1. 下列何項工具可以用來盤點 Windows Server Active Directory(AD)的關連性及權限設定，發現 AD 的潛在威脅，既可被紅隊成員拿來規劃內網檢測方向，也可以被藍 隊成員用來規劃 AD 資安強化措施？
(A) BloodHound
(B) Snort
(C) OpenVAS
(D) Nmap

這題的正確答案是 (A) BloodHound。

這是一道典型的資訊安全檢測工具辨識題，特別著重於 Active Directory (AD) 環境中的權限路徑分析。以下是各選項的詳細分析與說明：

正確選項說明

• (A) BloodHound

  • 原因：BloodHound 是一款強大的開源工具，它利用圖論（Graph Theory）來視覺化 AD 環境中的關連性。

  • 功能：它能自動盤點使用者、群組、電腦及權限（如：誰具有特定主機的 Local Admin、誰能 Reset 誰的密碼）。

  • 紅隊應用：攻擊者可以用它找出通往「網域管理員 (Domain Admin)」的最短路徑（Attack Path）。

  • 藍隊應用：防禦者可以用它發現「過大權限」或「危險的委派設定」，進而修補漏洞，強化 AD 資安。

其他選項錯誤原因

• (B) Snort

  • 說明：Snort 是一款開源的 網路入侵偵測與防禦系統 (IDS/IPS)。

  • 功能：主要用於即時監控網路流量，根據特徵碼（Signatures）偵測惡意攻擊或異常封包。它無法盤點 AD 內部的權限邏輯或關連性。

• (C) OpenVAS

  • 說明：OpenVAS (Open Vulnerability Assessment System) 是完整的漏洞掃描器（現在多稱為 Greenbone Vulnerability Management）。

  • 功能：用於掃描主機上的作業系統、服務或軟體是否存在已知的安全漏洞（CVE），而非專門分析 AD 權限路徑的圖狀關係。

• (D) Nmap

  • 說明：Nmap (Network Mapper) 是一款網路發現與埠口掃描工具。

  • 功能：主要用於掃描網路中有哪些主機在線上（Host Discovery）、開放了哪些埠口（Port Scanning）以及執行的服務版本（Service Detection）。雖然有腳本（NSE）可以做簡單的 AD 列舉，但無法達到 BloodHound 那種深層的權限關連分析。

總結比較表