指标

DCShadow 是另一种后期 kill chain 攻击，导致具有特权凭据的攻击者可以注册恶意域控制器，以便通过域复制将任意更改推送到域（例如，应用已被禁止的 sidHistory 值）。

本地 Administrators 组通过 SAMR RPC 接口枚举，可能是通过 BloodHound/SharpHound。

名为 Zerologon 的漏洞与 Windows Server 中的严重漏洞 (CVE-2020-1472) 相关，在 Microsoft 的 CVSS 评分系统中获得了 10.0 分。当攻击者使用 Netlogon 远程协议 (MS-NRPC)，与域控制器建立易受攻击的 Netlogon 安全通道连接时，此漏洞会提升特权。攻击者可利用此漏洞入侵域并获得域管理员特权。

被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击，可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击，攻击者可以使用多种后渗透攻击技术实现特权提升，例如修改域控制器帐户密码​、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动（由 IoA“Zerologon 利用”解决）。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一​ ：修改域控制器计算机帐户密码。

用户登录后，攻击者可能会尝试访问存储在本地安全认证子系统服务 (LSASS) 进程内存中的凭据材料。

关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号（如未找到），进而冒充目标计算机帐户。

密码喷洒攻击是指使用一些常用密码尝试访问大量帐户（用户名），也称为低速缓慢攻击

NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥，如密码哈希和 Kerberos 密钥。攻击者在访问此文件后，便可离线解析此文件的副本，从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。

PetitPotam 工具可用于对远程系统的目标计算机强制进行身份验证，通常目的在于执行 NTLM 中继攻击。如果 PetitPotam 将目标锁定为域控制器，攻击者可以向中继域控制器身份验证的另一台网络机器进行身份验证。

DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此，若域的 DPAPI 备份密钥泄露，他们建议重新创建一个全新的域，但这样做耗时长久且代价高昂。

BadSuccessor 是 Windows Server 2025 中可利用 dMSA 的 Active Directory 特权提升缺陷，让攻击者可以操纵帐户链接，并可能入侵域。

验证没有空组或组只包含单个成员。

识别影响 Exchange 资源或已分配给 Exchange 组的潜在不安全权限。

检测到 Microsoft 不再支持的过时 Exchange 服务器，以及缺少最新累积更新的服务器。

列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。

从本地 Active Directory 环境收集已与 Microsoft Entra ID 同步的资源有关的信息，如混合用户和计算机等。

敏感 Exchange 组中的异常帐户

显示域服务帐户中的潜在配置错误。

请检查是否有重复（冲突）的用户、计算机或组。

在“Windows Hello for Business”功能及其相关密钥凭据中检测到 Shadow Credentials 后门程序和配置错误。