对于Active Directory（AD）的防护，由于影响企业与组织应用系统的身分与存取安全，近年来持续受到许多国内外资安业者关注，原因在于，大家都疏于防护，存在管理不当、设定不安全的状况。

在2022年，台湾两家本土资安业者奥义智慧与戴夫寇尔曾联手，共同揭露台湾企业AD防护上的多项问题，包括：高达77%可从DMZ区直接存取AD，以及企业不够重视最新AD提权漏洞修补。

今年上半，我们看到这两家资安业者持续针对这方面议题示警，他们各自依据处理的实际案例与演练经验，在最近几个月相继公布台湾最新AD安全分析结果，呼吁企业应重新检视自家AD，是否存在类似的安全问题。

AD权限设定瑕疵比例高达84.8%，将导致不当间接授权

这两家业者今年公布的调查统计分析结果，都是根据国内企业环境的观察而成，目的是要让大家可以更清楚现况，掌握常见AD管理疏漏。

首先我们可以参考奥义智慧6月发布的AD安全风险白皮书，揭露台湾企业AD架构最常见的3大缺失。

这份报告的内容，是CyCraft研究小组针对台湾27家企业组织、46个AD网域（AD Domain）进行分析，当中包含国内上市公司、A级政府机关，以及医疗机构。

当中有哪些重要发现？奥义智慧特别点出三大常见问题，分别是：

（一）有高达84.8%的企业在维护期间未撤销权限，存在AD权限设定上的瑕疵。

（二）需注意使用微软AD CS凭证服务（Active Directory Certificate Services）的安全管理，采用此项服务的企业中，有56%可被提权。

（三）隐藏的特权帐号数量庞大，比已知的网域管理者数量高出26倍。

以第一项常见问题而言，关键在于AD权限在授予及撤销上的管理。例如，在协助新员工建立帐号或将新伺服器加入网域时，IT人员通常会先建立电脑帐号，因此建立者拥有该使用者／电脑的Owner权限，这也意味著，负责建立帐号的IT人员间接获得这些帐号的控制能力，尤其是一些帐号可能负责管理核心资讯系统。

而在他们的统计调查中，高达84.78%的企业是用这种方式新增帐号与电脑，这等于创造了特权提升的另一攻击路径。因此，企业应该要定期撤销这些Owner权限。

关于第二项的AD CS管理不当问题中，有7成比例企业组织使用AD CS，但当中竟有56%的比例，存在严重的错误配置问题，可允许一般用户权限被提升为网域管理员。这当中又以凭证、权限方面的错误配置最多。

在第三项潜在特权帐号问题中，企业管理这些身分时，往往存在一些资安死角容易忽略，这些身分包括：离职员工、无人使用的服务帐号，甚至是网管为求方便设定的秘密帐号。

还有其他AD管理问题值得留意，例如：管理密码是明文密码的状况。奥义智慧指出，这样的情形在2024年依然存在，有18.52%的企业在其AD的属性或描述填入明文密码。

为何这些公司会将明文密码储存在AD？奥义智慧解释，原因可能有很多，例如：老旧的Linux/Unix系统使用指定栏位储存密码，现在需要兼容AD，但没有妥善处理；又或是IT管理软体修改架构增加特定密码储存栏位，但没有实施适当的存取控制。对于这样的AD使用状态，企业必须意识到相关风险，因为这些明文密码往往泄漏公司常用的密码设定模式，有助于攻击者破解密码。

此外，还需留意破解AD帐号密码的Kerberoasting攻击手法，尤其在一些场景，像是安装MSSQL资料库时，其实是会自动将服务主体名称（SPN）的帐户使用者增加到AD帐号，而且没有发出任何通知，导致这方面的密码安全管理容易被忽略；新功能所衍生的攻击面，也是不能忽略的风险，像是微软开始提供Windows Hello for Business（WHfB），也就要注意Shadow Credentials的攻击手法，但大多数企业可能不知道本身是否使用WHfB，而未建立相应的变更验证过程。

在此同时，随著云端服务的普及，越来越多企业使用微软Entra Cloud Sync（之前称为Azure AD Connect），有些企业则是使用ADFS，但无论如何，这些服务与其搭配的SQL伺服器，也都应该视为关键核心资产来保护。

奥义智慧在6月发布一份关于AD安全防护的白皮书，名为「Unveiling Active Directory Security Risks: A Comprehensive Analysis of Management Issues and Vulnerabilities」，当中的分析结果是根据国内27家企业组织环境的观察而成，指出国内企业普遍存在3个问题，包括：AD权限设定瑕疵、AD CS错误配置，以及隐藏的特权帐号数量被轻忽。（图片来源／奥义智慧）

台湾企业使用AD CS的情况很普遍，但7成存在不安全设定

另一个值得大家参考的AD安全现况分析报告，来自戴夫寇尔，他们在今年3月举办的DEVCORE Conference 2024活动，阐释攻击者视角的AD防护破口，隔月释出相关简报，当中说明他们进行数十场红队演练的过程当中，在最近一年半期间，从国内企业环境看到的相关现况。

他们有哪些重要发现？首先是归纳早年台湾企业AD防护不足时，常见的3种攻击AD手法，更重要的是，针对现今多数企业安装AD CS，却没做好安全设定的现况，他们也进行更深入的分析。

关于早年的AD攻击手法，戴夫寇尔红队演练专家徐伟庭分析三种伎俩。

第一种是「洒密码」，有些企业网域帐号的密码原则设定不够安全，像是仅要求密码长度最多8码，尝以及试错误锁定只有15到30分钟，因此攻击者可对所有网域帐号，发动密码喷洒的攻击。不过，现在企业密码安全管理政策越来越严格，像是最低限制12码起跳，密码尝试一旦失败三次就自动锁定帐号，为期2个月，导致这种手法越来越不容易得逞。

第二种是「利用BloodHound工具」，可快速分析网域物件资讯，掌握物件关系并以图解呈现脉络，换言之，攻击者可透过资料库搜寻语法查询攻击途径。不过，随著企业实施多种强化AD设定的手段，像是特权帐号分割、强化DSCL，甚至导入Enterprise Access Model，使得BloodHound能找出的路径相当有限。

第三种是「利用AD漏洞」直接拿下AD网域的控制权，像是ZoroLogon、noPac，即便Exchange伺服器的ProxyLogon漏洞，也可以帮助拿下AD控制权。不过，企业一旦察觉这类重大漏洞的存在，很快就会修补，迫使攻击者只能借由挖掘新漏洞，才能找到突破防护的方法。

在上述三种AD攻击手法之外，戴夫寇尔也点出一个新的威胁面向，那就是：攻击者将可透过AD CS来拿下AD的风险，他们呼吁大家重视此问题的严重性，尤其需要定期检核所有凭证范本。

根据他们的演练经验，有高达92％比例的企业，都在自家IT环境额外安装AD CS凭证服务，当中却有高达70%没做好AD CS的安全设定，而且绝大部分是真的可被攻击者利用。

为了帮助大家更好理解问题所在，戴夫寇尔引用SpectreOps团队发布的白皮书Certified Pre-Owned，透过其定义的AD CS相关攻击手法与代号（如ESCx），最新已区分出14种类型，以及DEVCORE的经验，以此解释台湾企业最常犯的相关错误。

基本上，AD CS的作用在于简化凭证管理，以及强化身分验证与授权等，台湾企业采用这项服务，却反而出现一些不安全设定的情况，那些最常见？

戴夫寇尔指出，第一名是凭证范本设定疏失（ESC1），有40%企业存在这样的状况，第二名是凭证范本存取权限设定疏失（ESC4），有25%，第三名是NTLM中继攻击至AD CS HTTP端点（ESC8），有15%。

以最常见的ESC1而言，这是凭证范本设定疏失所导致的提权漏洞。举例来说，当AD管理者依循官方文件设定AD CS凭证后，可能没注意到：WebServer复制出的凭证范本，已经启用supply the subject name in the request的选项，在这样的状态下，代表允许申请者可以指定任意的SAN（Subject Alternative Name）栏位，再加上其他条件也都符合，使得滥用ESC1的条件成立。

由于使用者认为本身并未启用上述选项，但其实一开始复制的凭证范本已经启用，这样的认知落差而产生ESC1的设定陷阱。

值得我们重视的是，这些因不安全设定的攻击手法，原本只有统整出8种，现在已经扩展到14种，这也意味著，企业不仅需要留意避免发生常见设定疏失，也要持续关注新的状况。

戴夫寇尔在今年3月揭露台湾AD安全防护的新威胁面，并在隔月释出这方面的简报，呼吁大家重视此问题的严重性。他们指出，国内有相当多企业额外安装AD凭证服务（AD CS），但却因为这方面的设定疏失，导致攻击者可透过AD CS来拿下AD的风险。在他们的红队演练经验中，国内企业最常见的设定疏失类型，以ESC1的「凭证范本设定疏失」最多，其次是ESC4的「凭证范本存取权限设定疏失」。（图片来源／戴夫寇尔）