文章总结： 本文系统介绍ActiveDirectory基础架构与安全风险，阐述AD作为企业核心身份认证服务的核心功能及LDAP协议基础。重点解析域控制器NTDS.DIT数据库的存储机制与攻击面，包括密码哈希存储位置、文件保护措施及攻击者常用提取手法。强调AD因集中化凭据管理和信任关系成为攻击首要目标，并概述从初始入侵到完全控制AD的典型攻击路径，提出需通过系统性工程构建防御体系。 综合评分： 85 文章分类： 内网渗透,漏洞分析,红队,安全建设,WEB安全

Active Directory 安全攻防（一）

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年6月18日 10:00 安徽

在小说阅读器读本章

去阅读

在当今企业IT环境中，Active Directory（AD，活动目录）几乎无处不在。它是大多数组织的核心登录和目录服务，掌控着企业网络资源的访问权限。正因如此，AD 成为攻击者眼中极具价值的目标，一旦 AD 被攻破，往往意味着整个网络及其关联的身份体系全部沦陷。

本文将从 AD 的基础概念出发，介绍其核心架构和工作原理，帮助读者建立对 Active Directory 安全的系统性认知。

一、什么是 Active Directory？

1.1 基本概念

Active Directory 是微软在 Windows Server 2000 中首次引入的一项基础网络服务。它在企业网络中扮演着至关重要的角色，主要提供以下核心功能：

• 身份认证（Authentication）：验证用户和计算机的身份合法性
• 目录服务（Directory Service）：以结构化的方式存储和提供组织内各类对象的信息
• 授权管理（Authorization）：控制经过认证的身份可以访问哪些资源

简单来说，你可以把 Active Directory 理解为企业网络中的”电话簿 + 门禁系统”——它既记录了组织内所有用户、计算机、组等对象的信息，又负责验证”谁是谁”以及”谁能做什么”。

1.2 协议基础

Active Directory 作为目录服务，基于 X.500 协议标准提供信息查询能力。在实际实现中，它使用的是 X.500 的轻量级版本——LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）。

LDAP 是一种应用层协议，用于访问和维护分布式目录信息服务。相比完整的 X.500 协议，LDAP 更加轻量和高效，这也是它在企业环境中被广泛采用的原因。通过 LDAP，客户端可以对 AD 中的对象进行查询、添加、修改和删除等操作。

1.3 域控制器（Domain Controller）

提供 Active Directory 服务的服务器被称为域控制器（Domain Controller，简称 DC）。域控制器是整个 AD 架构中最核心、最关键的组件，它承担着以下职责：

• 存储目录数据库的完整副本
• 处理身份认证请求
• 执行目录数据的复制
• 实施组策略

安全提示：由于域控制器掌握着整个域的所有身份信息和凭据，它是攻击者在内网渗透中的首要目标。保护域控制器的安全是 AD 安全防护的重中之重。

二、AD 数据库的存储机制

2.1 NTDS.DIT 数据库文件

域控制器将所有目录信息存储在一个数据库文件中，该文件默认位于以下路径：

C:\Windows\NTDS\

这个目录下包含两类关键文件：

| 文件类型 | 说明 | | — | — | | NTDS.DIT | AD 的核心数据库文件，存储所有目录对象 | | 事务日志文件（Transaction Logs） | 记录数据库的变更操作，用于故障恢复 |

NTDS.DIT 文件中存储了域内所有对象的信息，包括但不限于：

• 用户对象（Users）：用户名、属性信息、密码哈希等
• 计算机对象（Computers）：域内加入的所有计算机账户
• 组对象（Groups）：安全组和分发组的成员关系

其中最为敏感的是——NTDS.DIT 中存储了所有用户和计算机的密码哈希值。这意味着，如果攻击者能够获取到这个文件的副本，就可以离线破解域内所有账户的密码，或者直接利用哈希值发起 Pass-the-Hash 攻击。

2.2 文件保护机制

微软为 NTDS.DIT 文件提供了两层保护机制：

第一层：NTFS 文件系统权限

NTDS 目录下的文件受到 NTFS 权限的保护。默认情况下，只有域本地管理员组（domain-local group of administrators）的成员才拥有对这些文件的完全访问权限。普通用户和普通管理员无法直接读取这些文件。

第二层：文件锁定机制

当域控制器上的 NTDS 服务（即 AD 域服务）正在运行时，NTDS.DIT 数据库文件处于被占用（in use） 状态，无法被直接复制。这意味着即使攻击者拥有文件系统的访问权限，也不能简单地通过 copy 命令来获取数据库文件。

攻击者的应对手段：尽管存在文件锁定机制，攻击者仍然可以通过以下方式获取 NTDS.DIT：

• 使用 Volume Shadow Copy（卷影复制） 服务创建磁盘快照，从快照中提取文件
• 使用 ntdsutil 工具创建 AD 数据库的安装介质（IFM）
• 使用 DCSync 攻击，通过模拟域控制器的复制行为远程获取密码哈希

三、为什么 Active Directory 是攻击者的首要目标？

理解了 AD 的基本架构后，我们不难看出它为何成为攻击者的重点目标：

1. 集中化的身份管理：AD 集中存储了组织内所有用户和计算机的凭据信息，是一个巨大的”凭据宝库”
2. 广泛的信任关系：AD 中的信任关系一旦被利用，攻击者可以在整个域甚至跨域环境中横向移动
3. 权限提升的跳板：通过获取域管理员权限，攻击者可以控制域内的所有资源
4. 持久化的理想场所：攻击者可以通过创建后门账户、修改组策略等方式在 AD 中建立持久化访问

在实际的安全事件中，从初始入侵到完全控制 AD（即获取域管理员权限）的过程通常遵循以下路径：

初始入侵 → 本地权限提升 → 凭据窃取 → 横向移动 → 域控制器攻陷 → 完全控制

四、总结

本文介绍了 Active Directory 的基础概念，包括其作为目录服务的核心功能、LDAP 协议基础、域控制器的角色，以及 NTDS.DIT 数据库文件的存储和保护机制。

理解这些基础知识是掌握 AD 安全攻防的前提。Active Directory 的安全不是一个单点问题，而是一个系统性工程。它涉及到网络架构设计、权限最小化原则、凭据保护、监控告警等多个层面。只有深入理解攻击者的手法，才能构建起真正有效的防御体系。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《Active Directory 安全攻防（一）》