Active Directory

exploiting-kerberoasting-with-impacket 可帮助授权测试人员使用 Impacket 的 GetUserSPNs.py 规划 Kerberoasting 流程，从 SPN 枚举到 TGS 票据提取、离线破解以及检测感知型报告。此 exploiting-kerberoasting-with-impacket 指南适用于渗透测试工作流，提供清晰的安装与使用上下文。

configuring-active-directory-tiered-model 技能可帮助设计和审计 Microsoft ESAE 风格的 Active Directory 分层模型。使用这份 configuring-active-directory-tiered-model 指南，可更清晰地审视 Tier 0/1/2 访问、PAW、管理员边界、凭据暴露以及安全审计发现，并结合实际实现语境进行判断。

detecting-dcsync-attack-in-active-directory 是一项威胁狩猎技能，用于通过关联 4662 事件、复制 GUID 和合法的 DC 账户，识别 Active Directory 中的 DCSync 滥用。可用它借助 Splunk、KQL 和解析脚本来确认、分诊并记录凭据窃取活动。

exploiting-nopac-cve-2021-42278-42287 技能是一份面向 Active Directory 中 noPac 链（CVE-2021-42278 和 CVE-2021-42287）的实用评估指南。它帮助经过授权的红队人员和安全审计用户检查前置条件、查看工作流文件，并以更少的试错来判断是否可被利用。

exploiting-constrained-delegation-abuse 技能用于指导已授权的 Active Directory 测试，重点是 Kerberos 约束委派滥用。内容涵盖枚举、S4U2self 和 S4U2proxy 票据请求，以及通往横向移动或权限提升的实操路径。如果你需要的是可重复使用的渗透测试指南，而不是泛泛的 Kerberos 概览，这个技能会更合适。

detecting-pass-the-ticket-attacks 通过关联 Windows Security Event IDs 4768、4769 和 4771，帮助检测 Kerberos Pass-the-Ticket 活动。适用于 Splunk 或 Elastic 中的威胁狩猎，用于发现票据复用、RC4 降级以及异常 TGS 流量，并提供可直接上手的查询和字段说明。

detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式，帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks，并提供实用的检测模板和调优建议。

detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用（0x17）、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常，检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎，提供实用的检测指引。

detecting-credential-dumping-techniques 技能可帮助你利用 Sysmon Event ID 10、Windows Security 日志和 SIEM 关联规则，检测 LSASS 访问、SAM 导出、NTDS.dit 窃取以及 comsvcs.dll MiniDump 滥用。它面向威胁狩猎、检测工程和 Security Audit 工作流。

deploying-active-directory-honeytokens 帮助防守者为安全审计工作规划并生成 Active Directory honeytokens，包括伪造特权账户、用于 Kerberoasting 检测的伪 SPN、诱饵 GPO 陷阱，以及欺骗性的 BloodHound 路径。它将偏安装导向的指导与脚本和遥测线索结合起来，便于实际部署与复盘。

containing-active-breach 是一项面向实时泄露遏制的事件响应技能。它通过结构化的 containing-active-breach 指南，并结合实用的 API 与脚本引用，帮助隔离主机、阻断可疑流量、禁用受影响账户，并减缓横向移动。

configuring-ldap-security-hardening 可帮助安全工程师和审计人员评估 LDAP 风险，包括匿名绑定、签名过弱、缺少 LDAPS 以及 channel binding 缺口。使用这份 configuring-ldap-security-hardening 指南，可以先查阅参考文档，再运行 Python 审计辅助脚本，并为 Security Audit 产出可落地的修复建议。

面向经授权的 Active Directory 安全审计工作的 conducting-domain-persistence-with-dcsync 指南。了解安装、使用和工作流说明，借助随附脚本、参考资料和报告模板，评估 DCSync 权限、KRBTGT 暴露、Golden Ticket 风险及修复步骤。

building-identity-governance-lifecycle-process 可用于设计身份治理与生命周期管理方案，覆盖 joiner-mover-leaver 自动化、访问审查、基于角色的权限配置，以及孤儿账号清理。它适合需要实用工作流指导、而不是通用策略草案的跨系统 Access Control 项目。

auditing-azure-active-directory-configuration 技能用于审查 Microsoft Entra ID 租户中的安全风险配置，包括高风险身份验证设置、管理员角色膨胀、陈旧账户、Conditional Access 缺口、来宾暴露面以及 MFA 覆盖情况。它面向 Security Audit 工作流设计，提供基于 Graph 的证据和可执行的实用建议。

analyzing-windows-event-logs-in-splunk skill 可帮助 SOC 分析师在 Splunk 中调查 Windows Security、System 和 Sysmon 日志，识别认证攻击、权限提升、持久化和横向移动。它适用于事件初判、检测工程和时间线分析，并提供映射好的 SPL 模式与 event ID 指引。

analyzing-active-directory-acl-abuse 帮助安全审计人员和事件响应人员使用 ldap3 检查 Active Directory 的 nTSecurityDescriptor 数据，识别如 GenericAll、WriteDACL 和 WriteOwner 这类针对用户、组、计算机和 OU 的滥用路径。