Введение

SCCS

Системы управления, связи и безопасности

Systems of Control, Communication and Security

2410-9916

ООО «Корпорация «Интел Групп»

10.24412/2410-9916-2026-1-219-218

Научная статья Research Article

Интеграция технических и организационных мер защиты домена Active Directory: от сетевой сегментации до системы мониторинга инцидентов

Integration of technical and organizational measures to protect the Active Directory domain: from network segmentation to incident monitoring system

Митрофанов

Михаил Валерьевич

Mitrofanov

Mikhail Valerievich

vonafortim@yandex.ru Лаута

Олег Сергеевич

Lauta

Oleg Sergeevich

laos-82@yandex.ru Крамской

Николай Николаевич

Kramskoy

Nikolai Nikolaevich

kram.com@mail.ru Куракин

Александр Сергеевич

Kurakin

Aleksandr Sergeevich

nirt@mail.ru

Национальный исследовательский университет ИТМО

197101, Россия, г. Санкт-Петербург, Кронверкский проспект, д. 49

Россия National Research ITMO University

49 Kronverksky prospekt, Saint Petersburg, 197101, Russia

Russia Государственный университет морского и речного флота имени адмирала С.О. Макарова

198035, Россия, г. Санкт-Петербург, Двинская улица, д. 5/7

Россия Admiral Makarov State University of Maritime and Inland Shipping

5/7 Dvinskaya street, Saint Petersburg, 198035, Russia

Russia ООО «Специальный Технологический Центр»

195220, Россия, г. Санкт-Петербург, проспект Непокорённых, д. 17

Россия Limited Liability Company «Special Technology Center»

17 Nepokorennykh prospekt, Saint Petersburg, 195220, Russia

Russia

2026

27 02 2026

1 219 218

2026

Mikhail Valerievich Mitrofanov, Oleg Sergeevich Lauta, Nikolai Nikolaevich Kramskoy, Aleksandr Sergeevich Kurakin

Митрофанов Михаил Валерьевич, Лаута Олег Сергеевич, Крамской Николай Николаевич, Куракин Александр Сергеевич

This article is licensed under a Creative Commons Attribution 4.0 International License (CC BY 4.0)

Эта статья доступна по лицензии Creative Commons Attribution 4.0 International (CC BY 4.0)

Постановка задачи: в условиях высокой зависимости корпоративных инфраструктур от доменной архитектуры Active Directory (AD) защита домена рассматривается как ключевой элемент обеспечения устойчивости всей информационной системы организации. Однако практика эксплуатации демонстрирует, что даже при наличии множества технических средств защиты компрометация AD остается возможной вследствие отсутствия системной интеграции технических и организационных мер. Наблюдается фрагментарность внедрения защитных решений, несогласованность процедур администрирования и мониторинга, а также разрыв между архитектурой безопасности и процессами ее сопровождения. Целью работы является разработка интегрированной модели защиты домена Active Directory, объединяющей технические и организационные меры на всех уровнях инфраструктуры — от сетевой сегментации до системы мониторинга инцидентов — с формализацией критериев их критичности и взаимосвязей. Используемые методы: методология базируется на системном анализе доменной инфраструктуры, декомпозиции уровней защиты, анализе матрицы MITRE ATT CK, методе экспертных оценок критичности мер, а также анализе журналов событий Windows для построения модели мониторинга и корреляции инцидентов. Новизна: предложена пятиуровневая интегрированная модель защиты Active Directory, рассматривающая систему мониторинга (SIEM-EDR) как интеграционный слой, объединяющий технические и организационные контрмеры в единую эшелонированную архитектуру. Введена классификация мер по уровню критичности в зависимости от их положения в цепочке атаки. Результат. Разработана структурированная модель интеграции технических и организационных мер защиты AD, сформированы таблицы соответствия векторов атак и контрмер, определены приоритеты мониторинга событий Windows и критерии критичности защитных мероприятий. Практическая значимость: предложенная модель позволяет выстраивать архитектуру защиты доменной инфраструктуры с учетом ограничений реальных организаций, обосновывать приоритетность внедрения мер, повышать эффективность процессов реагирования на инциденты и рационально распределять бюджет информационной безопасности.

Purpose. In conditions of high dependence of corporate infrastructures on the domain architecture of Active Directory, domain protection is considered as a key element of ensuring the stability of the entire information system of the organization. However, operational practice demonstrates that even with a variety of technical means of protection, AD compromise remains possible due to the lack of system integration of technical and organizational measures. There is a fragmented implementation of security solutions, inconsistency in administration and monitoring procedures, as well as a gap between the security architecture and its maintenance processes. The purpose of the work is to develop an integrated Active Directory domain protection model that combines technical and organizational measures at all levels of the infrastructure --- from network segmentation to an incident monitoring system --- with formalization of criteria for their criticality and interrelationships. Methods. The methodology is based on a system analysis of domain infrastructure, decomposition of protection levels, analysis of the MITRE ATT CK matrix, the method of expert assessments of the criticality of measures, as well as analysis of Windows event logs to build a monitoring model and incident correlation. Novelty. A five-level integrated Active Directory protection model is proposed, considering a monitoring system (SIEM-EDR) as an integration layer that combines technical and organizational countermeasures into a single layered architecture. A classification of measures according to the level of criticality has been introduced, depending on their position in the attack chain. Results. A structured model for the integration of technical and organizational AD protection measures has been developed, tables of matching attack vectors and countermeasures have been formed, priorities for monitoring Windows events and criteria for the criticality of protective measures have been determined. Practical relevance. The proposed model makes it possible to build a domain infrastructure protection architecture taking into account the limitations of real organizations, justify the priority of implementing measures, increase the effectiveness of incident response processes and rationally allocate the information security budget.

Active Directory доменная инфраструктура информационная безопасность сетевая сегментация SIEM EDR защита в глубину мониторинг инцидентов MITRE ATT&CK управление привилегированным доступом

Active Directory domain infrastructure information security network segmentation SIEM EDR in-depth protection incident monitoring MITRE ATT&CK privileged access management

Исследование выполнено без привлечения внешних источников финансирования.

The study was conducted without external funding sources.

Введение

Литература

Использование Active Directory в инфраструктуре предприятия // Хабр [Электронный ресурс]. 23.04.2025. — URL: https://habr.com/ru/companies/first/articles/903572/ (дата обращения: 10.01.2026).

Using Active Directory in enterprise infrastructure. Habr. 23 April 2025. Available at: https://habr.com/ru/companies/first/articles/903572/ (accessed 10 January 2026) (in Russian).

Active Directory Attacks // Cayosoft Blog [Электронный ресурс]. 08.12.2025. — URL: https://www.cayosoft.com/blog/active-directory-attacks (дата обращения: 10.01.2026).

Active Directory Attacks. Cayosoft Blog. 8 December 2025. Available at: https://www.cayosoft.com/blog/active-directory-attacks (accessed 10 January 2026).

Swapna S., Gokul Nath S., Yogesh S. G., Dillikumar P. S. Advanced Threat Detection with Active Directory and SIEM // International Journal for Research in Applied Science and Engineering Technology (IJRASET). 2025. Vol. 13. No. 4. doi: 10.22214/ijraset.2025.68478.

Khattab O. Conducting Empirical Research Study: How to Effectively and Securely Use the Vital Features of the Active Directory Network Server // Academia.edu [Электронный ресурс]. 2020. — URL: https://www.academia.edu/43009557/Conducting_Empirical_Research_Study_How_to_Effectively_and_Securely_Use_the_Vital_Features_of_the_Active_Directory_Network_Server (дата обращения: 10.01.2026).

Active Directory // Institute of Software Technology, TU Graz [Электронный ресурс]. 2024. — URL: https://www.isec.tugraz.at/wp-content/uploads/2024/09/04-active-directory-handout-2025.pdf (дата обращения: 10.01.2026).

Strengthening Active Directory Security: Detecting and Mitigating Kerberoasting Attacks // Computer. 2025. doi: 10.1109/MC.2024.3434535.

Simulation of Pre-Ransomware Attacks on Active Directory // 2024 17th International Conference on Security of Information and Networks (SIN). 2024. doi: 10.1109/SIN63213.2024.10871611.

Attacks on Active Directory — Resource-based Constrained Delegation and New Patches. 2025. doi: 10.1109/KI64036.2025.10916465.

Active Directory Kerberoasting Attack Monitoring and Detection Techniques // Proceedings of the 17th International Conference on Security and Cryptography. 2020. doi: 10.5220/0008955004320439.

Decoding the MITRE Engenuity ATT CK Enterprise Evaluation: An Analysis of EDR Performance in Real-World Environments. 2024. doi: 10.1145/3589334.3645333.

Demo: Synthesizing Realistic Enterprise Active Directory Attack Graphs with ADSynth // ACM SIGSAC Conference on Computer and Communications Security Companion. 2024. doi: 10.1145/3672202.3673732.

McDonald A., Papadopoulos P., Buchanan W. Ransomware: Analysing the Impact on Windows Active Directory Domain Services // Sensors. 2022. Vol. 22. No. 3. Art. 953. doi: 10.3390/s22030953.

Elmiger M., Lemoudden M., Pitropakis N., Buchanan W. Start thinking in graphs: using graphs to address critical attack paths in a Microsoft cloud tenant // International Journal of Information Security. 2023. doi: 10.1007/s10207-023-00751-6.

Syynimaa N. Exploring Attack Paths Using Graph Theory: Case — Microsoft Entra ID Pass-Through Authentication // Proceedings of the 11th International Conference on Information Systems Security and Privacy. 2025. doi: 10.5220/0013119100003899.

Nebbione G., Calzarossa M. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments // IEEE Access. 2023. Vol. 11. P. 15119-15130. doi: 10.1109/access.2023.3244490.

Sabri M., Ghebrehiwet I., Zaki N., Mohamad M. Explainable deep learning approach for advanced persistent threats (APTs) detection in cybersecurity // Artificial Intelligence Review. 2024. Vol. 57. No. 11. doi: 10.1007/s10462-024-10890-4.

Barros S. R. S. M. U. I., Oliveira C. F. B. S. Privileged Access Management: A Comprehensive Survey // IEEE Access. 2022. Vol. 10. P. 11233-11253. — URL: https://www.ijfmr.com/papers/2024/2/30122.pdf (дата обращения: 09.03.2026).

Bridging Gaps in Active Directory Security: Threat Landscape, Limitations, and Future-Proof Solutions // International Journal for Electronic Crime Investigation. 2025. Vol. 9. No. 1. doi: 10.54692/ijeci.2025.0901245.

Kowalski R., Limber S., McCord A. A developmental approach to cyberbullying: Prevalence and protective factors // Aggression and Violent Behavior. 2019. Vol. 45. P. 20-32.

Janeway T. The NIST Cybersecurity Framework — Third Parties Need Not Comply // ISACA Journal. 2020. Vol. 1. — URL: https://www.isaca.org/resources/isaca-journal/issues/2020/volume-1/the-nist-cybersecurity-framework-third-parties-need-not-compl (дата обращения: 09.03.2026).

Глухов А. П., Прозрителев Е. Е., Кацук Д. С. Управление информационной безопасностью // Вестник СибАДИ. 2021. № 4 (100). С. 17-23.

Glukhov A. P., Prozritelev E. E., Katsuk D. S. Information security management. Vestnik SibADI, 2021, no. 4 (100), pp. 17-23 (in Russian).

Rasmussen J. Risk management in a dynamic society: a modelling problem // Safety Science. 1997. Vol. 27. No. 2-3. P. 183-213. doi: 10.1016/S0925-7535(97)00052-0.

GPO и Active Directory: управляем доступом через GPOAdmin // Хабр [Электронный ресурс]. 22.03.2021. — URL: https://habr.com/ru/companies/galssoftware/articles/543588/ (дата обращения: 09.03.2026).

GPO and Active Directory: managing access via GPOAdmin. Habr, 22 March 2021. Available at: https://habr.com/ru/companies/galssoftware/articles/543588/ (accessed 09 March 2026) (in Russian).