微软发布了针对 Kerberos 继电器攻击的缓解措施 媒体

• 2025-11-13 19:45:21

微软发布关于抵御新特权升级攻击的建议

关键要点

微软近期在ZDNet上报告指出，Windows域管理员获得了更有效防御系统的相关建议，特别是针对Kerberos Relay攻击，这种攻击允许恶意行为者获取系统权限。攻击者们通过利用由渗透测试人员Mor Davidovich开发的KrbRelayUp工具中的资源基础限制委托方法，伪装成管理员，进而以受损设备的系统账户执行代码。根据微软的说法，涉及本地Azure Active Directory域控制器及Azure AD的混合身份环境在Kerberos Relay攻击中最为脆弱，而仅依靠Azure AD的组织相对安全。

“在一个拥有多个文件服务器且都信任同一个web服务器进行委托的组织中，管理员需要在所有不同的文件服务器上更改msDSAllowedToDelegateTo优先级，以引入第二个web服务器。而资源基础的委托方式则将受信计算机的列表保存在接收方。因此，在我们的例子中，只有新创建的服务器需要更改设置。”微软表示。

如何加强防御措施

为了帮助组织更好地抵御这些攻击，微软建议域管理员考虑以下策略：

通过采取这些措施，组织将能降低遭受Kerberos Relay攻击的风险，并保护其系统和数据的安全。对于每个IT管理员来说，了解其系统环境的脆弱之处是至关重要的，这样可以有效地预防潜在的安全威胁。