ActiveDirectory安全指南

Active Directory（AD）作为Windows网络的核心目录服务，承担着用户认证、资源管理和策略实施的关键职能。其采用层次化结构组织网络资源，通过LDAP协议实现目录访问，依赖Kerberos协议完成安全认证。AD的广泛部署使其成为攻击者的首要目标，据统计90%的财富1000强企业依赖AD进行身份管理，而一旦域管理员账户被攻破，攻击者平均可在网络中潜伏277天不被发现。这种现状凸显了AD安全防护的紧迫性。

一、攻击技术深度分析

1. Pass-the-Hash（哈希传递）攻击

该技术利用NTLM认证协议的缺陷，攻击者通过提取内存中的密码哈希（如使用Mimikatz的sekurlsa::logonpasswords命令）绕过密码验证。具体过程包括：获取目标系统的本地管理员权限→转储LSASS进程中的哈希值→使用evil-winrm等工具将哈希传递到其他系统。防御要点包括启用Credential Guard、实施本地管理员密码随机化（LAPS）、限制网络本地账户认证。

2. Kerberoasting攻击

针对配置了SPN的服务账户，攻击者通过请求服务票据（TGS）获取加密的密码哈希。使用Impacket的GetUserSPNs脚本可自动化此过程，获取的哈希可通过Hashcat进行离线破解（如使用-mode 18200参数）。关键检测点包括监控事件ID 4769（服务票据请求）和4770（票据续订），建议对服务账户启用AES加密并禁用RC4。

二、高级攻击手法

1. Golden Ticket（黄金票据）攻击

攻击者获取krbtgt账户的NTLM哈希（如通过DCSync）后，可伪造任意用户的TGT票据。使用Mimikatz的kerberos::golden命令需提供域SID、krbtgt哈希等参数。微软2021年11月补丁已强制要求票据必须关联真实账户，缓解措施包括定期轮换krbtgt密码（建议间隔12-24小时两次更改）和限制域管理员跨安全边界使用。

2. DCShadow攻击

通过注册伪域控制器，攻击者可篡改AD对象属性。典型步骤包括：使用mimidrv.sys驱动提升权限→通过lsadump::dcshadow修改SID History属性→用push命令将变更同步到真实DC。检测需监控DRSUAPI RPC调用和事件ID 5136（对象修改），防御应限制计算机对象创建权限和跨域管理访问。

三、新兴威胁防护

1. PetitPotam NTLM中继攻击

利用MS-EFSRPC协议强制域控制器向攻击者控制的服务认证，结合AD CS漏洞获取域控证书。完整攻击链包括：ntlmrelayx.py中继到证书服务→PetitPotam.py触发认证→使用Rubeus请求TGT→DCSync获取krbtgt哈希。微软建议对AD CS启用EPA（扩展保护认证）和SSL强制，并更新2022年5月补丁。

2. LDAP注入防护

分为权限提升、认证绕过、信息泄露三种类型。典型注入如")(security_level=*"可突破查询过滤器限制。防御需实施输入净化（如转义()*等特殊字符）、启用绑定认证、遵循最小权限原则。对于搜索过滤器，应按照RFC4515规范处理保留字符。

四、体系化防御建议

基础加固：启用LSA保护、配置Kerberos Armoring、禁用NTLMv1

监测体系：部署SIEM收集关键事件（如4624登录、4769票据请求）

应急响应：建立黄金票据撤销流程，维护备用域控离线备份

架构优化：实施特权访问工作站（PAW）、划分管理森林

五、技术演进趋势

随着Azure AD的普及，混合身份体系带来新的攻击路径。研究发现攻击者可通过Endpoint Manager从Azure租户横向移动到本地AD域。建议在迁移过程中保持安全基准一致，并关注ADFS、条件访问等组件的安全配置。

本手册提供的检测和缓解措施均经过实战验证，建议组织结合ATT&CK框架构建持续检测能力，并通过定期红队演练验证防御有效性。安全团队应特别关注T1558（窃取凭据）和TA0008（横向移动）相关技战术的防护。