回归最本质的信息安全

;

如何发现Active Directory中的隐身管理员账户(一)

2017年12月29日发布

38,718
0
0

导语:今天我想谈谈一个非常有趣的话题,即如何识别/扫描/发现在Active Directory中的隐身管理员。

今天我想谈谈一个非常有趣的话题,即如何识别/扫描/发现在Active Directory中的隐身管理员。这篇文章不是如何识别和阻止活动目录中隐藏的持久性后门的第二部分 ,这篇文章的后续内容我会尽快更新。

Active Directory中的隐身管理员

最近,很多人正在关注什么样的账户被称为“ Active Directory中的隐身管理员 ” !

image.png

值得一提的是,这个隐身管理员的概念是“ 活动目录中隐藏的持久性后门 ”这个概念的延伸。这几年来,我一直在努力帮助世界各地的企业或组织认识到Active Directory的部署中存在危及企业或组织的网络安全的很多过度/未经授权的权限(即安全权限)的安全风险。

为了表明这个事实,我使用了所有正确的术语,无论是“有效的权限”,“有效的访问”,“委托访问”,“特权升级路径”等,但我怀疑世界上大多数企业或组织都我知道我的深意。

对于刚刚接触Active Directory安全领域的一些新成员,由于他们刚开始抓住Active Directory安全的表面,他们可能会惊讶地发现在Active Directory(活动目录安全)中有更多的管理访问目录而不仅仅是默认的Active Directory管理组的成员(例如域管理员等),也许是因为他们可能不熟悉Active Directory中的“ 管理委派 ” 的概念(或者他们可能没有读过我在2004年写了关于微软的这个主题的一分多达400页的白皮书),他们开始将这个东西称为“ Active Directory中的隐身管理员 ”,突然之间,全世界就开始了解这个东西了!

事实上,任何将这些授权管理帐户称为“隐身管理员”的人,仅仅是向全其他人展示他们实际上似乎对Active Directory安全主题的了解有多少! 这就是为什么如果你真正了解Active Directory的安全性,那么你可能知道它最强大的功能就是—— 管理委派。

如果你这样做,那么你无疑知道有很多人在Active Directory中具有不同级别的管理员/特权访问权限,而不仅仅是Active Directory中默认的管理员组的成员。

具体来说,可能存在Active Directory中的管理员(可能能够在默认管理帐户和用户组上执行各种管理任务以及在Active Directory中的其他位置)的事实(除了Active Directory中的默认管理组的成员)对于那些了解Active Directory安全的人来说,这一点毫不奇怪 。

事实上,这个“ 在Active Directory中的隐身管理员“不当名词变得如此流行仅仅表明,不仅那些谈论它的人,而且那些拥抱它的人似乎对Active Directory安全知之甚少,这是非常令人担忧的。

我可以向你保证,如果你要问一些最了解Active Directory和Active Directory安全人员,如Stuart Kwan,Joe Richards,Guido Grillenmeier,Micky Balladelli,Jan De Clerq,Andreas Luther和其他许多人,他们都会同意我的观点,并且嘲笑“活动目录中的隐身管理员”是由这个主题的一些新成员介绍的。

可能的起源

活动目录已经存在了将近二十年,在全球数千个企业或组织中,成千上万的IT人员已经授权了管理权限,例如密码重置,组成员变更,帐户创建和删除等管理任务,事实上,今天可能存在数百万个人,他们在全球的Active Directory部署中拥有不同级别的委派管理访问权限!

换句话说,大多数企业或组织都非常熟悉Active Directory中委派访问的概念!

如果是这样的话,那么必须再次思考这个滑稽的短语“AD中的隐身管理员 ”来自哪里?

image.png

最有可能的答案

在过去几年中,网络安全方面的重点大幅度增加,从而也取得了在Windows环境中获得特权的方式,并且大量传统的“网络安全”黑客和网络安全专业人员似乎终于认识到,基于Windows Server的IT基础架构的网络安全的核心在于活动目录,所以他们已经开始研究活动目录的安全性,并且非常感兴趣,当你从外部进入这个主题时,而不是从内向外(也就是你先从最早的时代开始)),那当然,管理委派的整个概念是你可能没有意识到的东西,当然,当你意识到有很多在AD中更多的是管理访问而不是默认管理组的成员,那么你可能会认为间接访问是“ 隐身访问 ”,而实际上对那些熟悉这个主题的人来说,就是Active Directory Security 101!

简而言之,如果你对这个主题感兴趣,你可能会有点惊讶,实际上(很多人)在Active Directory中拥有管理员/特权访问权,而不仅仅是Active Directory中的默认的管理员组的成员,这些给你看起来可能是“ 隐身管理员!

不管你怎么称呼它,事实上,在世界上几乎所有的Active Directory部署中,有更多的人在Active Directory中具有不同级别的管理访问权限,而不仅仅是默认管理组的成员,不仅需要准确识别出所有在Active Directory中拥有这种访问权限的人,而且如果确定了他们拥有的访问级别相当于无限制的特权访问,那么他们必须被正确地分类为“特权用户”活动目录。”做这件事是势在必行的。

image.png

例如,考虑域管理员组。很可能在一个企业或组织中,只有少数人是Active Directory中这个特权访问组的成员。然而,仅仅考虑该企业或组织的成员资格是不够的。还必须准确地确定究竟有多少人(以及他们是谁)可以制定能够更改域管理员组成员的管理任务。之所以这么重要,实际上是最重要的,是因为任何可以改变这个用户组成员的人都可以添加其他任何人到这个组和/或从这个组中删除任何现有的成员!

同样,考虑Active Directory中的默认管理员帐户,或者有关Active Directory中任何和每个特权用户的域用户帐户。企业或组织必须始终知道谁可以制定能够重置这些域用户帐户中的每一个的密码的管理任务。这个原因也非常重要,而且事实上最重要的是,因为任何人都可以重置这些帐户中的任何一个的密码,可以立即使用该帐户进行登录,当然,如果他/她可以这样做,那么他/她现在就拥有了的整个网络的权限!

事实上,不仅仅是组成员更改和密码重置,可以用于在ActiveDirectory中获得管理/特权访问。任何能够修改所有权或保护大量的直接和间接的活动目录管理帐户和组以及特定对象的权限的任何一个任务的人要想成为Active Directory中的高权限用户也只是一步之遥,因此必须被认为是同样的特权。

在接下来的几天中,我将介绍一下Active Directory中可以执行的各种管理任务,来获取/升级Active Directory中的特权访问。本文将成为本系列文章的第二部分。如果你需要马上知道其他的内容,你可以阅读这个文章。

问题的关键

有些人虽然对这个主题有所了解,但至少已经意识到,那些能够执行诸如密码重置、组成员更改等管理任务的人实际上也拥有与ActiveDirectory中的特权访问相当的权限。

有些人还声称提供免费的工具,可以帮助企业识别“在Active Directory中的隐身管理员“。

作为微软Active Directory安全程序的前任经理,我几乎保持了高度的信心,这些人也可能误认为“在活动目录中谁拥有着什么样的权限”“谁在Active Directory中拥有有效权限“的典型错误,因而他们的工具 (就像这个工具和Bloodhound)也很有可能非常的不准确的,因此,可能会提供极为不完整或不准确的数据,而这些数据可能会危及依赖该数据的任何企业或组织的安全。

为了帮助所有这些人,请允许我分享能够准确地确定谁可以在Active Directory中执行哪些管理任务的知识,其关键在于能够准确地确定ActiveDirectory中的有效权限/有效访问

image.png

让我再重复一遍 – 识别Active Directory中的特权用户的关键在于Active Directory的有效权限。 例如,考虑保护Active Directory中的域用户帐户的ACL。仅仅因为在授予安全组的Active Directory对象的ACL中存在一个ACE(称为X组),用户John Doe可能属于该用户组,那么基于可以说“ Allow Group X Reset Password”这个权限,并不意味着该特定用户John Doe实际上可以重置该账户的密码,因为可能很容易出现一个或多个ACE,例如"Deny Group Y All Extended Rights”,如果John Doe也直接或间接地是Y组的成员,那么这可能会有效地否定第一个ACE授予的访问权限。

我认为这可能是因为最终这一切都取决于许多因素,比如开始时是哪一个ACE在本质上是明确的,哪一个是继承的,哪一个允许访问,哪一个拒绝访问,它们允许/拒绝的权限的组合,它们是否实际上适用于对象等等。此外,在这个(以及每个)Active Directory对象的ACL中,可以很容易地包含数百个ACE,并且每个ACE都有可能会影响到彼此授予/拒绝的访问权限。

那些知道这个主题的人都知道,我上面分享的是一个超级简化的Active Directory有效权限的例子,所以也许我应该分享一些有用的案例来帮助说明这些权限之间微妙而深刻的差异。

下面是一些推荐的阅读,以帮助理解“ 谁在Active Directory中具有什么权限 ”和“ 谁在Active Directory中具有什么样的有效权限 ” 之间的微妙但深刻的区别- Active Directory有效权限
至于如何在Active Directory中真正发现隐身的管理员,请阅读本系列文章的后续内容。

本文翻译自:http://www.active-directory-security.com/2017/11/how-to-discover-stealthy-admins-in-active-directory.html ,如若转载,请注明原文地址: http://www.4hou.com/technology/9485.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论