多因素认证覆盖盲区：凭据滥用攻击的隐蔽路径

组织通常部署多因素认证(MFA)后就认为被盗密码不再能够访问系统。但在Windows环境中，这种假设往往是错误的。攻击者每天仍在使用有效凭据入侵网络。问题不在于MFA本身，而在于覆盖范围。

通过Microsoft Entra ID、Okta或Google Workspace等身份提供商(IdP)实施的MFA，在云应用和联合登录方面表现良好。但许多Windows登录完全依赖于Active Directory(AD)身份验证路径，这些路径从不触发MFA提示。为了减少基于凭据的入侵，安全团队需要了解Windows身份验证在身份堆栈之外的发生位置。

Windows直接登录绕过云端MFA

当用户直接登录Windows工作站或服务器时，身份验证通常由AD(通过Kerberos或NTLM)处理，而不是云端IdP。

在混合环境中，即使Entra ID对云应用强制执行MFA，传统的Windows登录到域加入系统仍由本地域控制器验证。除非实施Windows Hello for Business、智能卡或其他集成MFA机制，否则该流程中没有附加因子。

如果攻击者获得用户密码(或NTLM哈希)，他们可以在不触发保护软件即服务应用或联合单点登录的MFA策略的情况下，对域加入机器进行身份验证。从域控制器的角度来看，这是标准身份验证请求。

像Specops Secure Access这样的工具是限制这些场景中凭据滥用风险的关键。通过对Windows登录以及VPN和远程桌面协议(RDP)连接强制执行MFA，此工具使攻击者更难获得对网络的未授权访问。这甚至扩展到离线登录，这些登录通过一次性密码身份验证得到保护。

远程桌面协议RDP成为主要攻击目标

RDP是Windows环境中最受攻击的访问方法之一。即使RDP未暴露给互联网，攻击者也经常在初始入侵后通过横向移动到达它。直接的RDP会话到服务器不会自动通过基于云的MFA控制，这意味着登录可能仅依赖于底层AD凭据。

NTLM协议的安全隐患

NTLM是一种传统身份验证协议，尽管为了支持更安全的Kerberos协议而被弃用，但出于兼容性原因仍然存在。它也是常见的攻击向量，因为它支持哈希传递等技术。

在哈希传递攻击中，攻击者不需要明文密码，而是使用NTLM哈希进行身份验证。如果系统接受哈希作为身份证明，MFA就无法提供帮助。

NTLM还可能出现在组织可能不会主动监控的内部身份验证流程中；只有事件或审核才会向安全团队暴露它。

Kerberos票据攻击技术

Kerberos是AD的主要身份验证协议。攻击者不是直接窃取密码，而是从内存中窃取Kerberos票据或在入侵特权账户后生成伪造票据。这启用了以下技术：

票据传递

黄金票据

白银票据

这些攻击允许长期访问和横向移动，还减少了重复登录的需要，从而降低了检测机会。即使在密码重置后，如果底层入侵没有完全解决，这些攻击仍可能持续存在。

本地管理员账户风险

组织仍然依赖本地管理员账户进行支持任务和系统恢复。如果本地管理员密码在端点间重复使用，攻击者可以将一次入侵升级为广泛访问。

本地管理员账户通常直接向端点进行身份验证，完全绕过MFA控制。Entra ID条件访问策略不适用。这是凭据转储在Windows环境中仍然如此有效的原因之一。

SMB文件共享协议的横向移动风险

SMB用于文件共享和对Windows资源的远程访问。一旦攻击者拥有有效凭据，它也是最可靠的横向移动路径之一。攻击者通常使用SMB访问管理共享(如C$)或使用有效凭据远程与系统交互。

如果SMB身份验证被视为内部流量，在此层很少强制执行MFA。如果攻击者拥有有效凭据，他们可以使用SMB在系统之间快速移动。

服务账户的长期威胁

服务账户存在是为了运行计划任务、应用程序、集成和系统服务。它们通常具有稳定的凭据、广泛的权限和较长的生命周期。

在许多组织中，服务账户密码不会过期且很少被监控。它们也很难用MFA保护，因为身份验证是自动化的。这些账户经常在无法支持现代身份验证控制的传统应用程序中使用。

这是攻击者在入侵早期针对帮助台凭据和端点管理访问的原因之一。

Windows身份验证防护策略

安全团队应将Windows身份验证视为独立的安全面。安全团队可以采取几个实际步骤来减少暴露：

强化密码策略

强密码策略应强制执行15个或更多字符的较长密码短语。密码短语对用户来说更容易记住，对攻击者来说更难破解。强策略还应防止密码重复使用并阻止攻击者可以猜测的弱模式。

阻止已泄露密码

凭据窃取并不总是暴力攻击的结果。数十亿密码已在泄露数据集中可供攻击者在凭据攻击中重复使用。在创建时阻止已泄露密码可以减少用户设置攻击者已经拥有的凭据的机会。

限制NTLM身份验证

在可能的情况下，组织应限制或消除NTLM身份验证。安全团队应设定目标：了解NTLM存在的位置，在可能的地方减少它，在无法移除的地方加强控制。

管理服务账户安全

将服务账户视为高风险身份。组织应盘点它们，减少不必要的权限，轮换凭据，并删除不再需要的账户。如果服务账户具有域级权限，组织应假设它将成为攻击目标。

强密码策略和对已知泄露凭据的主动检查是减少基于凭据攻击风险的两种最有效方法。Specops Password Policy通过应用超越Microsoft原生功能的灵活密码控制来提供帮助。

其泄露密码保护功能持续检查Active Directory密码与包含超过54亿个暴露凭据的数据库，如果发现用户密码存在风险，会快速警报您。如果您想了解Specops如何帮助您的组织，请咨询专家或预订演示以查看我们的解决方案。

Q&A

Q1：为什么部署MFA后Windows环境仍然存在凭据攻击？

A：问题在于MFA覆盖范围有限。MFA通过身份提供商对云应用有效，但Windows直接登录、RDP连接等仍依赖Active Directory身份验证，不会触发MFA提示。攻击者可以利用这些绕过路径进行未授权访问。

Q2：NTLM和Kerberos协议存在哪些安全风险？

A：NTLM支持哈希传递攻击，攻击者无需明文密码即可使用NTLM哈希进行身份验证。Kerberos面临票据传递、黄金票据、白银票据等攻击，攻击者可窃取或伪造票据实现长期访问和横向移动。

Q3：如何有效防护Windows环境的凭据滥用攻击？

A：建议采取四项措施：实施15字符以上的强密码策略；部署泄露密码检测阻止已知弱密码；限制或消除NTLM身份验证；将服务账户视为高风险身份进行专门管理，包括权限控制和凭据轮换。