Kerberos的“权力的游戏”：Active Directory核心认证协议的攻击面全景解析-CSDN博客

摘要：

本文旨在为Active Directory管理员、蓝队成员及安全架构师提供一份关于Kerberos协议攻击面的全景式技术总结。作为AD域认证的基石，Kerberos协议虽然设计精妙，但其复杂的机制和对关键凭证的依赖，也催生了多样化的攻击向量。本文将从防御者视角，系统性地梳理和剖析四大类主流攻击手法：以Kerberoasting为代表的凭证窃取、以Pass-the-Ticket为代表的票据重用、以Golden/Silver Ticket为代表的票据伪造，以及连接NTLM与Kerberos世界的Overpass-the-Hash。针对每一类攻击，本文都将揭示其核心原理、目标资产，并最终汇聚成一个以凭证保护、权限隔离和行为监控为核心的、多层次的纵深防御战略。

关键词：

Kerberos, Active Directory安全, 攻击面, Kerberoasting, Pass-the-Ticket, Golden Ticket, Silver Ticket, krbtgt, 纵深防御

Kerberos的“权力的游戏”：Active Directory核心认证协议的攻击面全景解析

你好，各位企业安全的“御林军”们！

在Active Directory这片广袤的“数字王国”中，Kerberos协议是维系所有身份与信任的“权力法则”。它通过一套复杂而精密的“票据”（Ticket）体系，确保了用户和计算机能够安全地认证彼此。然而，在这场围绕“权力”展开的攻防游戏中，攻击者早已学会了如何窃取、重用甚至伪造这些象征权力的“信物”，以图染指王国的最高控制权。

攻击者几乎从不尝试去“破解”Kerberos强大的密码学算法，而是巧妙地利用其协议逻辑和环境配置中的弱点。本文将为你绘制一幅完整的Kerberos攻击面“作战地图”，并构建一套与之对应的、坚不可摧的“防御工事”。

1. 攻击的起点：凭证窃取与侦察

在能够滥用Kerberos之前，攻击者首先需要获得“入场券”——各类密码哈希。

核心攻击：Kerberoasting

这是最常见、最隐蔽的初始凭证获取手段之一。

攻击原理：
1. 在AD中，服务（如SQL Server, Web服务器）通常以一个用户账户（服务账户）的身份运行，并通过**服务主体名称（Service Principal Name, SPN）**进行注册。例如，MSSQLSvc/db.corp.local。
2. Kerberos协议允许任何一个已认证的域内用户，向KDC为域内的任意一个SPN请求服务票据（TGS）。
3. KDC在返回这张TGS时，会使用该服务账户的NTLM密码哈希作为密钥，对票据的一部分进行加密。
4. 攻击者（作为一个低权限用户）请求了这张票据，虽然他无法使用它，但他可以将这张票据保存在本地，进行离线暴力破解。由于服务账户的密码通常强度较弱且常年不变，破解成功率很高。
目标资产：配置了SPN的用户账户（非计算机账户）的NTLM哈希。
防御之道：
1. 【核心】为所有服务账户设置超长（25位以上）、超复杂的随机密码。使其在计算上无法被离线破解。
2. 【最佳实践】使用组管理服务账户（gMSA）。gMSA的密码由Windows自动管理（240位随机字符，每月自动轮换），人类管理员从不接触，从根源上杜绝了弱密码和密码泄露的风险。

2. 核心滥用：票据的窃取与重用

当攻击者在内网中攻陷一台主机后，其首要目标就是窃取当前登录用户会话中的Kerberos票据。

核心攻击：Pass-the-Ticket (PtT)

攻击原理：

Kerberos票据（TGT和TGS）被缓存在LSASS.exe进程的内存中。这些票据就像是“不记名”的 bearer tokens。攻击者一旦通过Mimikatz等工具将这些票据从内存中导出，就可以将它们注入到自己控制的会话中，从而冒充原始用户，访问该票据所授权的所有网络资源。
目标资产：内存中缓存的TGT和TGS票据。
防御之道：
1. 【核心】启用Credential Guard和LSA保护。这是防御内存凭证窃取的“银弹”，它利用虚拟化安全技术保护LSASS进程，使Mimikatz等工具无法读取其内存。
2. 【架构】实施管理分层模型。严格禁止域管理员等高权限账户登录到低安全级别的终端或服务器上，防止高价值票据在不安全的环境中被窃取。

3. 终极权力：票据的伪造

这是最高级的Kerberos攻击，它意味着攻击者已经掌握了签发“官方”凭证的能力。

核心攻击一：Golden Ticket (黄金票据)

攻击原理：

整个域的Kerberos信任根基，是一个名为krbtgt的特殊账户。KDC使用krbtgt账户的NTLM哈希，来加密和签名所有的TGT。如果攻击者窃取到这个哈希（通常通过攻击域控实现），他就掌握了域的“万能主密钥”。他可以在离线状态下，为自己伪造一张任意用户、任意权限、任意有效期的TGT。
目标资产：域控制器上的krbtgt账户的NTLM哈希。
防御之道：
1. 像保护皇冠一样保护krbtgt：其密码应是天文数字级的复杂，并严格按照策略定期轮换（注意：每次轮换必须连续执行两次，以清除历史密钥）。
2. 保护域控制器：将DC视为Tier 0核心资产，实施最严格的物理和逻辑访问控制。

核心攻击二：Silver Ticket (白银票据)

攻击原理：

服务票据（TGS）是由目标服务账户的密码哈希加密的。如果攻击者窃取了某个服务（如文件服务器的CIFS服务、Web服务器的HTTP服务）的服务账户的哈希，他就可以在离线状态下，伪造一张只对这一个特定服务有效的服务票据。
目标资产：成员服务器上服务账户的NTLM哈希。
防御之道：
1. 加固所有服务账户：同样，使用超长密码或gMSA。
2. 遵循最小权限原则：确保服务账户只拥有其运行所需的最小权限，限制白银票据攻击成功后的破坏半径。
3. 在关键服务器上开启高级审计：由于白银票据不与DC交互，必须在成员服务器本地监控异常的Kerberos登录事件（Event ID 4624）。

4. 跨协议的“桥梁”：从NTLM到Kerberos

核心攻击：Overpass-the-Hash

攻击原理：

这是“哈希传递”的升级版。攻击者在窃取到用户的NTLM哈希后，并不直接用它去进行NTLM认证，而是利用Kerberos协议中的一个特性（PKINIT），在本地与KDC交互，使用NTLM哈希来申请一张合法的TGT。这个过程等于将一个NTLM哈希“升级”成了一套功能更全的Kerberos票据。
目标资产：任意用户的NTLM哈希。
防御之道：防御此攻击的根本，依然是防止NTLM哈希的初始泄露。因此，Credential Guard同样是其核心克星。

5. 总结性的防御框架

面对Kerberos复杂的攻击面，我们的防御必须是体系化、纵深化的。

攻击类型	目标资产	核心防御策略
Kerberoasting	服务账户哈希	使用gMSA；服务账户使用超长随机密码
Pass-the-Ticket	内存中的票据	启用Credential Guard；实施管理分层模型
Golden Ticket	`krbtgt`账户哈希	保护DC；加固并定期轮换`krbtgt`密码（两次）
Silver Ticket	服务账户哈希	使用gMSA；保护服务账户密码；在成员服务器上进行威胁猎捕
Overpass-the-Hash	任意用户哈希	启用Credential Guard