AD 域作为企业网络的 “心脏”,一旦被攻击可能导致全网沦陷。本文教你如何给 AD 域做安全评估,就像给电脑做 “全身扫描” 一样,找出隐藏的风险点。

一、信息收集与监控覆盖:先看清 “战场地图”

  • 域内信息收集
    • 目标:检查黑客攻击前可能窃取的信息(如用户列表、服务器 IP、共享文件夹)是否被有效防护。
    • How
      • 用工具模拟黑客扫描(如 Nmap),看监控设备能否及时报警;
      • 检查是否记录了用户登录失败、异常 IP 访问等可疑行为。
  • 安全监控设备覆盖
    • 目标:确认防火墙、入侵检测系统(IDS)等设备是否 “无死角” 监控域内流量。
    • 比喻:就像家里装了摄像头,但要检查每个房间(如服务器区、员工办公网)是否都在监控范围内,别留 “盲区”。

二、账号与密码:守住 “门锁” 第一道关

  • 本地账户与密码策略审计
    • 目标:防止弱密码成为 “万能钥匙”。
    • 检查点
      • 是否强制要求密码长度≥8 位、包含大小写 + 数字 + 符号;
      • 是否禁止重复使用旧密码(如不允许连续 5 次用同一密码);
      • 普通员工账户是否被误设为 “管理员权限”。
  • Admin 账户检查
    • 目标:防止管理员账号被滥用或泄露。
    • 关键动作
      • 禁止多人共用一个管理员账号(如 “admin” 默认账号);
      • 检查管理员是否定期修改密码,且密码未明文保存在文档 / 聊天记录中;
      • 限制管理员登录权限(如只能从指定 IP 或安全终端登录)。

三、提权与凭据窃取:警惕 “从员工变老板” 的攻击

  • 提权攻击测试
    • 目标:模拟黑客如何从普通用户权限 “升级” 为管理员权限。
    • 常见手段
      • 内核漏洞提权:利用系统漏洞(如旧版 Windows 未打补丁);
      • Print Spooler 提权:通过打印机服务漏洞获取高权限(“借打印机偷偷打开保险柜”);
      • Bypass UAC:绕过系统权限提示,偷偷安装恶意软件。
  • mimikatz 凭据窃取测试
    • 目标:检查电脑是否容易被窃取登录密码(如黑客通过木马读取内存中的密码)。
    • 防御方法
      • 启用 Windows 安全中心的 “凭据保护” 功能;
      • 禁止普通用户安装可疑软件,避免木马植入。
  • NTLM 重放攻击测试
    • 目标:验证黑客能否通过拦截网络流量,伪造身份登录系统(“偷取门禁卡复制后开门”)。
    • 解决方案
      • 强制使用更安全的 Kerberos 认证,减少 NTLM 协议使用;
      • 在交换机上启用端口安全,防止中间人攻击。

四、横向移动与域信任:防止 “从一个办公室逛到整个公司”

  • Kerberoast 攻击验证
    • 目标:检测黑客是否能通过伪造票据(“假工牌”)访问敏感服务。
    • 测试点
      • 检查域内是否存在弱密码的服务账户(如 SQL Server、Exchange 账户);
      • 定期修改服务账户密码,避免长期不变。
  • PTH(哈希传递)攻击测试
    • 目标:模拟黑客用窃取的密码哈希值直接登录系统(无需知道明文密码)。
    • 防御关键
      • 启用 “基于资源的约束委派”,限制哈希传递的范围;
      • 部署 EDR(端点检测响应)工具,实时监控异常哈希登录。
  • PsExec&WMI&winRM 测试
    • 目标:检查微软自带工具是否被滥用(如黑客用 PsExec 远程控制电脑)。
    • How
      • 禁止普通用户使用这些工具;
      • 在防火墙中封锁相关端口(如 WMI 用的 135 端口)。

五、高级攻击与后门:警惕 “藏在暗处的定时炸弹”

  • 委派攻击测试
    • 目标:检测黑客能否利用 “信任关系” 越权访问(如 A 部门信任 B 部门,黑客冒充 B 部门员工访问 A 的机密)。
    • 类型
      • 非约束委派:风险高,黑客可获取域内所有票据;
      • 约束委派:限制信任范围,需重点检查配置是否严格。
  • 黄金 / 白银票据攻击测试
    • 目标:模拟黑客伪造 “万能钥匙”(黄金票据)或 “特定门钥匙”(白银票据)长期控制域。
    • 防御手段
      • 定期轮换域控制器的 KRBTGT 账户密码(黄金票据依赖该密码);
      • 监控异常的 Kerberos 票据请求日志。
  • 域信任攻击测试
    • 目标:检查主域与子域、不同公司域之间的信任关系是否存在漏洞(如子域被攻击后,黑客通过信任关系入侵主域)。
    • 检查点
      • 减少不必要的域信任,仅保留必需的;
      • 对跨域访问启用额外的认证(如 MFA)。

六、配置与漏洞:修补 “墙壁上的裂缝”

  • GPO 组策略测试
    • 目标:防止黑客通过修改组策略植入恶意程序(如强制所有电脑下载病毒软件)。
    • 做法
      • 限制非管理员用户修改组策略的权限;
      • 定期审计组策略中的软件安装规则。
  • 域控漏洞测试
    • 重点漏洞
      • MS14-068:伪造域管权限,需打补丁 + 启用审核日志;
      • CVE-2020-1472(Zero-Logon):空密码接管域控制器,需强制使用 Netlogon 安全通道;
      • Print Spooler 漏洞(CVE-2021-34527 等):关闭不必要的打印机服务,及时更新系统。
  • 域内安全配置检查
    • 关键项
      • 禁止普通用户将个人电脑加入域(避免私设备成为跳板);
      • 启用 LAPS(本地管理员密码解决方案),自动生成随机管理员密码;
      • 清理过期账户和老旧计算机对象(如离职员工账号未删除)。

七、日常运维与审计:让 “隐患” 无处藏身

  • ACL 审计

    • 目标:检查文件、注册表等资源的访问权限是否合理(如财务文件是否被误设为 “全员可写”)。

    • 工具:用微软的 AccessChk 工具扫描异常权限,如非管理员账户拥有 “完全控制” 权限。

    • 日常审计与监控

      • 必做清单

      • 定期查看域控制器的安全日志,关注 “4624”(成功登录)、“4625”(失败登录)等事件;

      • 用脚本定期扫描域内是否存在隐藏后门(如 AdminSDHolder 权限异常、LAPS 密码泄露);

      • 对员工进行安全培训,避免点击钓鱼邮件、使用弱密码等 “人为漏洞”。

八、总结

  • AD 域安全就像 “建城堡”:
    • 城墙(权限控制):最小权限原则,不让任何人 “权力过大”;
    • 卫兵(监控审计):24 小时巡逻(实时日志监控),发现异常立即报警;
    • 定期体检(漏洞修复):每月打补丁、每季度做安全评估,不让 “小裂缝” 变成 “大缺口”。