Windows认证强制攻击对企业网络构成重大威胁

尽管微软持续实施防护措施，Windows认证强制攻击在2025年仍对企业Active Directory（活动目录）环境构成重大风险。这类复杂攻击使仅具备最低权限的威胁行为者能够获取Windows工作站和服务器的管理员权限，可能在初始渗透后数小时内危及整个企业网络。

利用核心Windows服务的攻击技术

根据RedTeam Pentesting博客报告，认证强制攻击利用多个远程过程调用（RPC）接口，迫使Windows计算机向攻击者控制的系统进行认证。最突出的技术包括MS-RPRN（打印机漏洞）、MS-EFSR（PetitPotam）、MS-DFSNM（DFS强制）和MS-WSP（WSP强制）。这些方法通过合法的Windows服务强制计算机账户建立可被截获并中继至高价值目标的连接。

MS-RPRN接口原本用于打印机管理，但由于在除Windows Server Core安装外的大多数工作站和服务器上都可用，仍然特别危险。流行的攻击工具如ntlmrelayx.py的最新修改已适应微软的防护措施，研究人员通过实现RPC服务器功能，即使在传统SMB和HTTP向量被阻止时也能保持攻击有效性。

MS-EFSR技术在Windows Server 2022 23H2中通过按需服务激活得到部分缓解，但仍可通过创新方法被利用。安全研究人员已开发出自动化工具如NetExec efsr_spray模块，该模块通过尝试在可访问的SMB共享（包括打印机队列）上创建加密文件来激活易受攻击的服务。

微软升级中的安全缺口

微软已实施多项防护机制，包括认证扩展保护（EPA）、LDAP通道绑定和增强的SMB签名要求。Windows Server 2022 23H2默认启用了LDAP通道绑定，而Windows Server 2025则启用EPA并禁用未加密的AD CS Web注册API。此外，Windows 11 24H2现在要求工作站启用SMB签名，标志着微软安全态势的重大转变。

然而，这些防护主要影响全新安装，升级后的系统仍保留旧有配置而存在漏洞。基于HTTP的强制攻击所需的WebClient服务仍是一个关键漏洞向量，因为该服务可通过在可访问共享上放置.searchConnector-ms文件的技术从外部激活。

认证强制攻击持续有效的原因在于其针对计算机账户的能力，这些账户通过S4U2Self滥用和基于资源的约束委派（RBCD）具有强大的模拟能力。当成功针对域控制器计算机账户执行时，这些攻击可授予DCSync权限，通过提取所有用户凭证实现完全域入侵。

企业防御面临的挑战

随着Kerberos中继攻击与强制技术共同演进，企业防御者面临特殊挑战。随着微软逐步淘汰NTLM认证，这类攻击将变得日益重要。在多样化的Windows环境中正确配置所有必要防护的复杂性意味着许多组织仍易受这些攻击向量的影响。

安全专家强调，在所有Windows服务中全面实施签名要求和通道绑定之前，认证强制攻击将始终是企业网络面临的重大威胁，需要全球IT安全团队立即关注。

原文来自: cybersecuritynews.com