CyberTechSali/Active-Directory-Hardening-and-Security
GitHub: CyberTechSali/Active-Directory-Hardening-and-Security
一个完整的 Active Directory 安全审计项目,覆盖漏洞评估、攻击路径验证和分阶段加固修复全流程。
Stars: 0 | Forks: 0
🛡️ Active Directory 安全审计
域名: cybertechsali.com | 时间: 2025年 11月 – 12月 | 作者: OUCHAHED SALMA
## 背景 本项目是对 `cybertechsali.com` Active Directory 环境的全面安全审计。目标是识别关键漏洞,通过受控的漏洞利用展示其真实影响,并提出经过验证的强化路线图。 ## 使用的工具 | 工具 | 版本 | 用途 | | :--- | :--- | :--- | | **PingCastle** | 3.2.1 | 风险分析与全局评分 | | **Purple Knight** | Community | 检测暴露指标 (IOEs) | | **BloodHound** | 8.3.1 | 攻击路径映射与 Tier 0 资产识别 | | **Mimikatz** | 2.2.0 | 凭据提取 (DCSync, Pass-the-Hash, Pass-the-Ticket) | ## 核心发现 | 指标 | 结果 | | :--- | :--- | | **PingCastle 评分** | 55/100 (高风险) | | **暴露指标 (Purple Knight)** | 17 个 IOEs | | **已识别的 Tier 0 资产** | 25 个对象 (包含 5 个管理员账户) | | **已证实的攻陷时间** | 不到 5 分钟 | ## 📸 视觉证据 (截图) | 发现 | 截图 | | :--- | :--- | | **PingCastle 评分 55/100** |  | | **检测到 17 个 IOEs (Purple Knight)** |  | | **BloodHound 攻击路径 (Tier Zero)** |  | | **DCSync 提取 (Mimikatz)** |  | | **成功的 Pass-the-Hash (Admin Shell)** |  | | **Kerberos 票据验证 (klist)** |  | | **事件 4768 – TGT 请求 (审计)** |  | | **事件 4769 – TGS 请求 (审计)** |  | ## 被 利用 的 Top 3 漏洞 1. **DC 上启用了 Print Spooler** → DCSync 攻击 (提取了所有域哈希)。 2. **管理员账户可委派** → Kerberos 票据盗窃 (Pass-the-Ticket)。 3. **NTLMv1/LM 仍然活跃** → Pass-the-Hash (30秒内获取 admin shell)。 ## 修复路线图 | 阶段 | 行动 | 状态 | | :--- | :--- | :--- | | **紧急 (第 1-2 周)** | 禁用 Spooler,轮换管理员密码,启用 "敏感且不可委派" 标志 | ✅ 已完成 | | **结构性 (第 3-8 周)** | 部署 LAPS,启用 Credential Guard,将管理员添加到 Protected Users 组 | ⏳ 进行中 | | **治理 (第 2-6 个月)** | 部署 SIEM,监控事件 4768/4769,实施 Tier 0/1/2 模型 | 📅 计划中 | ## ✅ 强化验证 – 之前 / 之后 | 之前 (有漏洞) | 之后 (已强化) | | :--- | :--- | | `sekurlsa::pth /user:karim-adm /ntlm:fa7665bef... /run:cmd`✅ **已获取 Admin shell** | `sekurlsa::pth /user:karim-adm /ntlm:fa7665bef... /run:cmd`
❌ **身份验证失败 – NTLM 被拒绝** | ### 强化后的验证 **1. Kerberos 票据加密 (klist)** `klist` 命令确认所有票据现在都使用强加密 **AES-256-CTS-HMAC-SHA1-96** 发行。  **2. 安全审计与可追溯性 (事件查看器)** 为确保检测能力正常运行,现已在域控制器上成功生成并记录以下关键安全事件: - **事件 ID 4768**:*已请求 Kerberos 身份验证票据 (TGT)。* - *目的*:检测初始身份验证和 TGT 发行。  - **事件 ID 4769**:*已请求 Kerberos 服务票据 (TGS)。* - *目的*:检测服务访问请求,对于识别横向移动 (Pass-the-Ticket) 至关重要。  ## 仓库结构 ``` Audit-AD-cybertechsali/ ├── README.md ├── Rapport_Audit_AD_Final.pdf ├── Preuves/ # 📸 Screenshot folder │ ├── 01_PingCastle_Score55.png │ ├── 02_PurpleKnight_IOEs.png │ ├── 03_BloodHound_TierZero.png │ ├── 04_Mimikatz_DCSync.png │ ├── 05_PassTheHash_Shell.png │ ├── 06_Remediation_Klist_Validation.png │ ├── 07_Event4768_TGT.png # 🆕 TGT Audit Log │ └── 08_Event4769_TGS.png # 🆕 TGS Audit Log └── Scripts/ ├── Disable_Spooler.ps1 └── Apply_NTLM_Hardening.ps1 ``` ## 免责声明 ⚠️ **本项目包含机密信息** (内部域名、NTLM 哈希、网络拓扑)。 该仓库为**私有**,严禁公开分享。 仅供实验室使用或高级网络安全培训目的使用。 ## 作者 **OUCHAHEd SALMA** *网络安全工程师 – AD 与渗透测试专家* [LinkedIn](https://www.linkedin.com/in/salma-ouchahed-652189206/) | [GitHub](https://github.com/CyberTechSali) *最后更新:2026年7月*
标签:AI合规, GitHub Advanced Security, Libemu, Terraform 安全, Web报告查看器, 安全加固, 模拟器, 活动目录, 红队评估