Locksmith项目发布v2025.5.26版本：增强ADCS安全检测能力

Locksmith是一个专注于Active Directory证书服务(ADCS)安全评估的PowerShell工具集。该项目由安全研究人员Jake Hildreth主导开发，旨在帮助安全团队检测和防御ADCS环境中存在的各类安全风险。在最新发布的v2025.5.26版本中，Locksmith新增了多项关键安全检测功能，显著提升了工具在ADCS安全评估方面的能力。

新增安全检测功能

本次版本更新最引人注目的是新增了三种关键ADCS安全风险的检测能力：

1. ESC7攻击检测：ESC7是指攻击者滥用证书颁发机构(CA)服务器上的"ManageCA"和"ManageCertificates"权限，通过这些高权限操作可以签发任意证书或篡改现有证书。Locksmith现在可以识别环境中存在此类风险的配置。

2. ESC16问题检测：ESC16涉及ADCS Web注册接口中的安全缺陷，攻击者可能利用这些缺陷进行NTLM中继攻击或获取未授权证书。新版本增加了针对这类Web接口风险的自动化检测。

3. ESC9风险识别：ESC9与证书模板配置中的"NoSecurityExtension"标志相关，该标志会禁用证书的安全扩展检查，可能导致证书滥用。Locksmith现在可以扫描并标记存在此类问题的证书模板。

检测能力优化

除了新增检测项外，本次更新还对现有功能进行了多项改进：

• 风险评级优化：重新调整了各类ADCS安全风险的评级标准，使风险评估结果更加准确反映实际威胁程度。

• 错误处理增强：特别改进了Get-CAHostObject和Find-ESC7等核心脚本的错误处理机制，提升了工具在复杂环境中的稳定性和可靠性。

• 检测逻辑完善：对现有检测算法进行了优化，减少了误报和漏报的可能性。

技术实现特点

Locksmith采用PowerShell实现，具有以下技术特点：

1. 轻量级部署：工具以压缩包形式发布，解压即可使用，无需复杂安装过程。

2. 模块化设计：各安全检测项以独立脚本实现，便于功能扩展和维护。

3. 自动化扫描：支持对整个ADCS环境的自动化安全评估，显著提高审计效率。

4. 清晰报告：检测结果以结构化格式输出，便于安全团队分析和跟进。

应用场景建议

Locksmith特别适用于以下场景：

1. 红队评估：安全团队在攻防演练中快速识别ADCS环境中的安全弱点。

2. 蓝队防御：企业安全人员定期检查ADCS配置，确保符合安全基线。

3. 渗透测试：专业安全服务人员在客户环境中执行ADCS专项安全评估。

4. 安全审计：合规团队验证ADCS配置是否符合行业安全标准。

使用建议

对于初次使用Locksmith的安全团队，建议：

1. 在测试环境中先行验证，熟悉工具的输出和检测逻辑。

2. 将扫描结果与企业现有的风险管理流程整合。

3. 定期执行扫描，特别是在ADCS配置变更后。

4. 结合其他AD安全工具使用，获得更全面的安全态势视图。

最新版本的Locksmith进一步巩固了其在ADCS安全评估领域的专业地位，为防御日益增多的ADCS相关攻击提供了有力工具。安全团队应当关注这些新增的检测能力，及时将其纳入日常安全运维流程中。