Active Directory（AD）作为大多数组织的信息管理中枢，在身份验证与访问控制中发挥着至关重要的作用。这也使其成为网络犯罪分子觊觎的目标，他们不断寻找漏洞以窃取关键数据。为了有效防御 AD 环境遭受攻击，了解常见的攻击手段以及制定全面的防护策略至关重要。本文将带你了解十大常见 AD 攻击类型，并介绍如何快速检测和防护。

一、基于密码的攻击

大多数 AD 系统依赖密码作为第一道安全防线。然而，弱密码或易猜密码极易被攻击者利用。因此，攻击者往往通过暴力破解和密码喷洒等方式寻找突破口。

暴力破解攻击

暴力破解攻击是最常见的密码攻击手段之一，攻击者通过自动化工具系统性地尝试各种密码组合，大大缩短破解时间，快速攻破账户。

如何检测暴力破解攻击

监测单个账户或 IP 地址频繁的登录失败尝试，并关注异常的登录行为模式。

密码喷洒攻击

与暴力破解不同，密码喷洒攻击更加隐蔽。攻击者会针对大量账户尝试使用一个常见的弱密码（如“Password123”），以避免触发账户锁定机制，从而降低被发现的风险。

如何检测密码喷洒攻击

观察同一来源在多个账户上发生的登录失败事件，这是密码喷洒攻击的重要迹象。

防护建议在组织内部统一推行强密码策略和账户锁定策略，并加强用户安全意识教育，普及密码管理最佳实践。

密码喷洒攻击

二、基于 NTLM 认证的攻击

新技术局域网管理器（NTLM）协议通过密码哈希验证身份。尽管提供了基本安全性，但仍容易被攻击者利用，如哈希传递（Pass-the-Hash）攻击和 NTLM 中继（NTLM Relay）攻击。

哈希传递（Pass-the-Hash）攻击

攻击者窃取账户密码的哈希值，并将其作为凭证直接进行身份认证，无需知道明文密码。由于 NTLM 不验证哈希来源，攻击者可以轻松绕过传统身份验证机制，伪装成合法用户进行横向移动。

如何检测哈希传递攻击

关注异常用户行为，如非工作时间、异常地理位置或设备发起的登录尝试，以及认证请求数量激增的情况。

NTLM 中继（NTLM Relay）攻击

在中继攻击中，攻击者截获并转发合法的认证请求及响应，从而绕过认证过程访问 AD 资源，无需破解密码或哈希。

如何检测 NTLM 中继攻击

监控来自异常设备或 IP 地址的认证请求，并及时识别随后的异常服务活动。

防护建议

尽量减少 NTLM 协议的使用，优先采用 Kerberos 认证；对于无法避免 NTLM 的场景，应强化审计，并结合用户行为分析及时识别异常。

三、基于 Kerberos 认证的攻击

Kerberos 作为 Windows 默认的认证协议，虽然较 NTLM 更安全，但仍存在被攻击的风险，典型攻击包括 Kerberoasting、银票（Silver Ticket）攻击和金票（Golden Ticket）攻击。

Kerberoasting 攻击

攻击者请求服务账户的 Kerberos 票据，从中提取加密的密码哈希并进行离线破解。一旦成功，即可接管服务账户，进而实现权限提升和横向渗透。

如何检测 Kerberoasting 攻击

持续监控事件 ID 4769（Kerberos 认证事件），若票据加密类型字段为 0x17，需警惕可能存在的 Kerberoasting 行为。

银票（Silver Ticket）攻击

攻击者利用服务账户的 NTLM 哈希伪造 Kerberos 服务票据（银票），无需与域控制器交互即可访问目标服务，极具隐蔽性。

如何检测银票攻击

结合服务账户活动日志和 Kerberos 日志，识别不一致或异常操作。

金票（Golden Ticket）攻击

攻击者一旦掌握 krbtgt 账户的哈希，即可伪造合法的 Kerberos 票据（黄金票），实现对域内任何账户（包括管理员账户）的完全控制，且其影响可能持续存在，即使重置用户密码亦难以彻底清除。

如何检测金票攻击

关注异常持久时间较长的 Kerberos 票据活动，并调查异常访问行为。

防护建议

服务账户应使用超过 20 位的复杂密码并定期更换；定期双重重置 krbtgt 账户密码；启用 Kerberos 详细日志并持续监控异常事件。

四、基于复制机制的攻击

AD 复制过程用于在各域控制器间同步目录数据，这一核心机制一旦被滥用，将导致严重信息泄露或权限篡改。典型攻击包括 DCSync 和 DCShadow。

DCSync 攻击

攻击者伪装成域控制器，向合法 DC 请求复制敏感数据（如管理员账户哈希），为进一步的权限提升或伪造黄金票铺平道路。

如何检测 DCSync 攻击监控事件 ID 4928 和 4929，及时发现来源异常的复制请求。

DCShadow 攻击

攻击者注册恶意域控制器，伪装正常复制活动，将恶意修改同步至 AD。由于操作流程符合正常机制，传统监控很难识别。

如何检测 DCShadow 攻击审计事件 ID 4672 和 5136，关注关键对象的未授权变更，以及复制拓扑的异常调整。

防护建议严格控制复制权限，仅赋予必要账户；同时，实时监控 AD 复制行为，快速识别潜在威胁。

五、勒索软件攻击

勒索软件通过加密关键数据勒索赎金，常以暴力破解、网络钓鱼或社会工程攻击为入口。一旦入侵，恶意程序将在网络中快速扩散，加密大量文件，导致业务中断和数据丧失。

如何检测勒索软件攻击

警惕文件批量重命名、删除、可疑进程激增等异常活动，这些通常是勒索软件爆发的前兆。

防护建议

持续审计 AD 及文件服务器的变更操作，及时发现异常行为；同时加强员工安全意识培训，防范社会工程攻击，并推行强密码和多因素认证措施。

四、ADAudit Plus 如何助力 AD 攻击检测与防御

ManageEngine 卓豪 ADAudit Plus 是一款AD及文件服务器审计系统，能提取分析 Windows 安全日志，审计 AD 操作，生成详尽报表，满足内外部审计需求 。

ADAudit Plus 的“攻击面分析器”功能为本地、云端及混合 AD 环境提供潜在威胁和配置缺陷的全面洞察，精准检测内部威胁。除直观的威胁监控仪表板外，还提供针对 25+种常见 AD 攻击（如暴力破解、哈希传递、Kerberoasting 和 DCSync 攻击）的专属检测报表，帮助你及时发现异常，构筑坚固的 AD 安全防线。

借助 ADAudit Plus 的强大功能，全方位守护 Active Directory，轻松打造坚不可摧的安全防线！