元智大學資訊管理學系
期末專業實習成果報告
實習心得與建議
工作內容
我們在長茂科技股份有限公司擔任實習軟體工程師期間,參與了 Active Directory(AD)安全性研究與攻擊鏈技術實作的專業訓練,深入探索企業內部網路架構中可能存在的安全風險,並實際操作多種常見的紅隊攻擊技術,包括帳號資訊蒐集、憑證竊取、權限提升、橫向移動與最終目標達成等完整攻擊流程。這過程不僅讓我們對 AD 架構的運作原理與權限設計有更全面的理解,也強化了我們從攻擊者視角思考企業資安防禦策略的能力。
在此基礎上,我們協助長茂科技建置模擬企業環境的 AD 測試場域,並配合公司既有之端點防護與存取控制產品(如 PC-SEC、TP-ACL、TP-CFA 等),設計並執行多種攻擊情境測試,觀察與記錄產品在不同攻擊階段的偵測與攔阻效果,並彙整為測試報告與改善建議,提供公司作為產品調校與後續研發之參考。
此外,在實習過程中我們也持續強化攻防工具的操作,並將這些能力實際應用於資安攻防實驗之中。透過理論與實作相結合的訓練,使我們在資訊安全領域的知識與實務技能更加紮實,對 Active Directory 的應用與攻防實務,以及長茂科技相關資安產品在企業環境中的實際運用,有了更深入且全面的理解。
陳思宥
本次實習經驗讓我在 Active Directory 的架構建置、使用者與群組的權限控管設計上有了更深入的理解。不僅如此,透過實作各種常見的攻擊手法,也我更能從攻擊者的視角去理解整個攻擊鏈(Attack Chain)中的每一個環節。
過去我在學習資安工具時,常常只是為了測試某個特定功能而單獨使用像是 Mimikatz、Impacket 等工具,但這次實習讓我首次以完整規劃的方式,將攻擊鏈中的各個階段串連起來,實際模擬從初始入侵到取得 Domain 控制權的完整流程,並且得以觀察防護軟體的防護機制在不同攻擊階段的偵測與攔阻效果。
儘管在實作過程中遇到許多挑戰,例如工具相容性、權限受限等問題,但透過查找資料、持續測試與調整策略,最終仍成功完成整體攻擊鏈的模擬,這帶給我極大的成就感與學習動力。
呂書晴
透過這次專業實習,我對 Active Directory 的架構與權限運作有了更深入的理解,尤其是在實作中實際操作了如 BloodHound、Mimikatz 等工具,並觀察每個提權階段所需的條件與潛在風險。過程中也遇到不少挑戰,例如環境架設失敗、指令錯誤等問題,但也因此熟悉了這些工具的使用,並學會如何將各個階段連貫起來,完成一條完整的攻擊路徑,透過查詢書籍與資料也學到更多,最後應用在測試長茂科技的軟體中。
這次實習不僅讓我更了解AD 攻擊流�程,也開始未來可以往哪個方向去做延伸的研究,整體而言,這次的實習對我來說是一個寶貴的學習經驗。