盡管微軟持續實施防護措施，Windows認證強制攻擊在2025年仍對企業Active Directory（活動目錄）環境構成重大風險。這類復雜攻擊使僅具備最低權限的威脅行為者能夠獲取Windows工作站和服務器的管理員權限，可能在初始滲透后數小時內危及整個企業網絡。

利用核心Windows服務的攻擊技術

根據RedTeam Pentesting博客報告，認證強制攻擊利用多個遠程過程調用（RPC）接口，迫使Windows計算機向攻擊者控制的系統進行認證。最突出的技術包括MS-RPRN（打印機漏洞）、MS-EFSR（PetitPotam）、MS-DFSNM（DFS強制）和MS-WSP（WSP強制）。這些方法通過合法的Windows服務強制計算機賬戶建立可被截獲并中繼至高價值目標的連接。

MS-RPRN接口原本用于打印機管理，但由于在除Windows Server Core安裝外的大多數工作站和服務器上都可用，仍然特別危險。流行的攻擊工具如ntlmrelayx.py的最新修改已適應微軟的防護措施，研究人員通過實現RPC服務器功能，即使在傳統SMB和HTTP向量被阻止時也能保持攻擊有效性。

MS-EFSR技術在Windows Server 2022 23H2中通過按需服務激活得到部分緩解，但仍可通過創新方法被利用。安全研究人員已開發出自動化工具如NetExec efsr_spray模塊，該模塊通過嘗試在可訪問的SMB共享（包括打印機隊列）上創建加密文件來激活易受攻擊的服務。

微軟升級中的安全缺口

微軟已實施多項防護機制，包括認證擴展保護（EPA）、LDAP通道綁定和增強的SMB簽名要求。Windows Server 2022 23H2默認啟用了LDAP通道綁定，而Windows Server 2025則啟用EPA并禁用未加密的AD CS Web注冊API。此外，Windows 11 24H2現在要求工作站啟用SMB簽名，標志著微軟安全態勢的重大轉變。

然而，這些防護主要影響全新安裝，升級后的系統仍保留舊有配置而存在漏洞。基于HTTP的強制攻擊所需的WebClient服務仍是一個關鍵漏洞向量，因為該服務可通過在可訪問共享上放置.searchConnector-ms文件的技術從外部激活。

認證強制攻擊持續有效的原因在于其針對計算機賬戶的能力，這些賬戶通過S4U2Self濫用和基于資源的約束委派（RBCD）具有強大的模擬能力。當成功針對域控制器計算機賬戶執行時，這些攻擊可授予DCSync權限，通過提取所有用戶憑證實現完全域入侵。

企業防御面臨的挑戰

隨著Kerberos中繼攻擊與強制技術共同演進，企業防御者面臨特殊挑戰。隨著微軟逐步淘汰NTLM認證，這類攻擊將變得日益重要。在多樣化的Windows環境中正確配置所有必要防護的復雜性意味著許多組織仍易受這些攻擊向量的影響。

安全專家強調，在所有Windows服務中全面實施簽名要求和通道綁定之前，認證強制攻擊將始終是企業網絡面臨的重大威脅，需要全球IT安全團隊立即關注。