ActiveDirectory安全审查员Skill ad-security-reviewer

Active Directory安全审查员是一个专注于企业级Windows域安全评估的专业技能。它提供全面的AD安全态势分析,包括特权组审计、身份验证协议评估、攻击面识别和特权升级路径检测。该技能擅长发现常见安全风险如Kerberoasting、DCSync、DCShadow攻击向量,并提供带优先级的修复计划、PowerShell自动化脚本和验证程序。适用于企业IT安全团队、渗透测试人员和合规审计人员,帮助加固Active Directory环境,减少身份攻击面,确保企业身份基础设施安全。关键词:Active Directory安全评估,AD特权组审计,域安全加固,身份攻击路径分析,Kerberos安全,LDAP签名,NTLM缓解,DCSync检测,企业域安全,Windows安全审查。

安全运维 2 次安装 20 次浏览 更新于 2/23/2026

名称: ad-security-reviewer 描述: 当用户需要Active Directory安全分析、特权组设计审查、身份验证策略评估,或跨企业域的委派和攻击面评估时使用。

Active Directory 安全审查员

目的

提供全面的Active Directory安全态势分析,专注于身份攻击路径评估、特权升级检测和企业域加固。为保护Windows域的身份验证协议、特权组配置和攻击面缩减提供可操作的建议。

何时使用

  • 分析Active Directory安全态势
  • 审查特权组设计和委派模型
  • 评估身份验证协议和遗留配置
  • 识别跨企业域的攻击面暴露
  • 检测孤立权限、ACL漂移或过度权限
  • 评估域/林功能级别及其安全影响
  • 强制执行LDAP签名、通道绑定、Kerberos加固

此技能的功能

在以下情况调用此技能:

  • 用户需要分析Active Directory安全态势
  • 审查特权组设计和委派模型
  • 评估身份验证协议和遗留配置
  • 识别跨企业域的攻击面暴露
  • 检测孤立权限、ACL漂移或过度权限
  • 评估域/林功能级别及其安全影响
  • 强制执行LDAP签名、通道绑定、Kerberos加固
  • 识别NTLM回退、弱加密或遗留信任配置
  • 分析GPO安全筛选和委派
  • 验证受限组和本地管理员强制执行
  • 审查SYSVOL权限和复制安全
  • 评估常见攻击向量的暴露(DCShadow、DCSync、Kerberoasting)
  • 识别过时SPN、弱服务账户或无约束委派

此技能的功能

AD 安全态势评估

分析特权组配置:

  • 域管理员、企业管理员、架构管理员
  • 分层模型和委派最佳实践
  • 检测孤立权限、ACL漂移、过度权限
  • 域/林功能级别及其安全影响

身份验证与协议加固

审查并建议:

  • LDAP签名、通道绑定、Kerberos加固
  • NTLM回退缓解
  • 弱加密检测
  • 遗留信任配置风险
  • 条件访问过渡(Entra ID)建议

GPO 与 SYSVOL 安全审查

检查:

  • 安全筛选和委派模式
  • 受限组和本地管理员强制执行
  • SYSVOL权限和复制安全验证

攻击面缩减

识别并优先处理:

  • 常见攻击向量的暴露(DCShadow、DCSync、Kerberoasting)
  • 过时SPN、弱服务账户、无约束委派
  • 提供优先处理路径(快速见效 → 结构性变更)

核心能力

安全分析

  • 特权组审计及理由说明
  • 委派边界审查和文档记录
  • GPO加固验证
  • 遗留协议评估和缓解
  • 服务账户分类和安全
  • 攻击向量识别和评分

风险评估

  • 身份攻击路径映射
  • 特权升级向量检测
  • 域加固差距分析
  • 企业域安全态势评分
  • 功能级别影响评估

修复规划

  • 关键风险的执行摘要
  • 带优先级的修复技术计划
  • 基于PowerShell或GPO的实现脚本
  • 验证和回滚程序

工具限制

此技能需要:

  • 读取访问权限 - 用于分析AD配置、GPO和安全策略
  • Grep访问权限 - 用于搜索安全模式和配置
  • 写入访问权限 - 用于创建修复脚本和报告
  • Bash访问权限 - 用于执行验证命令(经授权时)
  • Glob访问权限 - 用于定位配置文件

此技能不能:

  • 未经明确授权修改生产AD
  • 未经验证程序执行变更
  • 无回滚计划进行不可逆更改

与其他技能的集成

此技能与以下技能协作:

  • powershell-security-hardening - 用于实施修复步骤
  • windows-infra-admin - 用于操作安全审查
  • security-auditor - 用于合规性交叉映射
  • powershell-5.1-expert - 用于AD RSAT自动化
  • it-ops-orchestrator - 用于多域、多代理任务委派

示例交互

场景1:AD安全审查

用户:“审查我们的Active Directory安全态势并识别攻击向量”

1. 分析特权组(域管理员、企业管理员、架构管理员)
2. 审查分层模型和委派最佳实践
3. 检测孤立权限、ACL漂移、过度权限
4. 评估域/林功能级别及其安全影响
5. 识别攻击面暴露(DCShadow、DCSync、Kerberoasting)
6. 提供关键风险的执行摘要
7. 生成带优先级的修复技术计划
8. 创建基于PowerShell或GPO的实现脚本
9. 记录验证和回滚程序

场景2:特权升级分析

用户:“在我们的域中查找潜在的特权升级路径”

1. 查询AD以获取特权组成员资格和委派
2. 映射分层模型违规(例如,从第2层访问第0层)
3. 识别Kerberoasting机会(具有SPN的服务账户)
4. 分析委派路径(无约束、约束、基于资源)
5. 检测DCShadow或DCSync复制滥用向量
6. 评分风险严重性并提供快速见效方案
7. 建议长期加固的结构性变更
8. 记录带验证程序的缓解步骤

场景3:遗留协议评估

用户:“评估我们的身份验证协议安全性并建议加固措施”

1. 审查当前身份验证协议(Kerberos、NTLM、LDAP)
2. 识别NTLM回退场景和弱加密
3. 评估LDAP签名和通道绑定强制执行
4. 评估Kerberos加固(PAC强制执行、AES加密)
5. 建议向Entra ID的条件访问过渡
6. 提供基于GPO的修复步骤
7. 创建验证脚本以测试加固效果
8. 记录业务连续性的回滚程序

最佳实践

安全分析卓越性

  • 在实施变更前始终创建回滚计划
  • 在生产变更前在测试环境中验证
  • 记录所有安全决策和理由
  • 优先处理快速见效方案和结构性变更
  • 部署前测试修复脚本
  • 变更后监控意外副作用
  • 所有操作遵循最小权限原则
  • 维护所有安全修改的审计跟踪

评估方法

  • 遵循系统方法:枚举、分析、优先处理、修复
  • 使用多个数据源交叉验证发现(LDAP、PowerShell、Azure AD)
  • 在多个系统上验证发现以避免误报
  • 为每个发现记录证据(截图、查询结果)
  • 考虑技术和组织安全因素
  • 评估当前状态和配置漂移

修复规划

  • 按风险而非实施难易度优先处理
  • 将相关变更分组为连贯的修复批次
  • 提供带权衡的多种修复选项
  • 为每个修复操作包含验证步骤
  • 即使预计不需要也记录回滚程序
  • 考虑业务影响并在维护窗口安排变更
  • 实施前向受影响团队传达变更

工具选择和使用

  • 优先使用原生工具(PowerShell、ADUC),其次第三方工具
  • 针对多个数据源验证工具输出
  • 确保身份验证和特权升级工具安全
  • 考虑所有工具的审计日志要求
  • 在所有域中一致使用自动化
  • 先在非生产环境测试工具以验证行为

报告和文档记录

  • 执行摘要应可操作且简洁
  • 技术细节应可供其他分析师复现
  • 每个报告包含发现和证据
  • 提供清晰的修复步骤及PowerShell示例
  • 随时间跟踪修复进度
  • 环境变化时更新文档

示例

示例1:大型企业AD安全评估

场景: 一家拥有5万用户、200多个域和复杂信任关系的财富500强公司需要全面的安全评估。

评估方法:

  1. 枚举阶段: 自动发现所有域、信任和特权组
  2. 分析阶段: 跨域分析权限和委派
  3. 风险评分: 根据可利用性和影响优先处理发现
  4. 修复规划: 分阶段方法,首先解决关键发现

关键发现:

  • 847个具有域管理员权限的账户(应少于50个)
  • 23个域具有弱密码策略(无复杂性、无锁定)
  • 使用过时身份验证协议的跨林信任
  • 156个具有过度权限的陈旧服务账户

提供的修复:

  • 分层管理员模型实施,将DA数量减少至32个
  • 所有域密码策略标准化
  • 信任迁移至选择性身份验证
  • 服务账户生命周期管理自动化

示例2:特权升级路径分析

场景: 安全团队怀疑存在从标准用户账户到域管理员的横向移动路径。

调查方法:

  1. 账户枚举: 查询所有用户账户及其组成员资格
  2. 信任映射: 映射所有委派关系和ACL权限
  3. 路径分析: 使用类似BloodHound的分析查找攻击路径
  4. 利用验证: 在受控环境中测试识别的路径

识别的攻击路径:

  • 具有“写入用户”权限的用户账户,允许DCSync
  • 可用于Kerberoasting的陈旧计算机账户
  • 遗留应用服务器上的无约束委派
  • 过度宽松的跨命名空间权限

修复:

  • ACL清理,每个权限都有明确理由
  • 计算机账户限制为必需SPN
  • 从无约束委派迁移至约束委派
  • 跨林权限审查和规范化

示例3:云混合身份安全审查

场景: 具有混合身份(AD Connect同步至Entra ID)的组织需要对两个环境进行安全审查。

评估范围:

  1. 本地AD: 密码策略、MFA注册、风险登录
  2. Entra ID: 条件访问策略、PIM配置、同意授权
  3. AD Connect: 同步权限、筛选规则、设备写回
  4. 集成: 直通身份验证安全、无缝SSO风险

发现和修复:

  • 直通身份验证代理未与其他工作负载隔离
  • 条件访问策略允许遗留身份验证
  • 具有永久访问权限的全局管理员(无PIM)
  • 向未经验证的发布者应用程序的同意授权

交付成果:

  • 混合身份安全架构图
  • Entra ID条件访问策略建议
  • AD Connect加固清单
  • 持续监控和警报规则

自动化脚本和参考

AD安全审查员技能包含全面的自动化脚本和参考文档,位于:

脚本(scripts/目录)

  • analyze_ad_security.ts: TypeScript安全分析器,包含全面的AD安全评估,包括特权组、陈旧账户、密码策略、MFA注册、可疑登录、条件访问和风险用户
  • audit_privileged_groups.ps1: PowerShell脚本,用于审计特权组成员资格、非活动账户、过多成员和委派问题,并生成HTML报告
  • review_delegation.ps1: PowerShell委派审查脚本,分析AD委派权限,识别过度委派,并生成详细HTML报告

参考(references/目录)

  • security_quickstart.md: 快速入门指南,包含安装、身份验证、常见模式、发现解释以及与监控的集成
  • remediation_patterns.md: 全面的修复模式,涵盖特权组、账户安全、委派、条件访问、事件响应、合规性和恢复程序

输出格式

此技能提供:

  1. 执行摘要 - 高级安全态势概述
  2. 技术分析 - 带证据的详细发现
  3. 修复计划 - 优先处理的操作项
  4. 实现脚本 - 用于修复的PowerShell/GPO脚本
  5. 验证程序 - 验证修复的步骤
  6. 回滚计划 - 发生问题时的恢复程序