CyberTechSali/Active-Directory-Hardening-and-Security

GitHub: CyberTechSali/Active-Directory-Hardening-and-Security

一个完整的 Active Directory 安全审计项目,覆盖漏洞评估、攻击路径验证和分阶段加固修复全流程。

Stars: 0 | Forks: 0

🛡️ Active Directory 安全审计

域名: cybertechsali.com  |  时间: 2025年 11月 – 12月  |  作者: OUCHAHED SALMA

## 背景 本项目是对 `cybertechsali.com` Active Directory 环境的全面安全审计。目标是识别关键漏洞,通过受控的漏洞利用展示其真实影响,并提出经过验证的强化路线图。 ## 使用的工具 | 工具 | 版本 | 用途 | | :--- | :--- | :--- | | **PingCastle** | 3.2.1 | 风险分析与全局评分 | | **Purple Knight** | Community | 检测暴露指标 (IOEs) | | **BloodHound** | 8.3.1 | 攻击路径映射与 Tier 0 资产识别 | | **Mimikatz** | 2.2.0 | 凭据提取 (DCSync, Pass-the-Hash, Pass-the-Ticket) | ## 核心发现 | 指标 | 结果 | | :--- | :--- | | **PingCastle 评分** | 55/100 (高风险) | | **暴露指标 (Purple Knight)** | 17 个 IOEs | | **已识别的 Tier 0 资产** | 25 个对象 (包含 5 个管理员账户) | | **已证实的攻陷时间** | 不到 5 分钟 | ## 📸 视觉证据 (截图) | 发现 | 截图 | | :--- | :--- | | **PingCastle 评分 55/100** | ![PingCastle](https://static.pigsec.cn/wp-content/uploads/repos/cas/30/300d591568c419e49cf72809660b1432baa7bb0db4f630779fa3946e4f8af928.png) | | **检测到 17 个 IOEs (Purple Knight)** | ![Purple Knight](https://static.pigsec.cn/wp-content/uploads/repos/cas/a4/a4302538f4f3265c781d0b808cd3753ce8b54820f28bdd4d874680737b3ae214.png) | | **BloodHound 攻击路径 (Tier Zero)** | ![BloodHound](https://static.pigsec.cn/wp-content/uploads/repos/cas/41/41d24ec4035d1695c3ec9f65d63beabb01d2fe236490972b356da5c099a0a46a.png) | | **DCSync 提取 (Mimikatz)** | ![Mimikatz DCSync](https://static.pigsec.cn/wp-content/uploads/repos/cas/11/1101768b6a2daa06a3ad174ff09e4df77fe32acb6ac7ba926ab2d7f20c4262ac.png) | | **成功的 Pass-the-Hash (Admin Shell)** | ![Pass-the-Hash](https://static.pigsec.cn/wp-content/uploads/repos/cas/16/169119a7c0a7a0bec0b4625637a67d31fb9f3c557f47829d1108882c34681e2c.png) | | **Kerberos 票据验证 (klist)** | ![Klist Validation](https://static.pigsec.cn/wp-content/uploads/repos/cas/e8/e8bf6c912942a3cb3a3ca62a12f9bda4cc63eca0aac15ebea8980795ed60ed38.png) | | **事件 4768 – TGT 请求 (审计)** | ![Event 4768 TGT](https://static.pigsec.cn/wp-content/uploads/repos/cas/fb/fbe9fcb9c06837392004b8aa6c855b3e060fbb40545aa9289d351384e9bde2d1.png) | | **事件 4769 – TGS 请求 (审计)** | ![Event 4769 TGS](https://static.pigsec.cn/wp-content/uploads/repos/cas/9b/9bd87cbca86fe4fa5169a36a03ec2ebc5fe34c6c7b9f62d12c4f5789c5365b3c.png) | ## 被 利用 的 Top 3 漏洞 1. **DC 上启用了 Print Spooler** → DCSync 攻击 (提取了所有域哈希)。 2. **管理员账户可委派** → Kerberos 票据盗窃 (Pass-the-Ticket)。 3. **NTLMv1/LM 仍然活跃** → Pass-the-Hash (30秒内获取 admin shell)。 ## 修复路线图 | 阶段 | 行动 | 状态 | | :--- | :--- | :--- | | **紧急 (第 1-2 周)** | 禁用 Spooler,轮换管理员密码,启用 "敏感且不可委派" 标志 | ✅ 已完成 | | **结构性 (第 3-8 周)** | 部署 LAPS,启用 Credential Guard,将管理员添加到 Protected Users 组 | ⏳ 进行中 | | **治理 (第 2-6 个月)** | 部署 SIEM,监控事件 4768/4769,实施 Tier 0/1/2 模型 | 📅 计划中 | ## ✅ 强化验证 – 之前 / 之后 | 之前 (有漏洞) | 之后 (已强化) | | :--- | :--- | | `sekurlsa::pth /user:karim-adm /ntlm:fa7665bef... /run:cmd`
✅ **已获取 Admin shell** | `sekurlsa::pth /user:karim-adm /ntlm:fa7665bef... /run:cmd`
❌ **身份验证失败 – NTLM 被拒绝** | ### 强化后的验证 **1. Kerberos 票据加密 (klist)** `klist` 命令确认所有票据现在都使用强加密 **AES-256-CTS-HMAC-SHA1-96** 发行。 ![Klist Validation](https://static.pigsec.cn/wp-content/uploads/repos/cas/e8/e8bf6c912942a3cb3a3ca62a12f9bda4cc63eca0aac15ebea8980795ed60ed38.png) **2. 安全审计与可追溯性 (事件查看器)** 为确保检测能力正常运行,现已在域控制器上成功生成并记录以下关键安全事件: - **事件 ID 4768**:*已请求 Kerberos 身份验证票据 (TGT)。* - *目的*:检测初始身份验证和 TGT 发行。 ![Event 4768 TGT](https://static.pigsec.cn/wp-content/uploads/repos/cas/fb/fbe9fcb9c06837392004b8aa6c855b3e060fbb40545aa9289d351384e9bde2d1.png) - **事件 ID 4769**:*已请求 Kerberos 服务票据 (TGS)。* - *目的*:检测服务访问请求,对于识别横向移动 (Pass-the-Ticket) 至关重要。 ![Event 4769 TGS](https://static.pigsec.cn/wp-content/uploads/repos/cas/9b/9bd87cbca86fe4fa5169a36a03ec2ebc5fe34c6c7b9f62d12c4f5789c5365b3c.png) ## 仓库结构 ``` Audit-AD-cybertechsali/ ├── README.md ├── Rapport_Audit_AD_Final.pdf ├── Preuves/ # 📸 Screenshot folder │ ├── 01_PingCastle_Score55.png │ ├── 02_PurpleKnight_IOEs.png │ ├── 03_BloodHound_TierZero.png │ ├── 04_Mimikatz_DCSync.png │ ├── 05_PassTheHash_Shell.png │ ├── 06_Remediation_Klist_Validation.png │ ├── 07_Event4768_TGT.png # 🆕 TGT Audit Log │ └── 08_Event4769_TGS.png # 🆕 TGS Audit Log └── Scripts/ ├── Disable_Spooler.ps1 └── Apply_NTLM_Hardening.ps1 ``` ## 免责声明 ⚠️ **本项目包含机密信息** (内部域名、NTLM 哈希、网络拓扑)。 该仓库为**私有**,严禁公开分享。 仅供实验室使用或高级网络安全培训目的使用。 ## 作者 **OUCHAHEd SALMA** *网络安全工程师 – AD 与渗透测试专家* [LinkedIn](https://www.linkedin.com/in/salma-ouchahed-652189206/) | [GitHub](https://github.com/CyberTechSali) *最后更新:2026年7月*
标签:AI合规, GitHub Advanced Security, Libemu, Terraform 安全, Web报告查看器, 安全加固, 模拟器, 活动目录, 红队评估