指标

在多台计算机上出现大量身份验证请求，这些请求使用 NTLM 或 Kerberos 协议并来自同一来源，这表明可能存在通过 BloodHound/SharpHound 发起的攻击。

被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击，可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击，攻击者可以使用多种后渗透攻击技术实现特权提升，例如修改域控制器帐户密码​、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动（由 IoA“Zerologon 利用”解决）。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一​ ：修改域控制器计算机帐户密码。

在 Golden Ticket 攻击中，攻击者获得对 Active Directory 密钥分发服务帐户 (KRBTGT) 的控制权，并使用该帐户创建有效的 Kerberos 票据授予票据 (TGTs)。

DCShadow 是另一种后期 kill chain 攻击，导致具有特权凭据的攻击者可以注册恶意域控制器，以便通过域复制将任意更改推送到域（例如，应用已被禁止的 sidHistory 值）。

DNSAdmins 利用是一种攻击方式，DNSAdmins 组中的成员可以借此接管运行 MicrosoftDNS 服务的域控制器。DNSAdmins 组中的成员有权在 Active Directory DNS 服务上执行管理任务。攻击者会滥用这些权利，以在高特权环境中执行恶意代码。

本地 Administrators 组通过 SAMR RPC 接口枚举，可能是通过 BloodHound/SharpHound。

攻击者可利用 Mimikatz 中的 DCSync 命令冒充成域控制器，且无需在目标上执行任何代码，即可从其他域控制器检索密码哈希和加密密钥。

密码喷洒攻击是指使用一些常用密码尝试访问大量帐户（用户名），也称为低速缓慢攻击

PetitPotam 工具可用于对远程系统的目标计算机强制进行身份验证，通常目的在于执行 NTLM 中继攻击。如果 PetitPotam 将目标锁定为域控制器，攻击者可以向中继域控制器身份验证的另一台网络机器进行身份验证。

用户登录后，攻击者可能会尝试访问存储在本地安全认证子系统服务 (LSASS) 进程内存中的凭据材料。

DPAPI 域备份密钥对于恢复 DPAPI 密钥很关键。多种攻击工具都利用 LSARPC 调用将这些密钥从域控制器中提取出来。Microsoft 识别出没有受支持的方法可用来轮换或更改这些密钥。因此，若域的 DPAPI 备份密钥泄露，他们建议重新创建一个全新的域，但这样做耗时长久且代价高昂。

暴力破解密码猜测攻击是指攻击者会提交并尝试所有可能，直至找到正确的密码和密码短语。

在 Kerberoasting 类型的攻击中，攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据，以便离线破解密码。此攻击旨在通过请求服务票据，然后离线破解该服务帐户的凭据，来获取服务帐户的访问权限。Kerberoasting 攻击指标需要激活 Tenable Identity Exposure 的 Honey Account（蜜罐帐户）功能，才能在有人尝试登录 Honey Account（蜜罐帐户）或此帐户收到票据请求时发出警报。

NTDS 提取是指攻击者用来检索 NTDS.dit 数据库的技术。此文件存储 Active Directory 密钥，如密码哈希和 Kerberos 密钥。攻击者在访问此文件后，便可离线解析此文件的副本，从而提供 DCSync 攻击的替代方案来检索 Active Directory 的敏感内容。

关键的 CVE-2021-42287 会提升标准帐户在该域上的权限。该缺陷源自错误地处理针对具有不存在的 sAMAccountName 属性对象的请求。该域控制器会自动在 sAMAccountName 值后面添加一个美元 ($) 符号（如未找到），进而冒充目标计算机帐户。

在 Kerberoasting 类型的攻击中，攻击者会将攻击目标锁定为 Active Directory 服务帐户凭据，以便离线破解密码。此攻击旨在通过请求服务票据，然后离线破解该服务帐户的凭据，来获取服务帐户的访问权限。Kerberoasting IoA 已涵盖经典的 Kerberoasting 方法。正如指标名称所述，有另一种使用隐蔽方法进行 Kerberoasting 攻击的方式，这种方式可以绕过许多检测机制。高级攻击者可能会偏好使用这种方式以避开大部分检测启发式方法。

名为 Zerologon 的漏洞与 Windows Server 中的严重漏洞 (CVE-2020-1472) 相关，在 Microsoft 的 CVSS 评分系统中获得了 10.0 分。当攻击者使用 Netlogon 远程协议 (MS-NRPC)，与域控制器建立易受攻击的 Netlogon 安全通道连接时，此漏洞会提升特权。攻击者可利用此漏洞入侵域并获得域管理员特权。

检测动态对象及其相关的不安全配置。

BadSuccessor 是 Windows Server 2025 中可利用 dMSA 的 Active Directory 特权提升缺陷，让攻击者可以操纵帐户链接，并可能入侵域。

验证没有空组或组只包含单个成员。

识别影响 Exchange 资源或已分配给 Exchange 组的潜在不安全权限。

检测到 Microsoft 不再支持的过时 Exchange 服务器，以及缺少最新累积更新的服务器。

列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。

从本地 Active Directory 环境收集已与 Microsoft Entra ID 同步的资源有关的信息，如混合用户和计算机等。

敏感 Exchange 组中的异常帐户

显示域服务帐户中的潜在配置错误。

请检查是否有重复（冲突）的用户、计算机或组。

在“Windows Hello for Business”功能及其相关密钥凭据中检测到 Shadow Credentials 后门程序和配置错误。

检查内置的来宾帐户是否已禁用。

确保托管服务帐户 (MSAs) 已部署和正确配置。

检查特权 Active Directory 用户帐户是否已同步到 Microsoft Entra ID。

有关为特权（第 0 层）帐户配置身份验证孤岛的分步指南。

检查 DNS 服务器配置是否禁止不安全的动态 DNS 区域更新。

列出了与 Windows Server Update Services (WSUS) 相关的错误配置参数。

检查属性集的完整性并验证权限

检查“分布式文件系统复制”(DFS-R) 机制是否替换了“文件复制服务”(FRS)。

验证可能会加剧 Active Directory 帐户漏洞的密码中的缺陷。

确保域实现了针对勒索软件的加固措施。

列出与 Active Directory 证书服务 (AD CS) 公钥基础设施 (PKI) 有关、危险的权限以及错误配置的参数。

验证应用于域计算机的组策略对象 (GPO) 是否健全。

检查是否存在可连接到低特权计算机，从而导致凭据盗窃风险的特权用户。

CVE-2020-1472（“Zerologon”）会影响 Netlogon 协议并允许提升特权

Credential roaming 属性易受攻击，因此，攻击者可以读取相关受用户保护的密钥。

检查域用户可读属性中包含潜在明文密码的对象。

识别配置错误的敏感特权，这些特权会降低目录基础设施的安全性。

确保没有弱证书映射被分配给对象。

检查域中是否部署了加固 GPO。

验证是否有特权用户不是 Protected Users 组成员。

识别允许使用空密码的用户帐户。

确认普通用户无法将外部计算机加入到域。

确保定期更改 Microsoft Entra Seamless SSO 帐户密码。

列出被认为存在异常且可能提供持久性方法的架构条目。

检查 Active Directory 中所有处于活动状态的帐户密码是否定期更新，以减少凭据被盗的风险。

确保在 Microsoft Entra Connect 帐户上设置的权限是合理的

某些域控制器可以由非管理用户管理，这是访问权限存在风险所致。

一些应用于特定用户帐户的密码策略不够强，可能会导致凭据被盗。

确保分配给链接到敏感容器（如域控制器或组织单位）的 GPO 对象和文件的权限是适当且安全的。

dsHeuristics 属性可以修改 AD 行为，但部分字段为安全敏感字段，会带来安全风险。

检查域或林的功能级别是否正确无误，这将决定高级功能和安全选项的可用性。

确保使用 LAPS 对本地管理帐户进行安全的集中管理。

检测使用弱 Kerberos 配置的帐户。

检查根对象上是否存在可使未经授权的用户窃取身份验证凭据的不安全权限。

检查是否存在可以绕过安全措施的 Windows 2000 以前版本兼容访问组的帐户成员。

已停用的帐户不应继续留在特权组中。

识别 Microsoft 不再支持且会增加基础结构安全漏洞的过时系统。

使用 SID history 属性中的特权 SID 检查用户/计算机帐户。

标识部署在内部 Active Directory PKI 上的根证书中所使用的弱加密算法。