随着信息化和人工智能的持续发展,网络攻防技术的应用范围不断扩大,其复杂性和多样性也在持续增长。在过去的 20 多年中,AD 在企业内网管理中一直承担着身份认证、访问控制和资源管理等关键任务。然而,AD 同时是攻击者横向渗透的重灾区。
在 Windows 环境下,企业内网域控制器由 AD 进行管理,但企业内网中的计算机高度集中,同时管理设备中存储了大量身份凭据信息和关键数据,使得企业内网更易成为攻击者的目标。
为了解决这一安全问题,许多企业已经开始过渡到 Microsoft Entra ID(原 AzureAD)等云端身份平台,利用无密码登录和有条件访问等新的认证机制来逐步淘汰 AD 基础设施。然而,仍有一些组织在混合云和内网环境中使用域控制器。
如何检测及防御恶意攻击者对 AD 和 Microsoft Entra ID 发起的多样化网络攻击呢?
这也成为网络专家面临的重要挑战。
为了更好地应对这一挑战,微软 MVP + 360安全专家,结合多年一线 AD 及 Microsoft Entra ID 攻防实战经验,重磅打造《AD域攻防权威指南》!
内容亮点
这是一本全面覆盖“本地+云”混合域环境攻防的实战指南,帮助安全从业者和企业构建更强大、完善的防御能力,使其更从容地应对复杂多变的安全场景与挑战。
本书结合大量AD及Microsoft Entra ID攻防案例,从攻防两端视角设计了一整条域攻防实战链条——
以混合域攻防实战为主线,基于ATT&CK框架模型,系统解析AD域和Microsoft Entra ID在攻防各阶段(信息收集、权限获取、横向移动、持久化、后渗透)涉及的技术原理、攻击手段、典型漏洞以及防御策略。
全书内容丰富翔实、讲解深入透彻,覆盖信息收集、AD权限获取、域信任、Kerberos域委派、ACL后门、ADCS攻防、Microsoft Entra ID攻防等核心技术,配合大量实例。既能帮助安全从业者理解域攻防本质,掌握实际攻击手段,做到知己知彼;又能助力安全团队以攻促防,构建更坚实的企业防线。
读者收获
本书力求为从业者讲透域攻防对抗实战,推动领域防护水平的全面提升。适合各层次的网络安全从业者阅读,无论是技术初学者还是安全团队管理者,都能从中获得深刻启发与实践指导。
阅读本书后,读者能有效理解域攻防的本质:
一方面能模拟红队(攻方)的攻击思路,掌握实战化的域攻击手段;另一方面,赋能构建严密的蓝队(守方)防御体系,以攻促防,在使用混合AD的企业内部构建更为强大的防御体系。
本书由一线安全专家 党超辉、贾晓璐、何佳欢 倾力打造,实现 微软全球MVP+360安全专家 的强强联合。
凭借专业性、实用性、前瞻性,本书在业内好评如潮:
国家广播电视总局教授级高级工程师、360数字安全集团副总裁 作序
20余位安全技术专家/团队负责人/安全厂商创始人 联袂推荐
本书作为一本专注于混合AD环境(包括AD和Microsoft Entra ID)攻防的专业性图书,非常适合参与红蓝对抗演练的安全专业人士阅读。
兜哥 “AI 安全三部曲”作者,蚂蚁集团网络安全副总经理,资深安全专家
本书作者凭借在攻防领域的丰富实战经验,从红队的角度出发,对域环境中的关键攻防对抗要点和原理进行了深入的剖析与解读,为红蓝双方提供了宝贵的视角和洞见。
薛峰 微步在线创始人兼CEO
本书不仅提供了大量实用的防御方法和技巧,还特别强调了攻防的实战性。书中每一章都配备了丰富的实际案例和应对策略,读者能够通过学习这些案例,深入掌握攻击者的思维方式和行为模式,从而提升自身的安全意识和应对能力。
聂君 知其安创始人,公众号“君哥的体历”创始人
很高兴看到作者多年来在这一领域的经验积累成书,向大家推荐。相信本书可以为企业安全建设做出有效的指引。
老杨 微软大中华区安全事业部总经理
作为网络安全领域的新锐之作,这本书中的场景丰富、案例翔实。作者以其丰富的实战经验和深厚的专业背景,将AD域和Microsoft Entra ID的攻防过程深入浅出地呈现在读者面前。安全行业新秀或者资深从业者,都能从本书中获得新的视角和启发。
李鑫 腾讯安全云鼎实验室攻防负责人,CSA大中华区云渗透测试小组组长
目录
Contents目 录
序一
序二
赞誉
前言
第1章 AD域及Microsoft Entra ID1
1.1 AD域基础1
1.1.1 核心概念1
1.1.2 组策略4
1.1.3 LDAP11
1.1.4 SPN15
1.1.5 Kerberos 22
1.2 Microsoft Entra ID基础25
1.2.1 核心概念25
1.2.2 Microsoft Entra内置角色28
第2章 AD域及Microsoft Entra ID分析29
2.1 AD域配置管理工具SCCM详解29
2.1.1 SCCM介绍29
2.1.2 利用SCCM进行信息枚举32
2.1.3 利用SCCM进行横向移动39
2.1.4 利用SCCM进行凭据窃取47
2.1.5 利用SCCMHunter进行SCCM分析61
2.1.6 利用MalSCCM进行SCCM分析65
2.1.7 利用SharpSCCM进行SCCM分析75
2.2 本地AD域分析91
2.2.1 利用BloodHound进行AD域分析91
2.2.2 利用AdFind进行AD域分析113
2.2.3 利用AD Explorer进行AD域分析125
2.2.4 利用SharpADWS进行AD域分析131
2.2.5 利用SOAPHound进行AD域分析140
2.3 Microsoft Entra ID分析146
2.3.1 Microsoft Entra ID分析工具AzureHound详解146
2.3.2 使用Azure AD PowerShell进行信息枚举167
2.3.3 使用Azure PowerShell进行信息枚举186
2.3.4 使用Azure CLI进行信息枚举195
第3章 获取AD域权限202
3.1 域用户密码策略202
3.1.1 常见密码策略202
3.1.2 获取密码策略的手段202
3.1.3 域用户密码策略解析204
3.1.4 查找被禁用用户204
3.2 利用Kerberos协议进行密码喷洒205
3.2.1 使用ADPwdSpray.py进行域密码喷洒205
3.2.2 利用dsacls进行密码喷洒206
3.2.3 检测利用Kerberos协议实施的密码喷洒206
3.3 Microsoft Entra ID密码喷洒207
3.3.1 Microsoft Entra ID密码策略207
3.3.2 通过MSOnline PowerShell获取密码策略207
3.3.3 使用MSOLSpray对Azure AD租户进行密码喷洒209
3.3.4 使用Go365对Microsoft 365用户进行密码喷洒210
3.3.5 防御Microsoft Entra ID密码喷洒212
3.4 利用LDAP破解账户密码215
3.4.1 使用DomainPasswordSpray通过LDAP进行密码喷洒215
3.4.2 域外Linux环境中通过LDAP爆破用户密码216
3.4.3 检测利用LDAP实施的密码爆破217
3.5 AS-REP Roasting离线密码破解218
3.5.1 错误配置导致AS-REP Roasting攻击218
3.5.2 检测AS-REP Roasting攻击221
3.5.3 防御AS-REP Roasting攻击221
3.6 Kerberoasting离线密码破解221
3.6.1 Kerberoasting攻击原理221
3.6.2 Kerberoasting攻击流程222
3.6.3 实验环境配置222
3.6.4 获取访问指定服务的票据223
3.6.5 转换不同格式的票据224
3.6.6 离线破解本地票据225
3.6.7 Kerberoasting后门226
3.6.8 Kerberoasting攻击的检测及防御227
3.7 FAST227
3.7.1 FAST配置227
3.7.2 绕过FAST保护230
3.7.3 未经预身份验证的Kerberoasting232
3.8 域环境中控制指定用户236
3.9 特殊机器账户:Windows 2000之前的计算机240
3.10 CVE-2020-1472(ZeroLogon)漏洞利用243
3.10.1 检测目标域控ZeroLogon漏洞244
3.10.2 域内Windows环境中使用Mimikatz执行ZeroLogon攻击244
3.10.3 域外执行ZeroLogon攻击245
3.10.4 恢复域控机器账户密码247
3.10.5 检测ZeroLogon攻击248
3.10.6 防御ZeroLogon攻击250
第4章 域信任 251
4.1 域信任基础251
4.1.1 域信任原理251
4.1.2 TDO252
4.1.3 GC252
4.2 多域与单域Kerberos认证的区别253
4.3 林内域信任中的Kerberos通信253
4.4 林间域信任中的Kerberos通信253
4.5 信任技术255
4.5.1 域信任类型256
4.5.2 域信任路径261
4.5.3 林内域信任攻击263
4.5.4 林间域信任攻击269
第5章 Kerberos域委派280
5.1 无约束委派281
5.1.1 无约束委派原理282
5.1.2 查询无约束委派283
5.1.3 配置无约束委派账户285
5.1.4 利用无约束委派和Spooler打印机服务获取域控权限287
5.1.5 防御无约束委派攻击291
5.2 约束委派291
5.3 基于资源的约束委派302
5.4 绕过委派限制325
5.4.1 手动添加SPN绕过委派限制325
5.4.2 CVE-2020-17049(Kerberos Bronze Bit)漏洞利用328
第6章 ACL后门332
6.1 在AD中滥用ACL/ACE332
6.2 利用GenericAll权限添加后门335
6.3 利用WriteProperty权限添加后门337
6.4 利用WriteDacl权限添加后门339
6.5 利用WriteOwner权限添加后门340
6.6 利用GenericWrite权限添加后门341
6.7 通过强制更改密码设置后门343
6.8 通过GPO错配设置后门344
6.9 SPN后门346
6.10 利用Exchange的ACL设置后门348
6.11 利用Shadow Admin账户设置后门349
第7章 AD CS攻防351
7.1 AD CS基础351
7.1.1 证书服务的应用场景和分类352
7.1.2 证书模板和注册352
7.1.3 获取CA信息357
7.2 AD CS的常用攻击与防御手法358
7.2.1 ESC1:配置错误的证书模板358
7.2.2 ESC2:配置错误的证书模板362
7.2.3 ESC3:错配证书请求代理模板363
7.2.4 ESC4:证书模板访问控制错配365
7.2.5 ESC6:利用EDITF_ATTRIB-UTESUBJECTALTNAME2获取权限371
7.2.6 ESC7:CA访问控制错配374
7.2.7 ESC8:利用PetitPotam触发NTLM Relay380
7.2.8 AD域权限提升387
7.2.9 利用CA机器证书申请伪造证书390
7.2.10 影子凭据攻击395
7.2.11 ESC9:无安全扩展406
7.2.12 ESC10:弱证书映射410
7.2.13 ESC11:RPC中继到AD CS416
第8章 Microsoft Entra ID攻防420
8.1 AD用户同步到Microsoft Entra ID420
8.1.1 创建Windows Server Active Directory环境420
8.1.2 在Microsoft Entra管理中心 创建混合标识管理员账户427
8.1.3 安装配置Microsoft Entra Connect430
8.2 防御Microsoft Entra无缝单一登录功能的滥用436
8.2.1 防御滥用Microsoft Entra无缝单一登录实施的密码喷洒436
8.2.2 防御滥用AZUREADSSOACC$账户实施的横向移动442
8.3 防御滥用AD DS连接器账户实施的DCSync攻击454
8.4 防御滥用Microsoft Entra连接器账户来重置密码466
8.5 防御滥用Microsoft Intune管理中心实施的横向移动473
8.6 防御滥用Azure内置Contributor角色实施的横向移动486
了解更多
