Você precisará entender os ataques pass-the-hash (PtH) e pass-the-ticket (PtT), pois esses são os principais meios pelos quais os invasores se espalham por toda a rede do Windows. A Microsoft tem a orientação PtH, mas pode ser um pouco complicado se você ainda não estiver familiarizado com os problemas de segurança: link
A melhor maneira é usar o design de floresta vermelha da Microsoft. A floresta vermelha é uma floresta separada com uma relação de confiança unidirecional que abriga suas contas de administrador de domínio. Requer esforço extra e servidores, mas você pode obter 95% dos benefícios sem ele, se tiver cuidado.
Qualquer conta com privilégios no AD (administradores de domínio, help desk, etc.) nunca deve entrar em qualquer servidor membro regular ou estação de trabalho. Ou seja, você deve definir os direitos Negar logon para incluir administradores de domínio e outros grupos privilegiados em máquinas membros regulares.
Em geral, toda a atividade do administrador deve ocorrer em sistemas que não têm acesso à Internet e conectividade IP restrita a computadores que o fazem.
Obviamente, você só pode restringir os administradores de domínio dessa maneira se tiver contas separadas para administração de servidores e estações de trabalho. Você também deve ter contas desprivilegiadas separadas para web / email. Essa separação de papéis é um dos aspectos-chave para proteger uma rede.
Um administrador de domínio deve NUNCA entrar em um sistema DMZ ou em uma máquina conectada à Internet. Você não deveria nem mesmo RDP de um. Você deve ter estações de trabalho dedicadas para essas contas, e suas contas de estações de trabalho regulares não devem ser capazes de fazer logon nas estações de trabalho administrativas do AD. Deve haver zero contas que podem fazer logon em estações de trabalho regulares e AD. Isso impede que as credenciais altamente privilegiadas sejam roubadas quando um invasor obtém privilégios de administrador / sistema em uma estação de trabalho e, subsequentemente, se espalha para outras pessoas (geralmente ao roubar credenciais quando um administrador de estação de trabalho efetua login).
De maneira semelhante, deve haver contas dedicadas para máquinas DMZ , e nenhuma conta deve ter acesso à DMZ e aos recursos internos. Também é possível configurar um domínio separado da DMZ (com ou sem uma confiança no domínio interno).
Recuperar o AD depois de um compromisso é possível, mas isso deve ser feito de forma absolutamente correta --- e, obviamente, haverá algum tempo de inatividade enquanto o domínio está sendo restaurado e limpo. Nossa recuperação estimada de uma CD comprometida foi vários dias antes da implementação de uma floresta vermelha; é menos de 12 horas com uma floresta vermelha.
Observe que cada medida de segurança é uma parte da solução total e você precisa de todo o restante. Essas sugestões são específicas para proteger o AD. Você ainda precisa segmentar sua rede e ter restrições adequadas de firewall / ACL. Você ainda precisa proteger suas contas de usuário adequadamente com cartões inteligentes (altamente recomendados) ou boas políticas de senha. Você ainda precisa de detecção de intrusão, antivírus, um bom firewall externo e um proxy da Web.