Identity Security — bezpieczeństwo tożsamości — to dziś najważniejszy obszar ochrony infrastruktury IT. Ponad 80% naruszeń bezpieczeństwa zaczyna się od skompromitowanych poświadczeń, a likwidacja tradycyjnego perimetru sieciowego przez pracę zdalną i chmurę sprawiła, że tożsamość użytkownika stała się jedyną wiarygodną granicą kontroli dostępu. Ten przewodnik opisuje konkretne, wdrożeniowe kroki dla administratorów IT odpowiedzialnych za zabezpieczenie środowisk Microsoft (Active Directory, Entra ID) w 2026 roku.
Tożsamość jako nowy perimetr bezpieczeństwa
Przez dekady bezpieczeństwo IT opierało się na modelu zamku: gruba zewnętrzna ściana (firewall, VPN, DMZ) chroniła wszystko, co znajdowało się w środku. Ten model załamał się wraz z upowszechnieniem pracy zdalnej, SaaS i chmury obliczeniowej. Dziś użytkownicy łączą się z zasobami firmy z domowych sieci, kawiarni i urządzeń mobilnych — z lokalizacji, które są poza jakąkolwiek kontrolą firmy.
W tym kontekście jedyną kontrolą, która ma znaczenie, jest kontrola tożsamości: kto się łączy, z jakiego urządzenia, z jakiej lokalizacji, o jakiej porze i do jakich zasobów. Raport Verizon Data Breach Investigations Report 2024 potwierdza, że skradzione lub nadużyte poświadczenia są odpowiedzialne za ponad 80% naruszeń danych. Dla administratora IT oznacza to jedno: jeśli kontrola tożsamości jest słaba, reszta infrastruktury bezpieczeństwa nie ma znaczenia.
Migracja do Microsoft 365, Azure i modeli hybrydowych powoduje, że klasyczne Active Directory coraz częściej współistnieje z Entra ID (dawniej Azure AD). Środowisko hybrydowe tworzy nowe wektory ataku — synchronizacja haseł przez Entra Connect, federacja, pass-through authentication — które wymagają osobnej analizy i zabezpieczenia. Identity Security w 2026 roku to zarządzanie zarówno tożsamościami on-premises, jak i chmurowymi.
Fundamenty Identity Security
Wieloskładnikowe uwierzytelnianie (MFA) to podstawa, która nie jest opcjonalna w 2026 roku. Wyłudzenie hasła przez phishing lub credential stuffing jest trywialne — MFA sprawia, że samo hasło jest niewystarczające. Wybór metody MFA ma jednak duże znaczenie:
- FIDO2/Windows Hello for Business — jedyna metoda odporna na phishing. Wymagana dla wszystkich kont administracyjnych i kont z dostępem do danych wrażliwych. Klucze bezpieczeństwa (YubiKey, Google Titan) lub Windows Hello sprzętowe eliminują możliwość przechwycenia tokenu przez atakującego na fałszywej stronie.
- Aplikacja uwierzytelniająca (Microsoft Authenticator, Duo) — minimum dla wszystkich użytkowników. Zdecydowanie lepsza niż SMS, który jest podatny na SIM swapping. Włącz "number matching" i "additional context" w Microsoft Authenticator, aby zapobiec MFA fatigue attacks.
- SMS/e-mail OTP — unikać tam, gdzie to możliwe. Podatne na SIM swapping i ataki SS7. Dopuszczalne tylko jako opcja rezerwowa dla użytkowników bez smartfona.
Conditional Access (Dostęp Warunkowy) w Entra ID to silnik polityk, który decyduje, kto, skąd i na jakich warunkach może uzyskać dostęp do zasobów. Kluczowe polityki do wdrożenia:
- Wymagaj MFA dla wszystkich użytkowników — bez wyjątku dla "starych" kont czy kont serwisowych.
- Blokuj logowania z krajów, z których Twoja organizacja nie prowadzi działalności.
- Wymagaj zgodności urządzenia (device compliance) dla dostępu do danych firmowych — urządzenia niezarządzane powinny mieć ograniczony lub zerowy dostęp.
- Polityki ryzyka logowania (sign-in risk) i ryzyka użytkownika (user risk) — automatyczna blokada lub wymóg ponownej weryfikacji przy wykryciu podejrzanej aktywności.
Zasada najmniejszych uprawnień (Least Privilege) — regularny przegląd uprawnień użytkowników i usuwanie nadmiarowych ról. Projekty kończą się, a uprawnienia często pozostają na zawsze. Wdrożenie time-bound access (dostęp na określony czas) dla projektów i dostępu do zasobów wrażliwych — po upływie terminu dostęp wygasa automatycznie.
Zabezpieczenie kont uprzywilejowanych
Konta uprzywilejowane (Domain Admin, Enterprise Admin, Global Admin w M365) to główny cel atakujących — skompromitowanie jednego takiego konta często oznacza pełną kontrolę nad infrastrukturą. Ochrona tych kont wymaga odrębnych, rygorystycznych procedur.
Privileged Access Management (PAM) — przechowywanie poświadczeń kont uprzywilejowanych w bezpiecznym sejfie (vault), nagrywanie sesji administracyjnych, wymóg zatwierdzenia przez drugą osobę dla krytycznych operacji (dual approval). Rozwiązania klasy PAM (CyberArk, Delinea, Microsoft PIM) utrudniają kradzież poświadczeń i tworzą pełny audit trail działań administracyjnych.
Tiered Access Model — trójwarstwowy model dostępu oddziela środowiska administracyjne od użytkowych:
- Tier 0: kontrolery domeny, systemy PKI, narzędzia zarządzania tożsamością — dostęp tylko z dedykowanych, izolowanych stacji administracyjnych (PAW — Privileged Access Workstations).
- Tier 1: serwery aplikacyjne, serwery plików — osobne konta administracyjne, nie używane do codziennej pracy.
- Tier 2: stacje robocze użytkowników — lokalni administratorzy zarządzani przez LAPS.
Just-in-Time Access (JIT) przez Microsoft Entra PIM (Privileged Identity Management) — żadnych stałych przypisań do ról Domain Admin czy Global Admin. Uprawnienia są aktywowane na żądanie na z góry określony czas (np. 1-4 godziny), wymagają uzasadnienia i są zatwierdzone przez przełożonego lub automatycznie po spełnieniu warunków. Po upływie czasu uprawnienia są automatycznie cofane.
Dedykowane konta administracyjne — administrator nigdy nie powinien korzystać ze swojego konta uprzywilejowanego do codziennych czynności (poczta, przeglądarka, Teams). Oddzielne konto "admin" jest używane wyłącznie do zadań administracyjnych, z dedykowanej, zabezpieczonej stacji roboczej. Mieszanie ról dramatycznie zwiększa powierzchnię ataku.
Hardening Active Directory
Active Directory pozostaje kluczowym celem atakujących — kontroluje dostęp do praktycznie wszystkich zasobów organizacji. Jego zabezpieczenie wymaga systematycznego podejścia opartego na danych, nie intuicji.
BloodHound/SharpHound — bezpłatne narzędzia do graficznego mapowania ścieżek ataku w Active Directory. SharpHound zbiera dane o relacjach między obiektami AD (użytkownikami, grupami, komputerami, GPO), a BloodHound wizualizuje ścieżki prowadzące do Domain Admin. Uruchom analizę w środowisku testowym lub poza godzinami pracy — BloodHound pokaze Ci, jak atakujący mógłby eskalować uprawnienia od zwykłego użytkownika do Domain Admin, często w kilku krokach. Zidentyfikowane ścieżki należy eliminować systematycznie.
Protected Users Security Group — dodanie kont uprzywilejowanych do tej grupy automatycznie wyłącza niebezpieczne mechanizmy uwierzytelniania: DES, RC4, NTLM, delegację Kerberos. Konta w Protected Users muszą uwierzytelniać się przez Kerberos AES, co eliminuje klasyczne ataki Pass-the-Hash i Pass-the-Ticket. Dodaj do tej grupy wszystkich administratorów domenowych i konta serwisowe z wysokimi uprawnieniami.
Wyłączenie NTLM — NTLM jest przestarzałym protokołem uwierzytelniania podatnym na relay attacks i Pass-the-Hash. Docelowo należy go całkowicie wyłączyć (Network Security: Restrict NTLM), ale najpierw należy zaudytować, które aplikacje go używają (Event ID 4624 z typem logowania NTLM). Etapowe wyłączanie: najpierw audyt, potem blokada ruchu NTLM do kontrolerów domeny, następnie blokada między serwerami. Wymusz LDAP signing i channel binding, aby zapobiec atakom LDAP relay.
Regularne audyty AD: przegląd AdminSDHolder (konta chronione przez SDProp), zagnieżdżonych członkostw grup (nested group memberships), SPN kont serwisowych (podatnych na Kerberoasting). Narzędzie Ping Castle (bezpłatne) generuje ocenę zdrowia Active Directory i wskazuje konkretne problemy do naprawy. Zalecamy uruchamiać je kwartalnie i śledzić poprawę wyniku w czasie.
Monitoring i detekcja
Hardening jest konieczny, ale nie wystarczający — konieczny jest też monitoring, który wykryje ataki omijające zabezpieczenia. W środowiskach Microsoft dostępne są potężne narzędzia, często już opłacone w ramach licencji M365.
Microsoft Entra ID Protection automatycznie ocenia ryzyko każdego logowania (sign-in risk) i każdego użytkownika (user risk) na podstawie sygnałów z miliardów kont w ekosystemie Microsoft. Polityki można skonfigurować tak, aby automatycznie blokować lub wymuszać MFA przy wykryciu podejrzanej aktywności — np. logowania z anonimowego IP, z niemożliwej do odbycia podróży (impossible travel) lub z zainfekowanego urządzenia.
Microsoft Defender for Identity (MDI) to sensor instalowany na kontrolerach domeny, który analizuje ruch Kerberos, NTLM i LDAP w czasie rzeczywistym. Wykrywa ataki takie jak Pass-the-Hash, Pass-the-Ticket, Kerberoasting, DCSync, Golden Ticket i rekonesans AD. MDI jest szczególnie cenny, bo monitoruje środowisko on-premises, gdzie klasyczne narzędzia chmurowewspółcześnie nie sięgają.
Alerty SIEM — niezależnie od platformy SIEM, kluczowe reguły korelacji dotyczące tożsamości to: logowania kont uprzywilejowanych poza standardowymi godzinami, zmiany członkostwa w grupach uprzywilejowanych (Domain Admins, Enterprise Admins), modyfikacje GPO, tworzenie nowych kont administracyjnych, masowe blokady kont. Każdy z tych zdarzeń powinien generować alert wymagający weryfikacji przez administratora.
Wdrożenie pełnego stosu monitoringu tożsamości — Entra ID Protection, MDI i SIEM — tworzy warstwę detekcji, która znacząco skraca czas wykrycia ataku. To bezpośrednio przekłada się na mniejsze straty operacyjne i finansowe w przypadku incydentu.
Jak ExColo może pomóc
ExColo specjalizuje się w bezpieczeństwie tożsamości w środowiskach Microsoft — od audytu Active Directory przez wdrożenie PAM i Zero Trust aż po budowanie procesów monitoringu. Pracujemy bezpośrednio z administratorami IT, dostarczając konkretnych rozwiązań technicznych, a nie ogólnych rekomendacji.
Nasze usługi w obszarze Identity Security obejmują: ocenę bezpieczeństwa AD z użyciem Ping Castle i BloodHound, wdrożenie MFA i Conditional Access, projekt i implementację PAM, hardening Entra ID i środowisk hybrydowych oraz konfigurację Microsoft Defender for Identity.
Skontaktuj się z nami, aby omówić stan bezpieczeństwa tożsamości w Twojej organizacji: formularz kontaktowy ExColo.
