire se il tuo dominio nasconde percorsi verso Domain Admin? Servizi per aziende.
