这是一本全面覆盖“本地+云”混合域环境攻防的实战指南，帮助安全从业者和企业构建更强大、完善的防御能力，使其更从容地应对复杂多变的安全场景与挑战。 本书由微软全球最有价值专家与360安全专家倾力打造，结合大量AD及Microsoft Entra ID（原Azure AD）攻防案例，从攻防两端视角设计了一整套域攻防实战链条：以混合域攻防实战为主线，基于ATT/CK框架模型，系统解析AD域和Microsoft Entra ID在攻防各阶段涉及的技术原理、攻击手段、典型漏洞以及防御策略。 全书内容丰富翔实、讲解深入透彻，覆盖信息收集、AD权限获取、域信任、Kerberos域委派、ACL后门、ADCS攻防、Microsoft Entra ID攻防等核心技术，配合大量实例。既能帮助从业者理解域攻防本质，掌握实际攻击手段，做到知己知彼；又能助力企业以攻促防，构建更坚实的安全防线。 本书适合各层次的网络安全从业者阅读，无论是技术初学者还是安全团队管理者，都能从中获得深刻启发与实践指导。

序一
序二
赞誉
前言
第1章 AD域及Microsoft Entra ID
1.1 AD域基础
1.1.1 核心概念
1.1.2 组策略
1.1.3 LDAP
1.1.4 SPN
1.1.5 Kerberos
1.2 Microsoft Entra ID基础
1.2.1 核心概念
1.2.2 Microsoft Entra内置角色
第2章 AD域及Microsoft Entra ID分析
2.1 AD域配置管理工具SCCM详解
2.1.1 SCCM介绍
2.1.2 利用SCCM进行信息枚举
2.1.3 利用SCCM进行横向移动
2.1.4 利用SCCM进行凭据窃取
2.1.5 利用SCCMHunter进行SCCM分析
2.1.6 利用MalSCCM进行SCCM分析
2.1.7 利用SharpSCCM进行SCCM分析
2.2 本地AD域分析
2.2.1 利用BloodHound进行AD域分析
2.2.2 利用AdFind进行AD域分析
2.2.3 利用AD Explorer进行AD域分析
2.2.4 利用SharpADWS进行AD域分析
2.2.5 利用SOAPHound进行AD域分析
2.3 Microsoft Entra ID分析
2.3.1 Microsoft Entra ID分析工具AzureHound详解
2.3.2 使用Azure AD PowerShell进行信息枚举
2.3.3 使用Azure PowerShell进行信息枚举
2.3.4 使用Azure CLI进行信息枚举
第3章 获取AD域权限
3.1 域用户密码策略
3.1.1 常见密码策略
3.1.2 获取密码策略的手段
3.1.3 域用户密码策略解析
3.1.4 查找被禁用用户
3.2 利用Kerberos协议进行密码喷洒
3.2.1 使用ADPwdSpray.py进行域密码喷洒
3.2.2 利用dsacls进行密码喷洒
3.2.3 检测利用Kerberos协议实施的密码喷洒
3.3 Microsoft Entra ID密码喷洒
3.3.1 Microsoft Entra ID密码策略
3.3.2 通过MSOnline PowerShell获取密码策略
3.3.3 使用MSOLSpray对Azure AD租户进行密码喷洒
3.3.4 使用Go365对Microsoft 365用户进行密码喷洒
3.3.5 防御Microsoft Entra ID密码喷洒
3.4 利用LDAP破解账户密码
3.4.1 使用DomainPasswordSpray通过LDAP进行密码喷洒
3.4.2 域外Linux环境中通过LDAP爆破用户密码
3.4.3 检测利用LDAP实施的密码爆破
3.5 AS-REP Roasting离线密码破解
3.5.1 错误配置导致AS-REP Roasting攻击
3.5.2 检测AS-REP Roasting攻击
3.5.3 防御AS-REP Roasting攻击
3.6 Kerberoasting离线密码破解
3.6.1 Kerberoasting攻击原理
3.6.2 Kerberoasting攻击流程
3.6.3 实验环境配置
3.6.4 获取访问指定服务的票据
3.6.5 转换不同格式的票据
3.6.6 离线破解本地票据
3.6.7 Kerberoasting后门
3.6.8 Kerberoasting攻击的检测及防御
3.7 FAST
3.7.1 FAST配置
3.7.2 绕过FAST保护
3.7.3 未经预身份验证的Kerberoasting
3.8 域环境中控制指定用户
3.9 特殊机器账户：Windows 2000之前的计算机
3.10 CVE-2020-1472（ZeroLogon）漏洞利用
3.10.1 检测目标域控ZeroLogon漏洞
3.10.2 域内Windows环境中使用Mimikatz执行ZeroLogon攻击
3.10.3 域外执行ZeroLogon攻击
3.10.4 恢复域控机器账户密码
3.10.5 检测ZeroLogon攻击
3.10.6 防御ZeroLogon攻击
第4章 域信任
4.1 域信任基础
4.1.1 域信任原理
4.1.2 TDO
4.1.3 GC
4.2 多域与单域Kerberos认证的区别
4.3 林内域信任中的Kerberos通信
4.4 林间域信任中的Kerberos通信
4.5 信任技术
4.5.1 域信任类型
4.5.2 域信任路径
4.5.3 林内域信任攻击
4.5.4 林间域信任攻击
第5章 Kerberos域委派
5.1 无约束委派
5.1.1 无约束委派原理
5.1.2 查询无约束委派
5.1.3 配置无约束委派账户
5.1.4 利用无约束委派和Spooler打印机服务获取域控权限
5.1.5 防御无约束委派攻击
5.2 约束委派
5.3 基于资源的约束委派
5.4 绕过委派限制
5.4.1 手动添加SPN绕过委派限制
5.4.2 CVE-2020-17049（Kerberos Bronze Bit）漏洞利用
第6章 ACL后门
6.1 在AD中滥用ACL/ACE
6.2 利用GenericAll权限添加后门
6.3 利用WriteProperty权限添加后门
6.4 利用WriteDacl权限添加后门
6.5 利用WriteOwner权限添加后门
6.6 利用GenericWrite权限添加后门
6.7 通过强制更改密码设置后门
6.8 通过GPO错配设置后门
6.9 SPN后门
6.10 利用Exchange的ACL设置后门
6.11 利用Shadow Admin账户设置后门
第7章 AD CS攻防
7.1 AD CS基础
7.1.1 证书服务的应用场景和分类
7.1.2 证书模板和注册
7.1.3 获取CA信息
7.2 AD CS的常用攻击与防御手法
7.2.1 ESC1：配置错误的证书模板
7.2.2 ESC2：配置错误的证书模板
7.2.3 ESC3：错配证书请求代理模板
7.2.4 ESC4：证书模板