奥义智能在6月发布一份关于AD安全防护的白皮书，名为「Unveiling Active Directory Security Risks: A Comprehensive Analysis of Management Issues and Vulnerabilities」，当中的分析结果是根据国内27家企业组织环境的观察而成，指出国内企业普遍存在3个问题，包括：AD权限设置瑕疵、AD CS错误配置，以及隐藏的特权帐号数量被轻忽。（／奥义智能）

台湾企业使用AD CS的情况很普遍，但7成存在不安全设置

另一个值得大家参考的AD安全现况分析报告，来自戴夫寇尔，他们在今年3月举办的DEVCORE Conference 2024活动，阐释攻击者视角的AD防护破口，隔月发布相关演示文稿，当中说明他们进行数十场红队演练的过程当中，在最近一年半期间，从国内企业环境看到的相关现况。

他们有哪些重要发现？首先是归纳早年台湾企业AD防护不足时，常见的3种攻击AD手法，更重要的是，针对现今多数企业安装AD CS，却没做好安全设置的现况，他们也进行更深入的分析。

关于早年的AD攻击手法，戴夫寇尔红队演练专家徐伟庭分析三种伎俩。

第一种是「洒密码」，有些企业网域帐号的密码原则设置不够安全，像是仅要求密码长度最多8码，尝以及试错误锁定只有15到30分钟，因此攻击者可对所有网域帐号，发动密码喷洒的攻击。不过，现在企业密码安全管理政策越来越严格，像是最低限制12码起跳，密码尝试一旦失败三次就自动锁定帐号，为期2个月，导致这种手法越来越不容易得逞。

第二种是「利用BloodHound工具」，可快速分析网域对象信息，掌握对象关系并以图解呈现脉络，换言之，攻击者可通过数据库搜索语法查找攻击途径。不过，随着企业实施多种强化AD设置的手段，像是特权帐号分割、强化DSCL，甚至导入Enterprise Access Model，使得BloodHound能找出的路径相当有限。

第三种是「利用AD漏洞」直接拿下AD网域的控制权，像是ZoroLogon、noPac，即便Exchange服务器的ProxyLogon漏洞，也可以帮助拿下AD控制权。不过，企业一旦察觉这类重大漏洞的存在，很快就会修补，迫使攻击者只能借由挖掘新漏洞，才能找到突破防护的方法。

在上述三种AD攻击手法之外，戴夫寇尔也点出一个新的威胁面向，那就是：攻击者将可通过AD CS来拿下AD的风险，他们呼吁大家重视此问题的严重性，尤其需要定期检核所有凭证范本。

根据他们的演练经验，有高达92％比例的企业，都在自家IT环境额外安装AD CS凭证服务，当中却有高达70%没做好AD CS的安全设置，而且绝大部分是真的可被攻击者利用。

为了帮助大家更好理解问题所在，戴夫寇尔引用SpectreOps团队发布的白皮书Certified Pre-Owned，通过其定义的AD CS相关攻击手法与代号（如ESCx），最新已区分出14种类型，以及DEVCORE的经验，以此解释台湾企业最常犯的相关错误。

基本上，AD CS的作用在于简化凭证管理，以及强化身分验证与授权等，台湾企业采用这项服务，却反而出现一些不安全设置的情况，那些最常见？

戴夫寇尔指出，第一名是凭证范本设置疏失（ESC1），有40%企业存在这样的状况，第二名是凭证范本存取权限设置疏失（ESC4），有25%，第三名是NTLM中继攻击至AD CS HTTP端点（ESC8），有15%。

以最常见的ESC1而言，这是凭证范本设置疏失所导致的提权漏洞。举例来说，当AD管理者依循官方文档设置AD CS凭证后，可能没注意到：WebServer拷贝出的凭证范本，已经激活supply the subject name in the request的选项，在这样的状态下，代表允许申请者可以指定任意的SAN（Subject Alternative Name）字段，再加上其他条件也都符合，使得滥用ESC1的条件成立。

由于用户认为本身并未激活上述选项，但其实一开始拷贝的凭证范本已经激活，这样的认知落差而产生ESC1的设置陷阱。

值得我们重视的是，这些因不安全设置的攻击手法，原本只有统整出8种，现在已经扩展到14种，这也意味着，企业不仅需要留意避免发生常见设置疏失，也要持续关注新的状况。

戴夫寇尔在今年3月揭露台湾AD安全防护的新威胁面，并在隔月发布这方面的演示文稿，呼吁大家重视此问题的严重性。他们指出，国内有相当多企业额外安装AD凭证服务（AD CS），但却因为这方面的设置疏失，导致攻击者可通过AD CS来拿下AD的风险。在他们的红队演练经验中，国内企业最常见的设置疏失类型，以ESC1的「凭证范本设置疏失」最多，其次是ESC4的「凭证范本存取权限设置疏失」。（／戴夫寇尔）