近年來，AI+自動化攻擊技術(shù)的迅猛發(fā)展造成信息系統(tǒng)面臨日益嚴重的安全威脅，微軟 Active Directory（微軟 AD）作為企業(yè)身份認證與授權(quán)的 “核心中樞”，已成為黑客攻擊的首要目標。國內(nèi)多行業(yè)發(fā)生的 AD 入侵事件，諸如黃金票據(jù)、GPO利用等攻擊導致客戶支付巨額贖金、業(yè)務(wù)連續(xù)性中斷、敏感數(shù)據(jù)被竊或被破壞等嚴重損失，覆蓋銀行、制造、政務(wù)等關(guān)鍵領(lǐng)域。

某市政府政務(wù)服務(wù)系統(tǒng)入侵事件（2025年）：定位暴露外網(wǎng)政務(wù)服務(wù)系統(tǒng)RDP服務(wù)，字典攻擊破解系統(tǒng)管理員弱口令獲取服務(wù)器控制權(quán)，收集域內(nèi)憑證信息并利用竊取的憑證獲取域管理權(quán)限，利用竊取的域用戶哈希通過PTH技術(shù)訪問更多系統(tǒng)，并通過DNS隧道將竊取的大量個人敏感數(shù)據(jù)傳輸至境外，最終導致系統(tǒng)中斷及電詐。

國內(nèi)某快消品集團勒索事件（2025年）：釣魚郵件感染該集團IT服務(wù)供應商并獲取VPN憑證后，利用信任關(guān)系橫向至該集團網(wǎng)絡(luò)，通過域內(nèi)已知漏洞從邊緣服務(wù)器滲透至域控，使用UAC繞過技術(shù)獲取更高權(quán)限并收集域內(nèi)憑證，使用DCSync攻擊獲取krbtgt賬戶哈?？刂朴蚩?，后創(chuàng)建惡意GPO強制所有客戶端下載并執(zhí)行勒索軟件，最終加密集團核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫，導致生產(chǎn)系統(tǒng)癱瘓，并竊取大量敏感數(shù)據(jù)，向企業(yè)發(fā)送勒索通知。 

國內(nèi)某汽車制造集團公司（2024年）：集團公司下屬分支機構(gòu)未設(shè)防服務(wù)器暴露公網(wǎng)，攻擊者通過暴力破解手段獲取低權(quán)限，通過PTH橫向攻擊，碰撞域管密碼，通過DCSync竊取krbtgt哈希，偽造黃金票據(jù)拿下總部域控，進而控制生產(chǎn)系統(tǒng)，導致生產(chǎn)核心業(yè)務(wù)連續(xù)性中斷，核心數(shù)據(jù)被勒索加密，主要原因是分支機構(gòu)暴露面沒有收斂，域控存在弱口令，跨域沒有做網(wǎng)絡(luò)隔離控橫移。

國內(nèi)某銀行海外子公司域控入侵勒索事件（2023年）：利用Citrix網(wǎng)關(guān)漏洞獲取服務(wù)器訪問權(quán)限及本地管理員憑證，橫向移動至域控服務(wù)器，通過信任關(guān)系控制域并創(chuàng)建隱藏管理員賬戶，利用域控權(quán)限強制推送勒索軟件，通過AD 組策略禁用安全軟件和備份系統(tǒng)，最終導致部分核心交易系統(tǒng)中斷，數(shù)據(jù)被加密。本次事件除面臨支付巨額贖金與業(yè)務(wù)恢復的成本外，仍需應對巨大監(jiān)管處罰與信任影響。

海外情報機構(gòu)利用MS Exchange 漏洞攻擊國內(nèi)軍工企業(yè)（2022-2023年）：利用MS Exchange 0day漏洞入侵對外提供服務(wù)的郵件服務(wù)器，內(nèi)網(wǎng)橫向掃描竊取AD內(nèi)網(wǎng)憑證, 獲取域管理員級權(quán)限并控制內(nèi)網(wǎng)重要業(yè)務(wù)服務(wù)器，植入定制化攻擊武器，建立多條跨地域隱蔽通信鏈路，持續(xù)近1年定向竊取企業(yè)高層郵件數(shù)據(jù)和大量企業(yè)核心數(shù)據(jù)。

這些案例證明：微軟AD的集權(quán)架構(gòu)與固有漏洞，已成為企業(yè)安全的 “最大短板”，一旦被突破，將引發(fā) “多米諾骨牌效應”，導致業(yè)務(wù)中斷、數(shù)據(jù)泄露、合規(guī)處罰等多重損失。

HW期間很多企業(yè)的AD域控被攻陷，也多是釣魚/漏洞起手-橫向移動-權(quán)限提升-拿下域控-攻擊業(yè)務(wù)/竊取或破壞數(shù)據(jù)的攻擊鏈，核心誘因二層架構(gòu)落后未做集權(quán)暴露面隱藏、漏洞未打補丁、弱口令、權(quán)限管控松等。

微軟AD 作為傳統(tǒng)集權(quán)式身份認證系統(tǒng)，攻擊面廣泛且難以根治，核心風險集中在協(xié)議層漏洞、權(quán)限集權(quán)、憑證保護薄弱、訪問管控缺失四大維度，以下以黃金票據(jù)、白銀票據(jù)、黃金 SAML 攻擊為核心，梳理完整的攻擊路徑：

01黃金票據(jù)攻擊：“全域萬能鑰匙”入侵

 攻擊路徑：獲取初始權(quán)限-->竊取 KRBTGT賬戶NTLM哈希+域SID+域名-->偽造Kerberos TGT票據(jù)-->繞過KDC認證-->獲得域管理員權(quán)限-->全域資源控制。

核心方法：通過Mimikatz等工具竊取KRBTGT哈希，利用Kerberos協(xié)議缺陷偽造TGT票據(jù)，無需經(jīng)過KDC校驗即可訪問任意域內(nèi)資源，攻擊成功率極高，且傳統(tǒng)流量等檢測難度極高。

02白銀票據(jù)攻擊：“精準爆破”特定服務(wù)

攻擊路徑：定位目標服務(wù)（CIFS/SQL/Exchange）-->竊取服務(wù)賬戶NTLM哈希+服務(wù)SID-->偽造Kerberos ST票據(jù)-->注入內(nèi)存直接訪問目標服務(wù)-->竊取核心數(shù)據(jù)/橫向移動。

核心方法：針對特定服務(wù)賬戶的哈希進行竊取，偽造的ST票據(jù)僅需目標服務(wù)驗證（無需KDC參與），隱蔽性強，常被用于精準竊取研發(fā)、生產(chǎn)、財務(wù)數(shù)據(jù)。

03黃金 SAML 攻擊：“突破 SSO” 入侵業(yè)務(wù)系統(tǒng)

攻擊路徑：入侵SAML IdP服務(wù)器-->竊取簽名私鑰+實體ID+受眾群體-->偽造SAML斷言并簽名-->向SP提交偽造斷言-->繞過SSO認證-->訪問CRM/ERP等云服務(wù)。

核心方法：利用微軟AD與 SAML SSO的聯(lián)動漏洞，竊取IdP私鑰后即可無限偽造高權(quán)限用戶身份，直接突破業(yè)務(wù)系統(tǒng)防線，是混合云環(huán)境下的典型攻擊手段。

面對微軟AD的固有風險，單純的“補丁式防御”已無力解決。我們認為應通過“暴露面收斂+原生AD平替”的雙輪驅(qū)動，既解決現(xiàn)有微軟AD的訪問安全管控問題，又通過架構(gòu)優(yōu)化、國產(chǎn)化適配、協(xié)議加固，從根源切斷攻擊鏈，提供全方位安全保障。

微軟AD暴露面收斂：關(guān)鍵路徑安全管控

內(nèi)網(wǎng)與互聯(lián)網(wǎng)訪問安全管控

基于“物理隔離 + 邏輯管控”雙管齊下的管控思路，將集權(quán)系統(tǒng)與普通業(yè)務(wù)系統(tǒng)劃分為獨立安全域，切斷攻擊者“突破業(yè)務(wù)域后橫向滲透至集權(quán)域”的路徑。

通過AD域控服務(wù)器的訪問管控防護，內(nèi)網(wǎng)分區(qū)分域，僅授權(quán)終端可訪問域控資源，結(jié)合端口級ACL，實現(xiàn)最小化內(nèi)網(wǎng)域控訪問權(quán)限管理。

互聯(lián)網(wǎng)側(cè)業(yè)務(wù)系統(tǒng)基于暴露面收斂思路，通過網(wǎng)絡(luò)邊界“分域隔離 + 動態(tài)隱藏”，減少資產(chǎn)直接暴露，基于有端+無端模式的零信任安全接入架構(gòu)，構(gòu)建適用于內(nèi)外部用戶業(yè)務(wù)場景的雙重防護。

域控與管理人員專用訪問控制——ECC安全運維

域管理員、IT運維人員采用通過“軟件定義邊界（SDP）+主機/終端/設(shè)備管理工具”構(gòu)建技術(shù)矩陣，實現(xiàn)“精準管控、漏洞隔離、操作可追溯”。

通過“雙因素強身份驗證 + 最小權(quán)限授權(quán)”實現(xiàn)“按需訪問”；針對核心節(jié)點，通過主機加固、漏洞閉環(huán)、操作審計三類功能實現(xiàn)深度防護。

同時，利用終端管理工具構(gòu)建“外圍防御陣地”，防止攻擊者以終端為跳板滲透集權(quán)系統(tǒng)；并通過設(shè)備管理工具實現(xiàn)全生命周期防護，加固集權(quán)系統(tǒng)的“關(guān)聯(lián)支撐陣地。

安全策略集中管控

集中管理AD域控服務(wù)器的關(guān)鍵訪問路徑配置，可視化呈現(xiàn)集權(quán)系統(tǒng)的可達的網(wǎng)絡(luò)區(qū)域及資產(chǎn)范圍，自動檢查安全策略的合規(guī)性與有效性，結(jié)合直觀的潛在跳板攻擊網(wǎng)絡(luò)區(qū)域與站點，構(gòu)建圍繞集權(quán)系統(tǒng)訪問的自動化與可視化安全策略管理中心。

聯(lián)軟 XCAD（簡稱安域）平替方案：從根源解決微軟AD已知問題

聯(lián)軟安域作為新一代身份認證與訪問控制平臺，不僅實現(xiàn)微軟AD的無縫平替（零業(yè)務(wù)中斷、數(shù)據(jù)無損遷移），更通過架構(gòu)重構(gòu)與安全加固，從根本上解決AD固有缺陷。

架構(gòu)優(yōu)化：切斷集權(quán)式攻擊鏈

采用安全網(wǎng)關(guān)+管理中心的分布式集群架構(gòu)，由身份安全網(wǎng)關(guān)負責所有的認證、策略，通過身份網(wǎng)關(guān)來做協(xié)議的轉(zhuǎn)發(fā)、認證的統(tǒng)一入口，實現(xiàn)核心管理中心的安全隔離與架構(gòu)優(yōu)化。

整體架構(gòu)支持二地三中心、雙活雙中心、多地多中心的靈活部署方式，適應未來身份核心服務(wù)集中管理、企業(yè)云化趨勢，集中管理后減少日常運營風險。

擁有身份安全網(wǎng)關(guān)（ITDR-AD）組件，可擴展安全分析與檢測。

國產(chǎn)化運行環(huán)境：適配安全底座

全面兼容麒麟、統(tǒng)信等國產(chǎn)化操作系統(tǒng)，域控服務(wù)部署于全棧國產(chǎn)化平臺，擺脫對微軟AD運行在Windows系統(tǒng)的依賴，規(guī)避系統(tǒng)層面漏洞。

協(xié)議層安全加固：封堵漏洞入口

代碼級加固 SMBv2/V3 協(xié)議，修復已知漏洞，杜絕利用 SMB 協(xié)議的入侵行為。

強制禁用 SMBv1、LDAPv1、NTLM 等危險協(xié)議，默認啟用 AES-256 加密傳輸，也支持國密算法實現(xiàn)加密傳輸。

數(shù)據(jù)安全防護：多場景加密與管理

活動目錄數(shù)據(jù)采用定期備份，確保故障后可恢復。

備份文件格式完全自主可控，有別于微軟AD，不支持微軟格式的直接在安域恢復，安域的備份文件在微軟AD上也無法恢復。

存儲數(shù)據(jù)支持國密、商密及微軟標準算法適用不同應用場景。

選擇聯(lián)軟安域與暴露面管理解決方案，企業(yè)不僅能徹底擺脫微軟AD 的固有安全風險，更能實現(xiàn)全方位價值升級：

安全價值

微軟AD 代碼量千萬級直面業(yè)務(wù)終端遠大于安域核心服務(wù)260W+ 身份網(wǎng)關(guān) 10W+代碼，采用三層云原生架構(gòu)確保安域核心服務(wù)隱身，只有身份網(wǎng)關(guān)直面業(yè)務(wù)終端面代碼量更少，風險指數(shù)級降低，且支持C/S、B/S、APP、H5、微信小程序等豐富場景基于零信任的暴露面收斂，直接規(guī)避集權(quán)系統(tǒng)和核心業(yè)務(wù)面臨的安全風險，數(shù)據(jù)泄露與業(yè)務(wù)中斷風險大幅降低，目前已在六大行經(jīng)過實戰(zhàn)考驗，穩(wěn)定性、安全性得到了實戰(zhàn)證明。

合規(guī)價值

原生滿足等保 2.0、《數(shù)據(jù)安全法》《個人信息保護法》要求，國產(chǎn)化適配符合信創(chuàng)政策；

效率價值

自動化完成用戶生命周期管理、權(quán)限配置、密碼輪換等工作，提升IT運維效率提升，員工訪問體驗優(yōu)化。

當微軟AD成為黑客攻擊的“重災區(qū)”，集權(quán)系統(tǒng)面臨的攻擊嚴重威脅企業(yè)核心資產(chǎn)安全時，選擇一套既能收斂暴露面、又能徹底解決架構(gòu)缺陷和協(xié)議缺陷、還可以支持全棧信創(chuàng)運行環(huán)境的平替方案，已成為企業(yè)安全戰(zhàn)略的必然選擇。