一个高效提取和整合 AD 基础设施中数据的工具

一、项目概述

ADRecon 是一款面向Active Directory环境设计的开源审计工具，通过高效提取和整合AD基础设施中的各类数据，生成多维度的环境态势报告。该工具适用于安全审计人员、事件响应团队（DFIR）、渗透测试人员以及系统管理员等不同角色，为其提供快速获取AD环境全景视图的解决方案。

本工具支持从任意接入AD网络的Windows主机执行扫描操作，且无需域成员身份即可运行。创新性的低权限运行机制允许使用普通域用户账户执行核心功能模块，针对需要特权访问的特定功能（如细粒度密码策略解析、LAPS及BitLocker恢复密钥提取），则支持通过权限升级实现完整功能覆盖。

通过集成Microsoft Remote Server Administration Tools（RSAT）与LDAP协议的双模通信架构，ADRecon能够从域控制器获取包括用户体系、群组架构、设备信息、策略配置及权限结构在内的全要素数据，最终输出结构化的Microsoft Excel分析报告。报告内置的摘要视图与关键指标仪表盘，显著提升安全分析效率与决策支持质量。

二、核心功能

ADRecon构建了覆盖Active Directory全要素的检测矩阵，主要功能模块包括：

(1) 基础架构分析：

森林拓扑、域结构、信任关系图谱、站点配置、子网划分架构版本演进历史追踪

(2) 密码安全审计：

全局密码策略与细粒度密码策略（FGPP）比对分析密码属性深度检测（实验性模块）

(3) 域控制器检测：

域控制器清单、SMB协议版本及签名支持状态FSMO角色分布拓扑

(4) 身份体系扫描：

用户属性全量采集、服务主体名称（SPNs）枚举群组结构解析、成员关系图谱、组策略变更审计

(5) 策略配置审计：

组织单元（OU）架构解析、组策略对象（GPOs）全量提取GPO链接关系映射（依赖RSAT组件）

(6) 资产发现模块：

DNS区域记录解析、网络打印设备发现计算机资产画像构建、设备SPNs检测LAPS密码管理审计、BitLocker恢复密钥提取

(7) 安全态势评估：

全域对象访问控制列表审计（ACLs，含DACLs/SACLs，需手动激活）Kerberoast攻击面分析（需手动激活）特权服务账户检测（需域管理员权限，需手动激活）

模块化设计支持按需启用检测功能，默认运行策略自动规避高权限需求及高风险操作（如ACLs解析、Kerberoast分析），确保安全性与执行效率的最佳平衡。

三、安装与使用

1. 环境要求

操作系统：Windows平台（暂不支持Linux/macOS的PowerShell Core环境）

运行依赖：

.NET Framework 3.0+（Windows 7及以上版本原生集成）PowerShell 2.0+（建议升级至PowerShell 7.2.2版本）

可选组件：Microsoft Excel（xlsx报告生成，无Excel环境可通过CSV转换）

2. 部署流程

通过以下途径获取最新版本：

Git仓库克隆：

GitHub Releases页面下载预编译压缩包。

3. 操作指南

ADRecon支持多场景灵活调用：

(1) 域内主机标准扫描：

(2) 指定身份凭证扫描：

(3) 非域成员LDAP模式扫描：

(4) 定制化模块扫描：

(5) CSV数据报表生成：

执行完成后，工具自动生成时间戳命名的结果目录，内含Excel综合分析报告（ADRecon-Report.xlsx）及原始CSV数据集。

4. 高级参数

ADRecon提供精细化控制参数：

-Method：通信协议选择（ADWS/LDAP）-Collect：模块白名单配置（支持Forest/Users等23个模块）-OutputType：输出格式控制（CSV/XML/JSON/HTML/Excel）-DormantTimeSpan：休眠账户检测周期（默认90天）-Threads：并发处理线程配置（默认10线程）

四、截图

五、总结

ADRecon作为Active Directory安全分析领域的专业工具，凭借其全景式数据采集能力、智能化的报告生成机制以及创新的低权限运行模式，在网络安全防御体系中占据重要地位。该工具不仅适用于企业级AD环境的安全审计，更能为红队攻防演练提供关键情报支持。通过持续迭代的模块化设计和活跃的社区生态，ADRecon正在成为Active Directory安全分析领域的事实标准。

六、地址

https://github.com/adrecon/ADRecon