Рассмотрена архитектура системы безопасности Active Directory. Приведены сведения об используемом хакерами инструментарии. Последовательно и подробно описываются все этапы атаки на домен глазами злоумышленника: поиск уязвимостей и разведка в атакуемой сети, повышение привилегий, боковое перемещение, поиск и сбор критически важных данных. Описаны способы противодействия обнаружению атаки с применением различных инструментальных средств. Рассматриваются методы сохранения доступа к скомпрометированной сети как с помощью сторонних инструментов, так и с использованием групповых политик домена.