2026-04-24 04:57:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文从蓝队防御视角系统阐述AD域加固策略，核心提出Tier模型分级管理架构（Tier0-2）与凭据保护双主线。重点措施包括：通过Tier模型隔离高权限账户登录范围阻断80%攻击路径；部署ProtectedUsers组禁用NTLM并限制TGT有效期；采用LAPS实现本地管理员密码随机化。文末给出具体PowerShell命令与GPO配置实操指引，强调从攻击链源头（凭据提取环节）实施防御。 综合评分： 85 文章分类： 安全建设,内网渗透,渗透测试,解决方案,应急响应

cover_image

蓝队反击战：AD域防御加固完整指南

原创

极客零零七极客零零七

极客零零七

2026年4月23日 16:30 加拿大

在小说阅读器读本章

去阅读

极客零零七 · AD攻击系列 · 第10篇

前9篇文章站在攻击者视角，拆解了AD域渗透的每一个环节。本篇换到防御者视角——如果你是蓝队，如何系统性地加固AD域，让前面那些攻击技术失效或至少被检测到？

不讲理论框架，只讲具体操作和优先级排序。按照”投入产出比”从高到低排列——前3项措施能阻断80%的AD攻击路径。

一、Tier模型：AD安全的基础架构

什么是Tier模型

微软推荐的管理层级模型，核心思想是防止高权限凭据暴露在低安全级别的系统上。

Tier&nbsp;0：身份基础设施&nbsp; ├── 域控制器&nbsp; ├── CA证书服务器&nbsp; ├── Azure AD Connect&nbsp; └── ADFS服务器
Tier&nbsp;1：应用服务器&nbsp; ├── 文件服务器、SQL服务器&nbsp; ├── Exchange、SharePoint&nbsp; └── 管理服务器（SCCM、WSUS）Tier&nbsp;2：终端设备&nbsp; ├── 用户工作站&nbsp; ├── 打印机、会议室设备&nbsp; └── 移动设备

核心规则

✗ Tier&nbsp;0&nbsp;管理员绝对不能登录 Tier 1/2 设备✗ Tier&nbsp;1&nbsp;管理员不能登录 Tier&nbsp;2&nbsp;设备✗ 日常办公账户不能有任何管理权限
✓ 每个管理员有3个账户：&nbsp; - 日常办公账户（无管理权限，用于收邮件/上网）&nbsp; - Tier&nbsp;1&nbsp;管理账户（管理应用服务器）&nbsp; - Tier&nbsp;0&nbsp;管理账户（仅用于域控操作，从专用PAW登录）

为什么这一条最重要？ 因为攻击系列第4篇（横向移动）中的所有技术——PTH、PTT、凭据提取——都依赖于高权限凭据出现在攻击者可触及的机器上。如果Domain Admin从不登录普通服务器和工作站，攻击者根本抓不到DA的凭据。

实施要点

## 1. 创建Tier 0专用管理组New-ADGroup&nbsp;-Name&nbsp;"Tier0-Admins"&nbsp;-GroupScope&nbsp;Global&nbsp;-Path&nbsp;"OU=Admin Groups,DC=domain,DC=local"
## 2. 通过GPO限制登录范围## GPO设置路径：ComputerConfiguration→Policies→WindowsSettings→SecuritySettings→LocalPolicies→UserRights Assignment## &nbsp; - "Deny log on locally" → 在Tier 1/2机器上拒绝Tier 0账户登录## &nbsp; - "Deny log on through Remote Desktop Services" → 同上## &nbsp; - "Deny access to this computer from the network" → 同上
## 3. 部署特权访问工作站（PAW）## Tier 0管理员只能从专用PAW访问域控## PAW不连互联网、不装办公软件、不加入普通OU

二、凭据保护：让攻击者抓不到有用的东西

Protected Users组

## 加入Protected Users组的账户自动获得以下保护：## - 不缓存明文密码## - 不使用NTLM认证（阻断PTH）## - 不使用DES/RC4加密（阻断Kerberoasting的弱加密降级）## - TGT有效期硬编码为4小时（缩小Golden Ticket窗口）## - 不允许委派（阻断所有委派攻击）
## 将所有DA加入Add-ADGroupMember&nbsp;-Identity&nbsp;"Protected Users"&nbsp;-Members&nbsp;"domain_admin1","domain_admin2"

注意：加入Protected Users后，这些账户无法使用NTLM认证。确保所有管理操作走Kerberos，否则会导致管理工具报错。

LAPS（Local Administrator Password Solution）

每台工作站的本地管理员密码独立、随机、定期轮换——彻底阻断横向移动中的本地管理员密码复用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七极客零零七极客零零七《蓝队反击战：AD域防御加固完整指南》