Tenable Identity Exposure

运行 Kerberos 服务的特权帐户

使用可暴力破解的 Kerberos 服务主体名称的高特权帐户

Kerberom

特权提升、横向移动、持久性

危险的 Kerberos 委派

检查没有授权危险的委派（未约束、协议转换等）

Nishang

特权提升、横向移动、持久性

在 Active Directory PKI 中使用弱加密算法

部署在内部 Active Directory PKI 上的根证书不得使用弱密码算法

ANSSI-ADCP

持续性、特权提升、横向移动

针对关键对象的危险访问权限委派

发现了一些允许非法用户控制关键对象的访问权限

BloodHound

泄露、横向移动、命令和控制、凭据访问、特权提升

密码策略中有多个问题

在某些特定帐户上，当前密码策略不足，无法确保提供可靠的凭据保护

Patator

防御回避、横向移动、凭据访问、特权提升

危险的 RODC 管理帐户

负责只读域控制器的管理组包含异常帐户

Impacket

凭据访问、防御回避、特权提升

已链接到关键对象的敏感 GPO

由非管理帐户管理的某些 GPO 链接到敏感的 Active Directory 对象（例如 KDC 帐户、域控制器、管理组等）。

ANSSI-ADCP

命令和控制、凭据访问、持久性、特权提升

已允许连接到域控制器之外的其他系统的管理帐户

部署在被监控基础设施上的安全策略不会阻止管理帐户连接到 DC 以外的资源，从而造成敏感的凭据暴露

CrackMapExec

防御回避、凭据访问

危险的信任关系

错误配置的信任关系属性会降低目录基础设施的安全性

Kekeo

横向移动、凭据访问、特权提升、防御回避

GPO 中的可逆密码

验证 GPO 没有包含以可逆格式存储的密码

SMB 密码爬虫

凭据访问、特权提升

运行过时操作系统的计算机

供应商不再支持过时的系统，这大大增加了基础设施的脆弱性

Metasploit

横向移动、命令和控制

使用与 Windows 2000 之前的版本兼容的访问控制的帐户

Windows 2000 之前的兼容访问组的帐户成员可以绕过特定的安全措施

Impacket

横向移动、 防御回避

本地管理帐户管理

确保使用 LAPS 集中和安全管理本地管理帐户

CrackMapExec

防御回避、凭据访问、横向移动

危险的匿名用户配置

在被监控的 Active Directory 基础设施上激活匿名访问，造成敏感数据泄露

Impacket

泄露

异常的 RODC 过滤属性

在某些只读域控制器上应用的过滤策略可能导致敏感信息进行缓存，从而造成特权升级

Mimikatz (DCShadow)

特权提升，防御回避

缺乏对横向移动攻击场景的限制

尚未在被监控的 Active Directory 基础设施上激活横向移动限制，从而使攻击者能够以相同的特权级别访问一系列计算机

CrackMapExec

横向移动

DC 共享中存储的明文密码

DC 共享上的某些文件（可被任何经过身份验证的用户访问）可能包含明文密码，从而造成特权提升

SMBSpider

凭据访问、特权提升、持久性

登录脚本上的危险访问控制权限

计算机或用户登录期间的某些脚本具有危险的访问权限，从而造成特权提升

Metasploit

横向移动、特权提升、持久性

在 GPO 中使用了危险参数

GPO 设置了一些危险参数（如受限组、LM 哈希计算、NTLM 身份验证级别、敏感参数等），从而造成安全漏洞

Responder

发现、凭据访问、执行、持久性、特权提升、防御回避

在用户帐户控制配置中定义的危险参数

某些用户帐户的“用户帐户控制”属性定义了危险的参数（如 PASSWD_NOTREQD 或PARTIAL_SECRETS_ACCOUNT），这会危害该帐户的安全性

Mimikatz (LSADump)

持续性、特权提升、防御回避

缺乏对安全补丁的应用

在 Active Directory 中注册的某个服务器最近未应用安全更新

Metasploit

命令和控制权限提升、防御回避

针对用户帐户进行暴力破解尝试

某些用户帐户已作为暴力破解的目标

Patator

凭据访问

用户帐户的 Kerberos 配置

某些帐户使用弱 Kerberos 配置

Mimikatz (Silver Ticket)

凭据访问、特权提升

DC 上共享和存储的文件异常

某些域控制器用于承载不必要的文件或网络共享

SMBSpider

发现、泄露

后门技术

说明

已知攻击工具

Mitre 攻击阵列

确保 SDProp 持久性

控制 adminSDHolder 对象保持在无害状态

Mimikatz (Golden Ticket)

特权提升，持久性

确保 SDProp 持久性

验证用户的主要组尚未更改

BloodHound

特权提升，持久性

验证根域对象权限

确保在根域对象上设置的权限是正确的

BloodHound

特权提升，持久性

验证敏感的 GPO 对象和文件权限

确保在链接到敏感容器（例如域控制器 OU）的 GPO 对象和文件上设置的权限是正确的

BloodHound

执行、特权提升、持久性

RODC KDC 帐户的危险访问权限

某些只读域控制器上使用的 KDC 帐户可以由非法用户帐户控制，从而造成凭据泄漏

Mimikatz (DCSync)

特权提升，持久性

映射到用户帐户的敏感证书

某些 X509 证书存储在 altSecurityIdentities 用户帐户属性中，从而允许证书的私钥所有者以此用户身份进行身份验证

命令和控制、凭据访问、特权提升、持久性

在常规帐户上设置了危险的 Krbtgt SPN

KDC 的服务主体名称存在于某些常规用户帐户上，从而造成 Kerberos 票证伪造

Mimikatz (Golden Ticket)

特权提升，持久性

KDC 密码密码上次更改

KDC 帐户密码必须定期更改

Mimikatz (Golden Ticket)

凭据访问、特权提升、持久性

帐户具有危险的 SID 历史记录属性

检查 SID 历史记录属性中使用特权 SID 的用户或计算机

DeathStar

特权提升，持久性

恶意域控制器

确保仅将合法的域控制器服务器注册到 Active Directory 基础设施中

Mimikatz (DCShadow)

执行、防御回避、特权提升、持久性

非法的 Bitlocker 密钥访问控制

除管理员和链接计算机外，其他人也可以访问 Active Directory 中存储的某些 Bitlocker 恢复密钥

ANSSI-ADCP

凭据访问、特权提升、持久性

架构安全描述符中存在异常条目

Active Directory 架构已被修改，导致新的标准访问权限或对象可能危及被监控的基础设施

BloodHound

特权提升，持久性

DSRM 帐户已激活

Active Directory 恢复帐户已被激活，从而造成凭据可能被窃取

Mimikatz (LSADump)

凭据访问、泄露、防御回避、特权提升、持久性

使用智能卡时不更新身份验证哈希

某些使用智能卡身份验证的用户帐户没有经常性地更新其凭据哈希

Mimikatz (LSADump)

持久性

用户帐户的可逆密码

验证没有参数以可逆格式存储密码

Mimikatz (DC Sync)

凭据访问

在容器上使用明确的拒绝访问

某些 Active Directory 容器或 OU 定义了明确的拒绝访问，从而造成隐藏潜在的后门

BloodHound

防御回避、持久性