Active Directory 的行屍走肉：被禁用帳號引出的隱藏域提權鏈

在企業資訊安全防禦中，IT 管理員通常認為「禁用帳號」（Disabled Account）是安全的，因為該帳號無法直接登入系統。然而，在 Active Directory (AD) 複雜的存取控制列表（ACL）架構下，一個被禁用的高權限帳號若未被徹底清理，極可能成為攻擊者提權的「行屍走肉」。近期一項真實滲透測試案例揭示了攻擊者如何利用被禁用帳號的殘留權限與不當的 ACL 配置，建構出一條通往 Domain Admin 的隱藏攻擊鏈。(Freebuf)

權限的陰影：為什麼禁用帳號依然危險？

當企業員工（特別是 IT 管理員）離職時，標準流程通常是「禁用帳號」而非立即「刪除帳號」，以保留稽核軌跡或避免破壞特定服務的依賴關係。然而，AD 中的對象權限（Permissions）與帳號的啟用狀態（Enabled/Disabled）是分離的。即便帳號無法登入，其他使用者對該帳號對象所擁有的存取權限依然有效。

在特定的環境配置中，如果一般用戶組（如 Domain Users）對某個曾具有高權限的禁用帳號擁有 GenericWrite 或 WriteDacl 權限，攻擊者就能以此為跳板。這種情況常見於 IT 部門進行權限調整後，忽略了 AdminSDHolder 機制以外的對象繼承，或是為了維護方便而將某些權限賦予了 Pre-Windows 2000 Compatible Access 等大範圍組別。(Freebuf, 九世的博客)

攻擊場景分析：從 Lazarus 到 Domain Admin

假設一個名為「Lazarus」的帳號曾是域管理員，雖然目前已被禁用且移出了管理員組，但由於歷史遺留問題，Domain Users 組對該帳號對象仍保有 GenericWrite 權限。以下是攻擊者利用此漏洞的完整路徑：

• 偵察階段： 攻擊者使用 BloodHound 等工具分析域內 ACL 關係，發現目前控制的普通帳號對已禁用的 Lazarus 帳號具有寫入權限。
• 權限篡改： 由於擁有 GenericWrite，攻擊者可以修改 Lazarus 帳號的屬性。雖然帳號是禁用的，但攻擊者可以修改其 ServicePrincipalName (SPN) 或其他關鍵屬性。
• 影子帳號激活： 攻擊者可以嘗試重新啟用該帳號（若擁有 Account Operators 權限或特定的屬性修改權限），或者更隱蔽地利用 Kerberos 委派（Delegation）配置。
• Kerberoasting 攻擊： 若攻擊者能為該帳號設置 SPN，即可發起 Kerberoasting 攻擊，請求該帳號的服務票據並在線下破解其密碼。即使帳號被禁用，只要其密碼未過期且擁有 SPN，KDC 仍可能發放票據。(長亭百川云)

技術核心：ACL 與 ACE 的安全威脅

Active Directory 的安全性高度依賴存取控制列表（ACL）。每個 AD 對象都有一個安全描述符（Security Descriptor），其中包含自主存取控制列表（DACL）。DACL 由多個存取控制項（ACE）組成，定義了誰可以對該對象執行什麼操作。(九世的博客)

當 GenericWrite 權限被賦予普通用戶時，這意味著：

1. 修改目標帳號的密碼（若同時具備 ResetPassword 權限）。
2. 修改目標帳號的 UserAccountControl 屬性（例如移除禁用標誌）。
3. 修改腳本路徑（ScriptPath）以執行惡意登入腳本。
4. 配置資源委派，進而接管與該帳號相關聯的電腦或服務。

防禦建議與緩解措施

要防止此類「行屍走肉」般的提權鏈，企業 IT 與資安團隊應採取以下措施：

• 徹底清理離職帳號： 禁用帳號僅是第一步。對於曾擁有高權限的帳號，應在一段觀察期後將其徹底刪除，或移動到一個完全隔離、不繼承任何權限的組織單位（OU）。
• 監控 AdminCount 屬性： 任何 adminCount 為 1 的對象都應受到嚴格監控。即便權限被移除，也要確保其 DACL 不會意外繼承來自低權限組的寫入權限。
• 定期稽核 ACL： 使用工具（如 BloodHound, PingCastle）定期掃描域內的危險權限配置，特別是針對 GenericAll, GenericWrite, WriteDacl 以及 WriteOwner 等高風險權限。
• 強化密碼策略與預認證： 確保所有帳號都啟用了 Kerberos 預認證，防止 ASREPRoasting，並對服務帳號實施強密碼策略以抵禦 Kerberoasting。(長亭百川云)
• 最小權限原則： 避免將 Pre-Windows 2000 Compatible Access 或 Authenticated Users 加入到具有敏感對象修改權限的組中。

結論

Active Directory 的安全性不僅在於誰是管理員，更在於誰「可以變成」管理員。被禁用的帳號如果留有權限後門，就像是埋在內網中的定時炸彈。資安工程師應從 ACL 層面重新審視帳號生命週期管理，確保每一個失效的身份都得到妥善的「安葬」，而非在陰影中被攻擊者喚醒。

MITRE ATT&CK 對應

• T1098 – Account Manipulation（帳號篡改）
• T1558.003 – Steal or Forge Kerberos Tickets: Kerberoasting（Kerberos 票據竊取）
• T1222.001 – Permissions Modification: Active Directory Object Permissions（AD 對象權限修改）
• T1078 – Valid Accounts（有效帳號利用）

參考資料與原文來源

• 🔗 原文來源: Active Directory 的行尸走肉：被禁用账号引出的隐藏域提权链 – Freebuf
• 🔗 原文來源: AD域里的ACL攻防 – 九世的博客
• 🔗 原文來源: 域渗透：《Kerberos（2）：攻击方式》 | 长亭百川云
• 🔗 原文來源: 在Windows Server 中管理用户帐户 – Microsoft Learn

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。