一、項(xiàng)目概述

ADRecon 是一款面向Active Directory環(huán)境設(shè)計(jì)的開源審計(jì)工具，通過高效提取和整合AD基礎(chǔ)設(shè)施中的各類數(shù)據(jù)，生成多維度的環(huán)境態(tài)勢報(bào)告。該工具適用于安全審計(jì)人員、事件響應(yīng)團(tuán)隊(duì)（DFIR）、滲透測試人員以及系統(tǒng)管理員等不同角色，為其提供快速獲取AD環(huán)境全景視圖的解決方案。

本工具支持從任意接入AD網(wǎng)絡(luò)的Windows主機(jī)執(zhí)行掃描操作，且無需域成員身份即可運(yùn)行。創(chuàng)新性的低權(quán)限運(yùn)行機(jī)制允許使用普通域用戶賬戶執(zhí)行核心功能模塊，針對需要特權(quán)訪問的特定功能（如細(xì)粒度密碼策略解析、LAPS及BitLocker恢復(fù)密鑰提?。瑒t支持通過權(quán)限升級實(shí)現(xiàn)完整功能覆蓋。

通過集成Microsoft Remote Server Administration Tools（RSAT）與LDAP協(xié)議的雙模通信架構(gòu)，ADRecon能夠從域控制器獲取包括用戶體系、群組架構(gòu)、設(shè)備信息、策略配置及權(quán)限結(jié)構(gòu)在內(nèi)的全要素?cái)?shù)據(jù)，最終輸出結(jié)構(gòu)化的Microsoft Excel分析報(bào)告。報(bào)告內(nèi)置的摘要視圖與關(guān)鍵指標(biāo)儀表盤，顯著提升安全分析效率與決策支持質(zhì)量。

二、核心功能

ADRecon構(gòu)建了覆蓋Active Directory全要素的檢測矩陣，主要功能模塊包括：

(1) 基礎(chǔ)架構(gòu)分析：

• 森林拓?fù)?、域結(jié)構(gòu)、信任關(guān)系圖譜、站點(diǎn)配置、子網(wǎng)劃分
• 架構(gòu)版本演進(jìn)歷史追蹤

(2) 密碼安全審計(jì)：

• 全局密碼策略與細(xì)粒度密碼策略（FGPP）比對分析
• 密碼屬性深度檢測（實(shí)驗(yàn)性模塊）

(3) 域控制器檢測：

• 域控制器清單、SMB協(xié)議版本及簽名支持狀態(tài)
• FSMO角色分布拓?fù)?/li>

(4) 身份體系掃描：

• 用戶屬性全量采集、服務(wù)主體名稱（SPNs）枚舉
• 群組結(jié)構(gòu)解析、成員關(guān)系圖譜、組策略變更審計(jì)

(5) 策略配置審計(jì)：

• 組織單元（OU）架構(gòu)解析、組策略對象（GPOs）全量提取
• GPO鏈接關(guān)系映射（依賴RSAT組件）

(6) 資產(chǎn)發(fā)現(xiàn)模塊：

• DNS區(qū)域記錄解析、網(wǎng)絡(luò)打印設(shè)備發(fā)現(xiàn)
• 計(jì)算機(jī)資產(chǎn)畫像構(gòu)建、設(shè)備SPNs檢測
• LAPS密碼管理審計(jì)、BitLocker恢復(fù)密鑰提取

(7) 安全態(tài)勢評估：

• 全域?qū)ο笤L問控制列表審計(jì)（ACLs，含DACLs/SACLs，需手動激活）
• Kerberoast攻擊面分析（需手動激活）
• 特權(quán)服務(wù)賬戶檢測（需域管理員權(quán)限，需手動激活）

模塊化設(shè)計(jì)支持按需啟用檢測功能，默認(rèn)運(yùn)行策略自動規(guī)避高權(quán)限需求及高風(fēng)險(xiǎn)操作（如ACLs解析、Kerberoast分析），確保安全性與執(zhí)行效率的最佳平衡。

三、安裝與使用

1. 環(huán)境要求

操作系統(tǒng)：Windows平臺（暫不支持Linux/macOS的PowerShell Core環(huán)境）

運(yùn)行依賴：

• .NET Framework 3.0+（Windows 7及以上版本原生集成）
• PowerShell 2.0+（建議升級至PowerShell 7.2.2版本）

可選組件：Microsoft Excel（xlsx報(bào)告生成，無Excel環(huán)境可通過CSV轉(zhuǎn)換）

2. 部署流程

通過以下途徑獲取最新版本：

Git倉庫克?。?/p>

git clone https://github.com/adrecon/ADRecon.git

GitHub Releases頁面下載預(yù)編譯壓縮包。

3. 操作指南

ADRecon支持多場景靈活調(diào)用：

(1) 域內(nèi)主機(jī)標(biāo)準(zhǔn)掃描：

.\ADRecon.ps1

(2) 指定身份憑證掃描：

.\ADRecon.ps1 -DomainController <IP/FQDN> -Credential <Domain\User>

(3) 非域成員LDAP模式掃描：

.\ADRecon.ps1 -Method LDAP -DomainController <IP/FQDN> -Credential <Domain\User>

(4) 定制化模塊掃描：

.\ADRecon.ps1 -Method ADWS -DomainController <IP/FQDN> -Credential <Domain\User> -Collect Domain,DomainControllers

(5) CSV數(shù)據(jù)報(bào)表生成：

.\ADRecon.ps1 -GenExcel C:\ADRecon-Report-<Timestamp>

執(zhí)行完成后，工具自動生成時(shí)間戳命名的結(jié)果目錄，內(nèi)含Excel綜合分析報(bào)告（ADRecon-Report.xlsx）及原始CSV數(shù)據(jù)集。

4. 高級參數(shù)

ADRecon提供精細(xì)化控制參數(shù)：

• -Method：通信協(xié)議選擇（ADWS/LDAP）
• -Collect：模塊白名單配置（支持Forest/Users等23個(gè)模塊）
• -OutputType：輸出格式控制（CSV/XML/JSON/HTML/Excel）
• -DormantTimeSpan：休眠賬戶檢測周期（默認(rèn)90天）
• -Threads：并發(fā)處理線程配置（默認(rèn)10線程）

四、截圖

五、總結(jié)

ADRecon作為Active Directory安全分析領(lǐng)域的專業(yè)工具，憑借其全景式數(shù)據(jù)采集能力、智能化的報(bào)告生成機(jī)制以及創(chuàng)新的低權(quán)限運(yùn)行模式，在網(wǎng)絡(luò)安全防御體系中占據(jù)重要地位。該工具不僅適用于企業(yè)級AD環(huán)境的安全審計(jì)，更能為紅隊(duì)攻防演練提供關(guān)鍵情報(bào)支持。通過持續(xù)迭代的模塊化設(shè)計(jì)和活躍的社區(qū)生態(tài)，ADRecon正在成為Active Directory安全分析領(lǐng)域的事實(shí)標(biāo)準(zhǔn)。

六、地址

https://github.com/adrecon/ADRecon