O "básico bem feito" no Active Directory - Ferramenta de Assessment para a Comunidade Técnica

A segurança do Active Directory (AD) permanece como um dos pilares críticos da proteção corporativa. Como a maior parte das organizações utiliza o AD como base de autenticação, autorização e gerenciamento de identidades, qualquer falha pode se tornar um vetor de ataque de alto impacto, possibilitando desde movimentação lateral até compromissos totais de domínio. Pensando nisso, o repositório AD-Security reúne scripts destinados a facilitar avaliações de segurança, auditorias rápidas e visualização de indicadores essenciais para a saúde e a resiliência de um domínio Windows. O principal destaque é o AD-Security-Assessment, um script em PowerShell que oferece uma análise objetiva e imediata do estado de segurança do ambiente, com foco em identificação de vulnerabilidades comuns, boas práticas negligenciadas e condições geralmente exploradas em ataques avançados.

Compartilhando um Script que Pode Salvar Seu AD (ou Pelo Menos Sua Madrugada 😅)

Se você trabalha com segurança ou administração de ambientes Windows, sabe que o Active Directory é aquele amigo poderoso… mas que, se ficar sem supervisão, vira uma bomba-relógio cheia de contas esquecidas, permissões acumuladas e configurações que ninguém lembra quem fez. Pensando nisso, resolvi compartilhar um projeto que considero extremamente útil para qualquer time técnico: o AD-Security Assessment, um script em PowerShell feito justamente para ajudar a identificar riscos e pontos fracos no AD antes que eles virem incidentes sérios.

A ideia é simples: rodou o script? Ele te entrega um panorama rápido e objetivo da segurança do domínio — quantidade de usuários, máquinas, OUs, contas privilegiadas, senhas que nunca expiram, usuários inativos, políticas fracas e várias outras informações que normalmente demandariam horas de investigação manual. E o melhor: tudo organizado em arquivos CSV e um relatório TXT, perfeitos para abrir no Excel, Power BI ou compartilhar com o time.

E não para por aí: o script ainda destaca sinais de ataques avançados como Golden Ticket, DCSync, Kerberos Delegation mal configurada e até Domain Controllers com o Print Spooler ativo (quem viveu o PrintNightmare sabe do drama 🤦‍♂️). É praticamente um check-up de saúde do ambiente, com foco total em segurança.

Além do assessment, o repositório também traz dois utilitários bem práticos:

🔹 um gerador de hash SHA-1 para estudos e análises de senha

🔹 um gerador de hash NTLM baseado em DSInternals

Tudo pensado para fins educacionais e para auxiliar a comunidade a estudar, testar e entender melhor como proteger ambientes corporativos.

Se você nunca fez uma revisão rápida no seu AD, esse script pode ser um excelente ponto de partida. E se você já fez… provavelmente vai gostar de automatizar a parte chata da coisa.

Link para o script: MATEUSKOVALSKI/AD-Security: Scripts voltados à segurança do Active Directory. Soluções e técnicas utilizadas para aumentar a segurança da infraestrutura de Active Directory