Certipy项目实战：深入探讨ESC8问题检测中的判断差异与Kerberos转发技术

背景概述

在Active Directory证书服务(ADCS)安全评估中，ESC8问题（认证转发问题）是红队测试中的关键路径。然而在实际测试环境中，安全工程师常会遇到看似存在问题却无法成功验证的情况。本文将基于Certipy工具的实际测试案例，探讨ESC8问题验证中的常见差异，并深入探讨Kerberos转发技术的替代方案。

ESC8问题验证的典型差异

目标服务器配置差异

测试初期容易遇到的关键差异是将转发目标错误指向域控制器(DC)而非ADCS证书颁发机构(CA)服务器。正确的目标应该是运行证书服务的主机，通常可通过以下特征识别：

• 主机名包含CA或CERT字样
• 运行了CertSvc服务
• 开放了HTTP证书注册接口(通常为80端口)

认证协议配置不同

当出现"认证质询未返回"提示时，往往表明目标服务器已进行安全加固，其Windows认证配置为"协商:Kerberos"模式。这种配置下：

1. 服务器优先协商Kerberos认证
2. 主动拒绝其他认证请求
3. 导致传统的认证转发技术失效

Kerberos转发技术详解

技术原理调整

当传统转发不可行时，安全研究人员可采用Kerberos转发技术：

1. 利用Kerberos协议的特性进行认证传递
2. 通过服务票据(ST)获取目标服务访问权限
3. 结合约束委派等特性提升权限

技术实现要点

实施Kerberos转发需注意：

1. 需要预先获取有效的TGT票据
2. 依赖SPN（服务主体名称）的正确配置
3. 需要处理Kerberos协议的时间同步要求

安全建议

针对ESC8的防护措施

1. 在ADCS服务器上禁用其他认证方式
2. 启用EPA（扩展认证保护）
3. 限制证书模板的注册权限

对抗Kerberos转发

1. 启用S4U2Self保护
2. 配置敏感的"不允许委派"属性
3. 实施严格的SPN管理策略

总结

通过Certipy工具进行ADCS安全测试时，安全人员需要准确理解不同认证协议的技术特点。当遇到ESC8问题判断差异情况时，应当考虑目标系统可能已采用Kerberos优先的认证策略，此时需要转向Kerberos转发技术方案。同时，防护方也应采取分层安全策略，既防范传统转发也防范Kerberos滥用。