Интеграция технических и организационных мер защиты домена Active Directory: от сетевой сегментации до системы мониторинга инцидентов
Митрофанов Михаил Валерьевич1, Лаута Олег Сергеевич2, Крамской Николай Николаевич3, Куракин Александр Сергеевич3
1Национальный исследовательский университет ИТМО.
2Государственный университет морского и речного флота имени адмирала С.О. Макарова.
3ООО «Специальный Технологический Центр».
DOI 10.24412/2410-9916-2026-1-219-218
Полный текст статьи
XML JATSАннотация
Постановка задачи: в условиях высокой зависимости корпоративных инфраструктур от доменной архитектуры Active Directory (AD) защита домена рассматривается как ключевой элемент обеспечения устойчивости всей информационной системы организации. Однако практика эксплуатации демонстрирует, что даже при наличии множества технических средств защиты компрометация AD остается возможной вследствие отсутствия системной интеграции технических и организационных мер. Наблюдается фрагментарность внедрения защитных решений, несогласованность процедур администрирования и мониторинга, а также разрыв между архитектурой безопасности и процессами ее сопровождения. Целью работы является разработка интегрированной модели защиты домена Active Directory, объединяющей технические и организационные меры на всех уровнях инфраструктуры — от сетевой сегментации до системы мониторинга инцидентов — с формализацией критериев их критичности и взаимосвязей. Используемые методы: методология базируется на системном анализе доменной инфраструктуры, декомпозиции уровней защиты, анализе матрицы MITRE ATT&CK, методе экспертных оценок критичности мер, а также анализе журналов событий Windows для построения модели мониторинга и корреляции инцидентов. Новизна: предложена пятиуровневая интегрированная модель защиты Active Directory, рассматривающая систему мониторинга (SIEM-EDR) как интеграционный слой, объединяющий технические и организационные контрмеры в единую эшелонированную архитектуру. Введена классификация мер по уровню критичности в зависимости от их положения в цепочке атаки. Результат. Разработана структурированная модель интеграции технических и организационных мер защиты AD, сформированы таблицы соответствия векторов атак и контрмер, определены приоритеты мониторинга событий Windows и критерии критичности защитных мероприятий. Практическая значимость: предложенная модель позволяет выстраивать архитектуру защиты доменной инфраструктуры с учетом ограничений реальных организаций, обосновывать приоритетность внедрения мер, повышать эффективность процессов реагирования на инциденты и рационально распределять бюджет информационной безопасности.
Ключевые слова
Active Directory, доменная инфраструктура, информационная безопасность, сетевая сегментация, SIEM, EDR, защита в глубину, мониторинг инцидентов, MITRE ATT&CK, управление привилегированным доступом.
Ссылка на статью
Митрофанов М. И., Лаута О. С., Крамской Н. Н., Куракин А. С. Интеграция технических и организационных мер защиты домена Active Directory: от сетевой сегментации до системы мониторинга инцидентов // Системы управления, связи и безопасности. 2026. № 1. С. 219-218. DOI: 10.24412/2410-9916-2026-1-219-218
Литература
1. Использование Active Directory в инфраструктуре предприятия // Хабр [Электронный ресурс]. 23.04.2025. — URL: https://habr.com/ru/companies/first/articles/903572/ (дата обращения: 10.01.2026).
2. Active Directory Attacks // Cayosoft Blog [Электронный ресурс]. 08.12.2025. — URL: https://www.cayosoft.com/blog/active-directory-attacks (дата обращения: 10.01.2026).
3. Swapna S., Gokul Nath S., Yogesh S. G., Dillikumar P. S. Advanced Threat Detection with Active Directory and SIEM // International Journal for Research in Applied Science and Engineering Technology (IJRASET). 2025. Vol. 13. No. 4. doi: 10.22214/ijraset.2025.68478.
4. Khattab O. Conducting Empirical Research Study: How to Effectively and Securely Use the Vital Features of the Active Directory Network Server // Academia.edu [Электронный ресурс]. 2020. — URL: https://www.academia.edu/43009557/Conducting_Empirical_Research_Study_How_to_Effectively_and_Securely_Use_the_Vital_Features_of_the_Active_Directory_Network_Server (дата обращения: 10.01.2026).
5. Active Directory // Institute of Software Technology, TU Graz [Электронный ресурс]. 2024. — URL: https://www.isec.tugraz.at/wp-content/uploads/2024/09/04-active-directory-handout-2025.pdf (дата обращения: 10.01.2026).
6. Strengthening Active Directory Security: Detecting and Mitigating Kerberoasting Attacks // Computer. 2025. doi: 10.1109/MC.2024.3434535.
7. Simulation of Pre-Ransomware Attacks on Active Directory // 2024 17th International Conference on Security of Information and Networks (SIN). 2024. doi: 10.1109/SIN63213.2024.10871611.
8. Attacks on Active Directory — Resource-based Constrained Delegation and New Patches. 2025. doi: 10.1109/KI64036.2025.10916465.
9. Active Directory Kerberoasting Attack Monitoring and Detection Techniques // Proceedings of the 17th International Conference on Security and Cryptography. 2020. doi: 10.5220/0008955004320439.
10. Decoding the MITRE Engenuity ATT&CK Enterprise Evaluation: An Analysis of EDR Performance in Real-World Environments. 2024. doi: 10.1145/3589334.3645333.
11. Demo: Synthesizing Realistic Enterprise Active Directory Attack Graphs with ADSynth // ACM SIGSAC Conference on Computer and Communications Security Companion. 2024. doi: 10.1145/3672202.3673732.
12. McDonald A., Papadopoulos P., Buchanan W. Ransomware: Analysing the Impact on Windows Active Directory Domain Services // Sensors. 2022. Vol. 22. No. 3. Art. 953. doi: 10.3390/s22030953.
13. Elmiger M., Lemoudden M., Pitropakis N., Buchanan W. Start thinking in graphs: using graphs to address critical attack paths in a Microsoft cloud tenant // International Journal of Information Security. 2023. doi: 10.1007/s10207-023-00751-6.
14. Syynimaa N. Exploring Attack Paths Using Graph Theory: Case — Microsoft Entra ID Pass-Through Authentication // Proceedings of the 11th International Conference on Information Systems Security and Privacy. 2025. doi: 10.5220/0013119100003899.
15. Nebbione G., Calzarossa M. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments // IEEE Access. 2023. Vol. 11. P. 15119--15130. doi: 10.1109/access.2023.3244490.
16. Sabri M., Ghebrehiwet I., Zaki N., Mohamad M. Explainable deep learning approach for advanced persistent threats (APTs) detection in cybersecurity // Artificial Intelligence Review. 2024. Vol. 57. No. 11. doi: 10.1007/s10462-024-10890-4.
17. Barros S. R. S. M. U. I., Oliveira C. F. B. S. Privileged Access Management: A Comprehensive Survey // IEEE Access. 2022. Vol. 10. P. 11233--11253. — URL: https://www.ijfmr.com/papers/2024/2/30122.pdf (дата обращения: 09.03.2026).
18. Bridging Gaps in Active Directory Security: Threat Landscape, Limitations, and Future-Proof Solutions // International Journal for Electronic Crime Investigation. 2025. Vol. 9. No. 1. doi: 10.54692/ijeci.2025.0901245.
19. Kowalski R., Limber S., McCord A. A developmental approach to cyberbullying: Prevalence and protective factors // Aggression and Violent Behavior. 2019. Vol. 45. P. 20--32.
20. Janeway T. The NIST Cybersecurity Framework — Third Parties Need Not Comply // ISACA Journal. 2020. Vol. 1. — URL: https://www.isaca.org/resources/isaca-journal/issues/2020/volume-1/the-nist-cybersecurity-framework-third-parties-need-not-compl (дата обращения: 09.03.2026).
21. Глухов А. П., Прозрителев Е. Е., Кацук Д. С. Управление информационной безопасностью // Вестник СибАДИ. 2021. № 4 (100). С. 17--23.
22. Rasmussen J. Risk management in a dynamic society: a modelling problem // Safety Science. 1997. Vol. 27. No. 2--3. P. 183--213. doi: 10.1016/S0925-7535(97)00052-0.
23. GPO и Active Directory: управляем доступом через GPOAdmin // Хабр [Электронный ресурс]. 22.03.2021. — URL: https://habr.com/ru/companies/galssoftware/articles/543588/ (дата обращения: 09.03.2026).
Статья распространяется по лицензии Creative Commons Attribution 4.0 License.
Метаданные статьи распространяются по лицензии CC0 1.0 Universal