coff0xc-identity-zero-trust

<!-- skill-id: cs-izt-5b0a7d2e -->

快速规则（日常任务先读这里）

[身份图先行] 先明确主体、组、角色、策略、会话、设备、服务账号和信任路径。 [证据门禁] 结论绑定配置、日志、策略、BloodHound/图路径或代码调用点。 [修复优先] 给最小权限、MFA/session、分段访问、审计和回滚建议。 [硬边界] IAM/AD 写入、账号禁用、密钥轮换、生产权限调整和横向验证先确认。

普通身份/零信任评估按本节先推进；只有真实目录变更、演练或跨环境治理时再展开完整工作流。

能力定位

面向身份、访问控制、AD/Kerberos、IAM 和零信任治理的权限风险评估能力。它帮助回答“谁能访问什么、为什么、风险在哪里、如何收敛”。

能交付什么

• 身份/权限风险清单和路径说明
• MFA/SSO/session/device posture 评估
• AD/Kerberos/IAM 横向移动和特权账号防御建议
• 最小权限、PAM、条件访问和审计验证计划

可以接收什么输入

• IAM policy、AD/BloodHound 输出、SSO/MFA 配置
• 账号/角色/组/权限矩阵、登录日志、访问异常
• Zero Trust 策略、设备姿态、session policy

放心使用的边界

• 默认做授权环境的只读分析和防御建议
• 凭证获取、hash dump、未授权横向移动或提权步骤不提供
• 生产身份策略修改、账号禁用、密钥轮换必须先确认
• 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。

为什么可以放心

• 把身份、设备、会话、资源和审计链路一起看
• 区分配置弱点和实际可达路径
• 输出收敛顺序和验证方法

典型使用方式

使用 coff0xc-identity-zero-trust 评估这个 AD 域的 Kerberos、BloodHound 路径和服务账号风险。
使用 coff0xc-identity-zero-trust 梳理谁能访问什么，并给最小权限收敛方案。
Use coff0xc-identity-zero-trust to review IAM, SSO, MFA, and privileged account exposure.

目标

从身份、设备、网络、应用和数据访问路径评估权限风险，输出检测、最小权限和零信任改进方案。

适用场景

• 审查 AD、Kerberos、云 IAM、SSO/MFA、PAM、服务账号、权限委派和访问路径。
• 基于 BloodHound/目录导出/审计日志做防御性路径分析。
• 设计零信任控制、条件访问、凭证治理、最小权限和横向移动检测。

触发强化

• 自动触发主要依赖本文件 frontmatter 的 description；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 description。
• 如果没有自动触发，手动写：使用 coff0xc-identity-zero-trust ...。
• 如果用户只写了宽泛主题，可先用 coff0xc-skill-router 路由到本 skill。

不适用场景

• 不提供凭证窃取、hash 提取、票据伪造、绕过 MFA、真实提权或横向移动步骤。
• 不在生产目录、租户或终端上运行修改命令，除非明确授权。
• 真实用户隐私和凭据数据必须脱敏。

执行原则

• 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。
• 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。
• 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。
• 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。
• 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。
• 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。

安全边界

• 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。
• 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。
• 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。
• 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。
• 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。

能力矩阵

能力域	覆盖范围	执行要点
身份治理	用户、组、角色、服务账号、特权账号、生命周期、JML	权限有 owner 和理由。
认证强度	MFA、SSO、conditional access、device posture、session policy	高风险路径有强认证。
授权模型	RBAC、ABAC、tenant boundary、delegation、admin roles	最小权限和分权。
AD/Kerberos	GPO、SPN、delegation、trust、ACL、tiering、adminSDHolder	防御路径分析。
凭证风险	硬编码、共享账号、长期 token、弱存储、轮换、审计	不暴露秘密值。
横向移动防御	远程管理、共享、RDP/WinRM/SSH、日志覆盖、网络分段	检测和阻断建议。
零信任	身份、设备、应用、数据、网络、持续评估	控制矩阵和成熟度路线。

子域路由

来源 skill	并入后的处理方式
identity-security	IAM/SSO/MFA/PAM/身份治理。
zero-trust	零信任架构、控制矩阵和成熟度路线。
ad-pentest	AD/Kerberos 防御性路径分析和加固。
credential-access	凭证暴露检测、轮换和日志审计。
privilege-escalation	提权路径防御、权限边界和最小权限。
lateral-movement	横向移动检测、分段和远程访问控制。

工作流

阶段	动作	完成标准
范围与数据	确认目录/租户、数据导出、日志、工具结果和授权。	数据来源合法。
资产建模	列身份、角色、系统、数据、管理通道和 trust relationship。	访问图清晰。
路径分析	寻找高权限路径、弱认证、过度委派、长期凭证和日志盲区。	风险有证据。
控制映射	映射 MFA、PAM、分段、JIT/JEA、审计、检测和响应。	知道缺什么控制。
修复计划	按权限降级、轮换、策略、分段、检测和培训排序。	能分阶段执行。
验证	权限查询、策略模拟、日志命中、访问失败/成功路径验证。	风险降低可证明。

证据等级

• 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。
• 高可信：多个可靠来源一致，但当前环境没有完整复现。
• 推断：基于已验证事实的合理判断，需要后续验证。
• 未验证：尚未确认，不能作为最终结论。
• 未知：资料不足，需要补充输入或授权。

硬门禁

• 目录修改、禁用账号、轮换凭据、策略下发、权限收敛前必须确认业务影响。
• 不要输出真实用户密码、hash、token、cookie 或可滥用票据。
• BloodHound 或日志中的个人身份信息要最小化引用。

验证清单

• 权限：前后角色/ACL/策略 diff。
• 认证：MFA/conditional access 命中日志。
• 检测：关键事件 ID、SIEM 查询和样例。
• 零信任：控制矩阵完成度和残余风险。

反模式

• 只列攻击路径，不给业务可接受的修复顺序。
• 把所有账号一刀切禁用或强制轮换。
• 忽略服务账号和自动化任务影响。
• 没有日志验证就认为控制生效。

合并来源

• ad-pentest
• credential-access
• identity-security
• lateral-movement
• privilege-escalation
• zero-trust

本机相近 Skill

• source-command-ad-pentest
• source-command-privesc
• zeroize-audit

输出合同

完成：
- ...

证据：
- [已验证/高可信/推断/未验证/未知] ...

行动：
- ...

验证：
- ...

剩余风险：
- ...

下一步：
- ...