近年來，AI+自動(dòng)化攻擊技術(shù)的迅猛發(fā)展造成信息系統(tǒng)面臨日益嚴(yán)重的安全威脅，微軟 Active Directory（微軟 AD）作為企業(yè)身份認(rèn)證與授權(quán)的 “核心中樞”，已成為黑客攻擊的首要目標(biāo)。國內(nèi)多行業(yè)發(fā)生的 AD 入侵事件，諸如黃金票據(jù)、GPO利用等攻擊導(dǎo)致客戶支付巨額贖金、業(yè)務(wù)連續(xù)性中斷、敏感數(shù)據(jù)被竊或被破壞等嚴(yán)重?fù)p失，覆蓋銀行、制造、政務(wù)等關(guān)鍵領(lǐng)域。

某市政府政務(wù)服務(wù)系統(tǒng)入侵事件（2025年）：定位暴露外網(wǎng)政務(wù)服務(wù)系統(tǒng)RDP服務(wù)，字典攻擊破解系統(tǒng)管理員弱口令獲取服務(wù)器控制權(quán)，收集域內(nèi)憑證信息并利用竊取的憑證獲取域管理權(quán)限，利用竊取的域用戶哈希通過PTH技術(shù)訪問更多系統(tǒng)，并通過DNS隧道將竊取的大量個(gè)人敏感數(shù)據(jù)傳輸至境外，最終導(dǎo)致系統(tǒng)中斷及電詐。

國內(nèi)某快消品集團(tuán)勒索事件（2025年）：釣魚郵件感染該集團(tuán)IT服務(wù)供應(yīng)商并獲取VPN憑證后，利用信任關(guān)系橫向至該集團(tuán)網(wǎng)絡(luò)，通過域內(nèi)已知漏洞從邊緣服務(wù)器滲透至域控，使用UAC繞過技術(shù)獲取更高權(quán)限并收集域內(nèi)憑證，使用DCSync攻擊獲取krbtgt賬戶哈希控制域控，后創(chuàng)建惡意GPO強(qiáng)制所有客戶端下載并執(zhí)行勒索軟件，最終加密集團(tuán)核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫，導(dǎo)致生產(chǎn)系統(tǒng)癱瘓，并竊取大量敏感數(shù)據(jù)，向企業(yè)發(fā)送勒索通知。 

國內(nèi)某汽車制造集團(tuán)公司（2024年）：集團(tuán)公司下屬分支機(jī)構(gòu)未設(shè)防服務(wù)器暴露公網(wǎng)，攻擊者通過暴力破解手段獲取低權(quán)限，通過PTH橫向攻擊，碰撞域管密碼，通過DCSync竊取krbtgt哈希，偽造黃金票據(jù)拿下總部域控，進(jìn)而控制生產(chǎn)系統(tǒng)，導(dǎo)致生產(chǎn)核心業(yè)務(wù)連續(xù)性中斷，核心數(shù)據(jù)被勒索加密，主要原因是分支機(jī)構(gòu)暴露面沒有收斂，域控存在弱口令，跨域沒有做網(wǎng)絡(luò)隔離控橫移。

國內(nèi)某銀行海外子公司域控入侵勒索事件（2023年）：利用Citrix網(wǎng)關(guān)漏洞獲取服務(wù)器訪問權(quán)限及本地管理員憑證，橫向移動(dòng)至域控服務(wù)器，通過信任關(guān)系控制域并創(chuàng)建隱藏管理員賬戶，利用域控權(quán)限強(qiáng)制推送勒索軟件，通過AD 組策略禁用安全軟件和備份系統(tǒng)，最終導(dǎo)致部分核心交易系統(tǒng)中斷，數(shù)據(jù)被加密。本次事件除面臨支付巨額贖金與業(yè)務(wù)恢復(fù)的成本外，仍需應(yīng)對巨大監(jiān)管處罰與信任影響。

海外情報(bào)機(jī)構(gòu)利用MS Exchange 漏洞攻擊國內(nèi)軍工企業(yè)（2022-2023年）：利用MS Exchange 0day漏洞入侵對外提供服務(wù)的郵件服務(wù)器，內(nèi)網(wǎng)橫向掃描竊取AD內(nèi)網(wǎng)憑證, 獲取域管理員級(jí)權(quán)限并控制內(nèi)網(wǎng)重要業(yè)務(wù)服務(wù)器，植入定制化攻擊武器，建立多條跨地域隱蔽通信鏈路，持續(xù)近1年定向竊取企業(yè)高層郵件數(shù)據(jù)和大量企業(yè)核心數(shù)據(jù)。

這些案例證明：微軟AD的集權(quán)架構(gòu)與固有漏洞，已成為企業(yè)安全的 “最大短板”，一旦被突破，將引發(fā) “多米諾骨牌效應(yīng)”，導(dǎo)致業(yè)務(wù)中斷、數(shù)據(jù)泄露、合規(guī)處罰等多重?fù)p失。

HW期間很多企業(yè)的AD域控被攻陷，也多是釣魚/漏洞起手-橫向移動(dòng)-權(quán)限提升-拿下域控-攻擊業(yè)務(wù)/竊取或破壞數(shù)據(jù)的攻擊鏈，核心誘因二層架構(gòu)落后未做集權(quán)暴露面隱藏、漏洞未打補(bǔ)丁、弱口令、權(quán)限管控松等。

微軟AD 作為傳統(tǒng)集權(quán)式身份認(rèn)證系統(tǒng)，攻擊面廣泛且難以根治，核心風(fēng)險(xiǎn)集中在協(xié)議層漏洞、權(quán)限集權(quán)、憑證保護(hù)薄弱、訪問管控缺失四大維度，以下以黃金票據(jù)、白銀票據(jù)、黃金 SAML 攻擊為核心，梳理完整的攻擊路徑：

01黃金票據(jù)攻擊：“全域萬能鑰匙”入侵

 攻擊路徑：獲取初始權(quán)限-->竊取 KRBTGT賬戶NTLM哈希+域SID+域名-->偽造Kerberos TGT票據(jù)-->繞過KDC認(rèn)證-->獲得域管理員權(quán)限-->全域資源控制。

核心方法：通過Mimikatz等工具竊取KRBTGT哈希，利用Kerberos協(xié)議缺陷偽造TGT票據(jù)，無需經(jīng)過KDC校驗(yàn)即可訪問任意域內(nèi)資源，攻擊成功率極高，且傳統(tǒng)流量等檢測難度極高。

02白銀票據(jù)攻擊：“精準(zhǔn)爆破”特定服務(wù)

攻擊路徑：定位目標(biāo)服務(wù)（CIFS/SQL/Exchange）-->竊取服務(wù)賬戶NTLM哈希+服務(wù)SID-->偽造Kerberos ST票據(jù)-->注入內(nèi)存直接訪問目標(biāo)服務(wù)-->竊取核心數(shù)據(jù)/橫向移動(dòng)。

核心方法：針對特定服務(wù)賬戶的哈希進(jìn)行竊取，偽造的ST票據(jù)僅需目標(biāo)服務(wù)驗(yàn)證（無需KDC參與），隱蔽性強(qiáng)，常被用于精準(zhǔn)竊取研發(fā)、生產(chǎn)、財(cái)務(wù)數(shù)據(jù)。

03黃金 SAML 攻擊：“突破 SSO” 入侵業(yè)務(wù)系統(tǒng)

攻擊路徑：入侵SAML IdP服務(wù)器-->竊取簽名私鑰+實(shí)體ID+受眾群體-->偽造SAML斷言并簽名-->向SP提交偽造斷言-->繞過SSO認(rèn)證-->訪問CRM/ERP等云服務(wù)。

核心方法：利用微軟AD與 SAML SSO的聯(lián)動(dòng)漏洞，竊取IdP私鑰后即可無限偽造高權(quán)限用戶身份，直接突破業(yè)務(wù)系統(tǒng)防線，是混合云環(huán)境下的典型攻擊手段。

面對微軟AD的固有風(fēng)險(xiǎn)，單純的“補(bǔ)丁式防御”已無力解決。我們認(rèn)為應(yīng)通過“暴露面收斂+原生AD平替”的雙輪驅(qū)動(dòng)，既解決現(xiàn)有微軟AD的訪問安全管控問題，又通過架構(gòu)優(yōu)化、國產(chǎn)化適配、協(xié)議加固，從根源切斷攻擊鏈，提供全方位安全保障。

微軟AD暴露面收斂：關(guān)鍵路徑安全管控

內(nèi)網(wǎng)與互聯(lián)網(wǎng)訪問安全管控

基于“物理隔離 + 邏輯管控”雙管齊下的管控思路，將集權(quán)系統(tǒng)與普通業(yè)務(wù)系統(tǒng)劃分為獨(dú)立安全域，切斷攻擊者“突破業(yè)務(wù)域后橫向滲透至集權(quán)域”的路徑。

通過AD域控服務(wù)器的訪問管控防護(hù)，內(nèi)網(wǎng)分區(qū)分域，僅授權(quán)終端可訪問域控資源，結(jié)合端口級(jí)ACL，實(shí)現(xiàn)最小化內(nèi)網(wǎng)域控訪問權(quán)限管理。

互聯(lián)網(wǎng)側(cè)業(yè)務(wù)系統(tǒng)基于暴露面收斂思路，通過網(wǎng)絡(luò)邊界“分域隔離 + 動(dòng)態(tài)隱藏”，減少資產(chǎn)直接暴露，基于有端+無端模式的零信任安全接入架構(gòu)，構(gòu)建適用于內(nèi)外部用戶業(yè)務(wù)場景的雙重防護(hù)。

域控與管理人員專用訪問控制——ECC安全運(yùn)維

域管理員、IT運(yùn)維人員采用通過“軟件定義邊界（SDP）+主機(jī)/終端/設(shè)備管理工具”構(gòu)建技術(shù)矩陣，實(shí)現(xiàn)“精準(zhǔn)管控、漏洞隔離、操作可追溯”。

通過“雙因素強(qiáng)身份驗(yàn)證 + 最小權(quán)限授權(quán)”實(shí)現(xiàn)“按需訪問”；針對核心節(jié)點(diǎn)，通過主機(jī)加固、漏洞閉環(huán)、操作審計(jì)三類功能實(shí)現(xiàn)深度防護(hù)。

同時(shí)，利用終端管理工具構(gòu)建“外圍防御陣地”，防止攻擊者以終端為跳板滲透集權(quán)系統(tǒng)；并通過設(shè)備管理工具實(shí)現(xiàn)全生命周期防護(hù)，加固集權(quán)系統(tǒng)的“關(guān)聯(lián)支撐陣地。

安全策略集中管控

集中管理AD域控服務(wù)器的關(guān)鍵訪問路徑配置，可視化呈現(xiàn)集權(quán)系統(tǒng)的可達(dá)的網(wǎng)絡(luò)區(qū)域及資產(chǎn)范圍，自動(dòng)檢查安全策略的合規(guī)性與有效性，結(jié)合直觀的潛在跳板攻擊網(wǎng)絡(luò)區(qū)域與站點(diǎn)，構(gòu)建圍繞集權(quán)系統(tǒng)訪問的自動(dòng)化與可視化安全策略管理中心。

聯(lián)軟 XCAD（簡稱安域）平替方案：從根源解決微軟AD已知問題

聯(lián)軟安域作為新一代身份認(rèn)證與訪問控制平臺(tái)，不僅實(shí)現(xiàn)微軟AD的無縫平替（零業(yè)務(wù)中斷、數(shù)據(jù)無損遷移），更通過架構(gòu)重構(gòu)與安全加固，從根本上解決AD固有缺陷。

架構(gòu)優(yōu)化：切斷集權(quán)式攻擊鏈

采用安全網(wǎng)關(guān)+管理中心的分布式集群架構(gòu)，由身份安全網(wǎng)關(guān)負(fù)責(zé)所有的認(rèn)證、策略，通過身份網(wǎng)關(guān)來做協(xié)議的轉(zhuǎn)發(fā)、認(rèn)證的統(tǒng)一入口，實(shí)現(xiàn)核心管理中心的安全隔離與架構(gòu)優(yōu)化。

整體架構(gòu)支持二地三中心、雙活雙中心、多地多中心的靈活部署方式，適應(yīng)未來身份核心服務(wù)集中管理、企業(yè)云化趨勢，集中管理后減少日常運(yùn)營風(fēng)險(xiǎn)。

擁有身份安全網(wǎng)關(guān)（ITDR-AD）組件，可擴(kuò)展安全分析與檢測。

國產(chǎn)化運(yùn)行環(huán)境：適配安全底座

全面兼容麒麟、統(tǒng)信等國產(chǎn)化操作系統(tǒng)，域控服務(wù)部署于全棧國產(chǎn)化平臺(tái)，擺脫對微軟AD運(yùn)行在Windows系統(tǒng)的依賴，規(guī)避系統(tǒng)層面漏洞。

協(xié)議層安全加固：封堵漏洞入口

代碼級(jí)加固 SMBv2/V3 協(xié)議，修復(fù)已知漏洞，杜絕利用 SMB 協(xié)議的入侵行為。

強(qiáng)制禁用 SMBv1、LDAPv1、NTLM 等危險(xiǎn)協(xié)議，默認(rèn)啟用 AES-256 加密傳輸，也支持國密算法實(shí)現(xiàn)加密傳輸。

數(shù)據(jù)安全防護(hù)：多場景加密與管理

活動(dòng)目錄數(shù)據(jù)采用定期備份，確保故障后可恢復(fù)。

備份文件格式完全自主可控，有別于微軟AD，不支持微軟格式的直接在安域恢復(fù)，安域的備份文件在微軟AD上也無法恢復(fù)。

存儲(chǔ)數(shù)據(jù)支持國密、商密及微軟標(biāo)準(zhǔn)算法適用不同應(yīng)用場景。

選擇聯(lián)軟安域與暴露面管理解決方案，企業(yè)不僅能徹底擺脫微軟AD 的固有安全風(fēng)險(xiǎn)，更能實(shí)現(xiàn)全方位價(jià)值升級(jí)：

安全價(jià)值

微軟AD 代碼量千萬級(jí)直面業(yè)務(wù)終端遠(yuǎn)大于安域核心服務(wù)260W+ 身份網(wǎng)關(guān) 10W+代碼，采用三層云原生架構(gòu)確保安域核心服務(wù)隱身，只有身份網(wǎng)關(guān)直面業(yè)務(wù)終端面代碼量更少，風(fēng)險(xiǎn)指數(shù)級(jí)降低，且支持C/S、B/S、APP、H5、微信小程序等豐富場景基于零信任的暴露面收斂，直接規(guī)避集權(quán)系統(tǒng)和核心業(yè)務(wù)面臨的安全風(fēng)險(xiǎn)，數(shù)據(jù)泄露與業(yè)務(wù)中斷風(fēng)險(xiǎn)大幅降低，目前已在六大行經(jīng)過實(shí)戰(zhàn)考驗(yàn)，穩(wěn)定性、安全性得到了實(shí)戰(zhàn)證明。

合規(guī)價(jià)值

原生滿足等保 2.0、《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》要求，國產(chǎn)化適配符合信創(chuàng)政策；

效率價(jià)值

自動(dòng)化完成用戶生命周期管理、權(quán)限配置、密碼輪換等工作，提升IT運(yùn)維效率提升，員工訪問體驗(yàn)優(yōu)化。

當(dāng)微軟AD成為黑客攻擊的“重災(zāi)區(qū)”，集權(quán)系統(tǒng)面臨的攻擊嚴(yán)重威脅企業(yè)核心資產(chǎn)安全時(shí)，選擇一套既能收斂暴露面、又能徹底解決架構(gòu)缺陷和協(xié)議缺陷、還可以支持全棧信創(chuàng)運(yùn)行環(huán)境的平替方案，已成為企業(yè)安全戰(zhàn)略的必然選擇。