活动目录哨兵：守护你的网络安全

---

项目简介

活动目录哨兵（Active Directory Canaries）是一个用于检测活动目录枚举或侦察技术的防御工具。它基于SpecterOps研究人员Andy Robins和Will Schroeder在2017年提出的DACL后门概念，从其白皮书《An ACE Up The Sleeve》中获取灵感。本项目提供了一个自动化部署所需AD对象的PowerShell脚本。

技术剖析

该项目利用了审计访问控制列表（SACL），当进行AD枚举行为时，如尝试访问任何哨兵对象，会触发Directory Service Object Access : Failure审计事件，生成4662安全日志事件。通过这种方式，活动目录哨兵可以有效地监控潜在的恶意活动。

应用场景

• 网络安全监测：在关键网络环境中部署哨兵以检测未经授权的AD枚举操作。
• 系统健康检查：定期查看是否有异常的4662事件，以评估系统的安全状态。
• 安全训练与教育：模拟攻击行为，帮助员工了解如何识别和应对威胁。

项目特点

1. 自动化部署：通过提供的PowerShell脚本，实现快速且安全的部署，减少了手动操作带来的风险。
2. 可定制化：允许用户自定义配置文件，适应不同的环境需求。
3. 多类型支持：不仅可以监视普通用户和计算机，还可以针对域名策略、证书模板等不同类型的AD对象设置哨兵。
4. 安全隔离：部署的对象具有防护属性，防止意外删除，并对所有人设置明确的拒绝权限，增强安全性。
5. 审计功能：与审计日志紧密集成，方便分析与排查。

部署说明

请注意，部署需要域管理员权限，并涉及向生产环境添加新AD对象。在实际部署前，强烈建议先审查代码并在测试环境中进行验证。

使用指南

部署过程分为几个步骤：

1. 生成配置文件：使用-Populate参数创建配置文件，指定父OU、所有者组名以及容器名称。
2. 部署哨兵：使用-Deploy参数，配合JSON配置文件和输出CSV路径部署哨兵。
3. 还原部署：使用-Revert参数，依据JSON配置文件移除已部署的哨兵。
4. 审计现有SACL：使用-AuditSACLs参数检查环境中已有对象的审计设置。

该项目还提供了详细的博客文章和演示视频，以便于理解和操作。

总结而言，活动目录哨兵是一个强大的安全工具，能够有效加强组织的主动防御，保护敏感的AD资源免受非法访问。立即加入，为你的网络安全增添一道防线！