Active Directory（AD）自 Windows 2000 推出以來，已成為企業身份管理的核心，支援全球 90% 的組織認證與存取控制。然而，隨著使用超過 25 年，AD 成為攻擊者的首要目標，一旦被攻陷，企業將面臨重大風險。

傳統防禦措施如密碼複雜度、定期更換、MFA 及備份，已無法有效阻止憑證型攻擊。攻擊者利用外洩密碼直接登入，繞過 MFA，並在短時間內取得高權限。合規要求（NIST、HIPAA、CJIS、CMMC）已明確要求強化身份防護與持續監控。報告指出，僅依賴恢復策略不足，必須採取「持續憑證防禦」：在密碼建立時檢測、持續比對外洩資料、自動修復，並結合 ITDR 與 Zero Trust，才能降低風險、確保合規，並維持企業營運安全。

1. 背景與現況

• Active Directory（AD） 已成為企業身份管理的核心超過 25 年，支援全球 90% 的組織認證。
• 問題：AD 是攻擊者的首要目標，一旦被攻陷，攻擊者就掌握「企業的鑰匙」。
• 傳統防禦不足：

―  密碼複雜度與定期更換無法防止使用已洩漏的密碼。

―  MFA（多因素驗證）雖必要，但仍可被繞過（SIM 交換、釣魚、疲勞攻擊）。

―  備份策略僅屬於事後恢復，無法阻止攻擊發生。

2. AD 的主要風險

• 憑證型攻擊：攻擊者利用洩漏的帳號密碼直接登入，而非「破解」。
• 密碼重複使用：企業帳號與個人帳號共用密碼，增加暴露風險。
• 技術債與遺留帳號：多年累積的舊設定、服務帳號、弱密碼，成為攻擊入口。
• 合規壓力：NIST、HIPAA、CJIS、CMMC 等標準要求密碼檢測與持續防護。

3. 傳統防禦的限制

• 密碼策略：僅強制複雜度與定期更換，無法防止已洩漏密碼。
• MFA：若密碼已洩漏，MFA成為唯一防線，且可被攻擊繞過。
• 備份恢復：屬於被動措施，攻擊成功後才啟動，且過程緩慢、成本高。

4. 現代防護新趨勢

• 身份即新邊界：攻擊者不需零日漏洞，只需合法憑證。
• ITDR（Identity Threat Detection & Response）：持續監控、快速偵測與修復。
• Zero Trust：不僅登入時驗證，需持續驗證憑證安全性。
• 持續監控：每日新增的外洩憑證與暗網資料，使年度密碼重設無效。

5. Enzoic 的六大防護設計

• 密碼建立時檢測：阻擋已洩漏或弱密碼。
• 持續監控帳號：即時比對最新外洩資料。
• 自動修復：發現洩漏密碼時強制更換。
• 合規支援：符合 NIST、CJIS、CMMC、HIPAA 等要求。
• 降低運維負擔：減少大規模重設與服務中斷。
• 快速部署：輕量化 AD 插件，無需額外基礎架構。

6. 結論

• AD 不會消失，但必須現代化防護。
• 持續憑證防禦是最有效且高 ROI 的策略。
• 攻擊者自動化憑證竊取與販售，企業必須採取主動防禦。

資料來源：Enzoic, A Quarter Century of Active Directory, Credential-based attacks demand continuous protection inside AD