A grande maioria dos incidentes de segurança que investigamos em nossos clientes que sofreram um compromisso severo de sistemas de informação, encontramos que os atacantes usaram um computador desktop para entrar no sistema (geralmente por meio de ataques de engenharia social, phishing e outros) e uma vez dentro, tentando escalar privilégios, comprometendo outras máquinas e finalmente atacarem o AD (Active Directory) por meio de ataques tipo pass-a-hash e outros como um meio de comprometer-se completamente todo o sistema de informação.
Uma vez que os atacantes adquirem esse nível de controle sobre o sistema, é muito difícil recuperá-lo. Portanto, certifique-se de que ambiente do AD é particularmente importante em qualquer plataforma de garantia de esforço.
Para este motivo, a Microsoft publicou dois trabalhos em que condensa toda a experiência que nós colecionamos no campo, para assegurar este tipo de ambiente.
"Práticas recomendadas para proteger o Active Directory" publicado 26/04/2013, por Microsoft IT segurança da informação e gestão de risco (ISRM)
http://www.Microsoft.com/en-US/download/details.aspx?id=38785
"On-line: protegendo o Active Directory: uma visão geral das melhores práticas"
http://technet.Microsoft.com/en-us/library/dn205220.aspx
Além disso, é importante gerir o risco associado os ataques de passagem-hash e outros ataques que permitem o roubo de credenciais, assim também que deixo alguns links para informações sobre como gerenciar esta ameaça.
"Atenuar ataques de passagem-o Hash (PtH) e outras técnicas de roubo de credencial"
http://www.Microsoft.com/en-US/download/details.aspx?id=36036
"Defesa contra ataques de passagem-Hash"
http://www.Microsoft.com/Security/Sir/Strategy/default.aspx#!pass_the_hash_defenses