「运维有小邓」AD域常见攻击之——黄金票据

“Golden Ticket Attack（黄金票据）”是一个特别丰富多彩的（如果你会原谅双关语）名称，用于特别危险的攻击。这个绰号来自罗尔德·达尔（Roald Dahl）的书 查理和巧克力工厂， 其中一张金票是令人梦寐以求的通行证，可以让其所有者进入威利旺卡戒备森严的糖果工厂。同样，成功的Golden Ticket（黄金票据） 攻击使黑客能够访问组织的整个 Active Directory 域。

然而，这个类比在一个重要的方面被打破了：虽然查理和其他持有金票的孩子（大部分）在严密的监督下被护送在糖果工厂周围，但成功的金票攻击使黑客几乎可以不受限制地访问您域中的所有内容，包括所有计算机、文件、文件夹和域控制器 (DC)。他们可以冒充任何人，做任何事情。

Active Directory

让我们看看这种强大的攻击是如何展开的——以及您可以做些什么来保护您的组织。

Golden Ticket（黄金票据） 攻击的工作原理

Golden Ticket 攻击利用了Kerberos 身份验证协议中的一个漏洞，自 Windows 2000 以来，Microsoft 一直将其用作其默认身份验证协议。

Kerberos 身份验证的正常工作方式

使用 Kerberos，用户永远不会直接对他们需要使用的各种服务（例如文件服务器）进行身份验证。相反， Kerberos 密钥分发中心 (KDC) 充当受信任的第三方身份验证服务。Active Directory 域中的每个域控制器都运行 KDC 服务。

具体来说，当用户进行身份验证时，KDC会发出一个票据授予票据 (TGT)，其中包括一个唯一的会话密钥和一个时间戳，该时间戳指定该会话的有效时间（通常为 8 或 10 小时）。当用户需要访问资源时，无需重新认证；他们的客户端机器只是发送 TGT 来证明用户最近已经通过身份验证。

黄金票据

以上就是“黄金票据”攻击的简单工作原理，虽然利用技术手段可以控制或减小这类攻击。但是随着黑客技术的不断更新迭代，想要更好地对此类攻击进行防护必须利用防护工具。

ADAudit Plus是一款活动目录变更和报告软件。通过提取windows中的安全日志，对活动目录中的所有活动及操作进行判断。明确AD域内谁干了什么，谁没干什么。对用户的一些删除，创建，修改，重置等动作进行统计。通过相关分析确定用户行为是否合规。

ADAudit Plus

在日常工作中为了工作的正常进行，管理员经常需要对权限进行相应分配。但用户分配到权限后，很可能因为误操或有意破坏，在活动目录中执行非合法性操作。这时我们即可通过ADAudit Plus对windows安全日志进行分析，通过生成的各类报表轻松锁定权限所有人，以便对其进行处理。

ADAudit Plus对企业AD域的安全维护具有重要作用。其生成的海量报表完全让用户行为可视化。轻松解决企业AD管理合规问题。