文章总结： ADPulse是一款针对ActiveDirectory的开源安全审计工具，通过LDAP执行35项自动化检查，涵盖Kerberos攻击面、ADCS滥用路径及特权账号等核心风险。该工具无需管理员权限即可生成评分报告，适合企业安全人员与渗透测试人员快速发现域内配置缺陷。文章介绍了其功能与局限性，建议将其作为初步风险评估的辅助工具并注意报告保密。 综合评分： 87 文章分类： 安全工具,内网渗透,渗透测试,安全建设

ADPulse — 35项安全检查，一键扫描你的AD域

原创

工具党 工具党

幻泉之洲

2026年3月6日 20:28 北京

ADPulse是一款针对Active Directory的开源安全审计工具，通过LDAP连接执行35项自动化检查，生成详细的分析报告。它能帮你快速找出AD域中的配置错误和潜在的攻击风险。

01 这是什么工具？

如果你负责企业内AD域的安全，或者想做渗透测试，ADPulse是个能省下你大量时间的帮手。它是一个纯读取性的安全扫描器，说白了就是用你给的普通域账号权限，把AD域里那些常见的、可能被攻击者利用的配置问题都给你捋一遍，最后交出一份清晰的“体检报告”。

它的工作方式很直接：连接到域控制器、跑35个预设检查、然后输出报告。整个过程不需要管理员权限，对生产环境可以说是非常友好了，不会对域造成任何修改。

项目作者还附赠了一个 test_environment.ps1 脚本，如果你想在自家虚拟机里搭个有问题的域环境来练手，直接用它就行。

02 这35项检查都查些什么？

ADPulse的检查清单很全，基本覆盖了常见的AD安全痛点。

• 密码策略：

  强度够不够，有没有用可逆加密这种低级错误。

• 特权账号：

  哪些人在Domain Admins这类高危组里，他们的密码是不是一直不换，账号是不是久未登录。

• Kerberos相关：

  有没有容易“烤”的账号（Kerberoastable/AS-REP roastable），有没有还在用DES这种弱加密。

• 委派安全：

  无约束委派、约束委派里有没有高风险配置。

• AD证书服务：

  从ESC1到ESC15这些经典的ADCS滥用路径，它都帮你检查。

• 账户卫生：

  长期不用的僵尸账号、重复的服务主体名称SPN。

• 协议安全：

  LDAP签名和通道绑定开了没有，域里还有没有老旧的Windows系统。

• 组策略：

  失效的、没人用的、空白的GPO，数量是不是太多。

• LAPS：

  本地管理员密码管理方案用上了没，覆盖了多少电脑。

• 权限相关：

  重点查DCSync权限是否被滥放，还有ESC4、5、7这些基于ACL的攻击路径。

这还没完，其他像保存在描述字段里的明文密码、存在SYSVOL里的组策略偏好密码、管理员SDHolder的ACL问题、SID历史记录注入、影子凭证，它都能查。就连Exchange相关的高危组、RC4弱加密、来自外部域的“间谍”账号、甚至域对象上的基于资源的约束委派配置，它都考虑到了。

说实话，这份检查清单比很多商业工具都细致。

03 怎么跑起来？

用之前你得准备好Python 3.8以上的环境，以及一个能正常访问域控制器的网络。大部分检查只要求域账号有读取权限。

ldap3>=2.9 colorama>=0.4.6 dnspython>=2.4.0 pycryptodome weasyprint

装好依赖，就能开扫了。最基础的用法就是提供域名、用户名和密码：

python ADPulse.py –domain corp.local –user jsmith –password ‘P@ssw0rd!’

默认情况下，它会自动通过DNS解析域控制器地址，然后把三种格式的报告（控制台、JSON、HTML）都生成到本地的 Reports/ 文件夹里。

如果自动解析不行，或者你想指定某台DC来扫，用 --dc-ip 参数：

python ADPulse.py –domain corp.local –user jsmith –password ‘P@ssw0rd!’ –dc-ip 10.0.0.1

报告格式也可以自由组合。比如你只想要个HTML报告带回去慢慢看：

python ADPulse.py –domain corp.local –user jsmith –password ‘P@ssw0rd!’ –report html

04 报告怎么看？

工具最大的价值在报告里。ADPulse打了分，让你对域的安全状况有个直观认识。

| 总分 | 风险等级 | 意思 | | — | — | — | | 80–100 | 低风险 | 还行，只有些小毛病。 | | 60–79 | 中风险 | 有些明显弱点，该修了。 | | 40–59 | 高风险 | 存在显著漏洞。 | | 0–39 | 严重风险 | 问题不小，赶紧处理！ |

这个分数是怎么来的？初始分是100分，每发现一个问题就扣掉相应的风险分，最后算个总分。报告形式有三种：

• 控制台输出：

  带颜色高亮，关键问题一目了然。

• JSON文件：

  机器可读，方便你塞到SIEM（安全信息和事件管理）或者自己的报表系统里。

• HTML报告：

  自带深色主题，支持折叠展开。里面有严重性标签、数据统计卡，还有ADCS证书模板的清单，阅读体验很好。

05 你得知道它的局限性

没有完美的工具，ADPulse也一样，有些事它做不到。

它只负责发现问题，不负责解决问题。

所有操作都是只读的，它不会动你的AD对象、组策略或者权限。

具体的技术限制有这么几条：

• 有些安全设置是写在注册表里的（比如NTLMv1、WDigest、LDAP签名的具体级别），通过LDAP读不到。ADPulse会把这类问题标为“需要人工核实”。
• 它不深入解析GPO策略文件的具体内容（除了专门查找密码的那个检查）。
• 检查组策略偏好密码时，扫描主机必须能访问SYSVOL共享。Linux或macOS上可能需要先用Samba挂载。
• 关于ADCS ESC8的检查，它需要能网络连通到证书颁发机构的web注册页面才能判断。
• SMB探测（检查SMBv1、签名等）可能会被防火墙拦截，导致漏报。
• 工具会报告所有的影子凭证。这其中有些是合法的Windows Hello for Business部署留下的，需要你人工去分辨哪些是攻击者留下的。
• 对于超大型域，LDAP查询默认最多返回10000条结果，可能需要调整。

工具生成的报告里可能包含账户名、组成员关系、甚至解密出来的GPP密码等敏感信息。一定要把报告当成机密文件，安全存放。

06 总结一下，谁适合用？

如果你是企业内部的IT管理员或安全人员，想定期给自家AD域做个快速“体检”；或者是渗透测试人员，需要在对客户环境进行授权测试时，快速定位AD安全弱点，ADPulse都是一个非常高效的选择。

它的优势在于开源免费、检查项全面、报告直观，并且对生产环境友好。它的限制也很明确，所以更适合作为初步风险评估和持续监控的辅助工具，而不是一个万能的安全解决方案。

获取方式：回复“ADPulse”获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 工具党 工具党《ADPulse — 35项安全检查，一键扫描你的AD域》