Active Directory 密码重置未能驱逐攻击者

执行摘要

密码重置，对疑似Active Directory（AD）被入侵的标准第一反应，并不能可靠地移除攻击者。根据Specops Software在2026年5月11日发布的技术分析，缓存的凭证哈希、未过期的Kerberos票据和持久的ACL修改允许对手在用户密码更改后长时间保持访问权限。在混合Entra ID环境中，同步延迟可能会使旧密码在几分钟内仍然有效。已经建立了替代立足点的攻击者——例如伪造的Golden或Silver Tickets、被入侵的服务账户或修改过的AdminSDHolder ACLs——仅通过密码更改是不受任何影响的。

技术分析

Specops识别出密码重置后可能存在的三种不同状态：

1. 缓存凭证持久性。 Windows会将密码哈希缓存在本地以供离线登录使用。如果设备在重置后没有重新连接到域控制器，旧哈希仍然可用。攻击者可以通过哈希传递攻击来利用这一点，其中哈希本身在没有明文密码的情况下进行身份验证。

2. Kerberos票据生命周期。 AD认证依赖于Kerberos票据，这些票据在可配置的时间段内（通常TGTs为10小时）有效。持有有效票据的攻击者可以继续访问资源而无需重新输入凭据。重置密码不会使已发行的票据失效；只有显式注销、重启或清除票据才能实现这一点。

3. 混合同步延迟。 在通过Azure AD Connect将AD同步到Entra ID的环境中，新的密码哈希可能不会立即传播。在同步间隔期间，旧密码仍然有效，可用于身份验证云资源，这可能持续几分钟。

除了这些时间差距，还有四种攻击技术完全绕过了密码重置：

• Golden Ticket攻击。 入侵Kerberos票据授权票据（KRBTGT）账户哈希允许伪造任何用户的有效的TGTs。密码重置不会使伪造的票据失效。
• Silver Ticket攻击。 伪造的服务票据授予对特定资源的访问权限，而无需联系域控制器。同样，密码更改没有效果。
• 服务账户持久性。 服务账户通常具有长寿命、高权限的密码，这些密码很少轮换。攻击者可以通过Kerberoasting或横向移动提取这些密码，并在用户账户重置后用作后备。
• ACL后门。 修改访问控制列表的攻击者——例如，授予被入侵账户重置其他用户密码的权利——创建了持久的权限。对AdminSDHolder对象的修改由SDProp每小时重新应用，使它们特别有韧性。

缓解措施与建议

防御者应该将密码重置视为更广泛事件响应过程中的一个步骤。Specops推荐：

• 强制会话失效。 在密码重置后，要求用户注销并重启，或使用klist purge清除Kerberos票据。在混合环境中，手动触发Entra ID同步以最小化同步间隔。
• 两次轮换KRBTGT密码。 为了使现有的Golden和Silver Tickets失效，必须两次重置KRBTGT账户密码（在重置之间进行复制）。这迫使重新发行所有Kerberos票据。
• 审计AdminSDHolder和特权ACLs。 定期审查AdminSDHolder对象和特权组的ACLs，以检测未经授权的修改。
• 实施带有本地缓存更新的自助密码重置。 Specops uReset结合Specops Client，可以在执行重置的设备上立即更新本地缓存的凭证存储，减少哈希传递攻击的窗口。
• 监控异常认证。 跟踪密码重置后的Kerberos TGT请求、服务票据使用情况和登录事件，以检测攻击者持续的活动。