Question

Active Directory（AD）对象安全描述符是一个尚未开发的攻击环境，攻击者和防御者都经常忽略它们。尽管AD安全描述符错误配置可以提供许多有助于提升域权限的路径，但它们也为隐蔽部署Active Directory持久性提供了独特的机会。通常很难确定特定的AD安全描述符错误配置是故意设置的还是偶然实现的。

Active Directory（AD）对象安全描述符是一个尚未开发的攻击环境，攻击者和防御者都经常忽略它们。尽管AD安全描述符错误配置可以提供许多有助于提升域权限的路径，但它们也为隐蔽部署Active Directory持久性提供了独特的机会。通常很难确定特定的AD安全描述符错误配置是故意设置的还是偶然实现的。

随着人们对Golden1和Silver2 Kerberos票证的认识不断提高，行业开始意识到“无恶意软件”的持久性技术。也就是说，不涉及在系统上执行代码的持久性策略是为了保留将来对环境的访问。尽管Golden和Silver Kerberos票证攻击可以在环境中进行任何修改或提供代码执行的持久性，但存在另一种促进Active Directory持久性的途径。安全描述符持久性方法确实涉及对环境的某种类型的修改。但是，不需要执行代码，并且所做的更改通常会在操作系统和域功能级别升级后继续存在。这意味着Active Directory安全描述符的修改提供了一个极好的机会，可以以最小的痕迹在域中进行持久化。