本文講的是<b>域滲透測試需要了解的域管理權限</b>,Active Directory除了域管理者組之外還有多個不同級别的管理權限。在之前的一篇文章中,我探讨了:“ 提升Active Directory安全性之保護域控制器 ”,在這篇文章中探讨了如何更好地提升域控制器安全性和擴充Active Directory。有關Active Directory的特定權限和權限的更多資訊,請檢視我的博文“ 掃描Active Directory特權和特權帳戶”。
這篇文章主要提供了有關Active Directory通常被管理的方式以及相關的角色和權限的資訊。
· Domain Admins是大多數人在讨論Active Directory管理時都會提到的AD組。該組在所有加入的域的伺服器和工作站,域控制器和Active Directory上均預設擁有完整的管理者權限。它在加入域的計算機上獲得管理者權限,因為這些系統加入AD後,Domain Admins組将添加到計算機的Administrators組。
· Enterprise Admins 是林根域中的一個組,對AD林中的每個域都擁有完整的AD權限。通過在林中的每個域中的Administrators組的成員資格授予此權限。
· AD域中的Administrators,是在Active Directory和域控制器中具有預設的管理者權限的組,并提供了這些權限,域管理者組和企業管理者組,以及任何其他成員的組。
· Schema Admins是林根域中的一個組,可以修改Active Directory林的模式。
由于管理者組是提供AD和域控制器完整權限的域使用者組,是以監視該組的成員資格(包括所有嵌套的組)非常重要。Active Directory PowerShell cmdlet“Get-ADGroupMember”可以提供組成員的身份資訊。
Active Directory中的預設組通常具有廣泛的權限 – 比我們通常所需要的更多。是以,我們不建議使用這些組進行授權。在可能的情況下,執行自定義委托以確定遵循最小權限的原則。以下組應該添加一個“DC”字首,因為該範圍預設适用于域控制器。此外,他們具有對域控制器的更高的控制權限,應該被有效地視為域控制器管理者。
· 備份操作員 被授予在域控制器(通過預設域控制器政策GPO配置設定)上登入,關閉和執行備份/恢複操作的功能。此組不能直接修改AD管理組,盡管關聯的權限提供了更新到AD管理者的路徑。備份操作員能夠安排可能提供更新路徑的任務。他們還可以清除域控制器上的事件日志。
· 列印操作員被授予在域控制器上管理列印機和加載/解除安裝裝置驅動程式以及管理Active Directory中的列印機對象的功能。預設情況下,該組可以登入到域控制器并關閉它們。該組不能直接修改AD管理組。
· 伺服器操作員被授予在域控制器(通過預設域控制器政策GPO配置設定)上登入,關閉和執行備份/恢複操作的功能。此組不能直接修改AD管理組,盡管關聯的權限提供了更新到AD管理者的路徑。
在較小的擴充範圍内,我們還将遠端桌面使用者組合并到了此類别中。
· 遠端桌面使用者是一個旨在為使用者提供輕松的遠端通路系統的域使用者組。在許多AD域中,該組被添加到預設域控制器政策GPO中的“通過終端服務允許登入”,為DC提供了潛在的遠端登入功能。
我們還看到,以下内容通過GPO連結很多次的被配置到了域控制器OU:
· 遠端桌面使用者:通過連結到域控制器OU的組政策授予“允許通過終端服務登入”。
· 伺服器操作員:授予“允許通過終端服務登入”,通過連結到域控制器OU的組政策。
· 伺服器操作員:通過GPO授予“作為批處理作業登入”,提供排程任務的能力。
檢視連結到域和域控制器OU的GPO,并確定GPO進行了合适的設定。
我們經常發現伺服器GPO也連結到了域控制器OU,并且将“伺服器管理者”組添加到了本地管理者組。由于域控制器沒有“本地”管理者組,是以DC通過添加伺服器管理者來更新域管理者組。此方案對伺服器管理者和Active Directory管理者的所有成員都有效。
應該審查任何授予了域控制器登入本地權限的組/帳戶。
伺服器操作員和備份操作員對域控制器具有更高的控制權限,應該被重點監視。Active Directory PowerShell cmdlet“Get-ADGroupMember”可以提供組成員身份的資訊。
具有更高權限的其他預設組:
· Account Operators 有權修改域中的帳戶群組。還可以預設登入到域控制器(通過預設域控制器政策GPO配置設定)。該組不能直接修改AD管理組,盡管關聯的權限提供了更新到AD管理者的路徑。
DNSAdmin具有對Microsoft Active Directory DNS的管理通路權限,通常可以登入到域控制器。
請注意,在預設情況下,DNSAdmins組的成員能夠在域控制器上運作DLL,該DLL可以向域管理者權限提供特權更新:https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83
· Group Policy Creator Owners 可以在域中建立,修改和删除組政策。
通過“預設的域控制器政策”的組政策應用授予域控制器上的組和帳戶的大多數權限。這些通常在執行Active Directory安全評估時審查的“使用者權限配置設定”部分中定義,因為這對于具有DC權限的使用者通常非常有啟發性。預設域控制器政策中的設定多年來已從Windows 2000更改為現在的新版本。請注意,如果你使用Windows 2000或2003伺服器更新Active Directory,則此政策仍将包含這些原始的設定,即使運作了Windows Server 2016(假設沒有人更改政策設定)。
敏感的域控制器使用者權限配置設定:
· 允許本地登入
o 此政策設定确定了哪些使用者可以在計算機上啟動互動式會話。使用者必須具有通過在基于Windows的成員計算機或域控制器上運作的遠端桌面服務或終端服務會話登入的權限。
注意:
沒有此權限的使用者仍然可以在計算機上啟動遠端互動式會話(如果啟用了通過遠端桌面服務登入的話)。
· 備份檔案和目錄
o 此使用者權限确定了哪些使用者可以繞過檔案和目錄,系統資料庫和其他持久對象權限,來執行系統備份。該使用者權限僅在應用程式通過NTBackup.EXE等備份工具嘗試通過NTFS備份應用程式程式設計接口(API)進行通路時才有效。否則,适用于标準檔案和目錄權限。
此使用者權限類似于向系統上所有檔案和檔案夾上選擇的使用者或組授予以下權限:
工作站和伺服器上的預設值:
域控制器上的預設值:
· 允許計算機和使用者帳戶被委托進行授權
o 此政策設定确定了哪些使用者可以在使用者或計算機對象上設定受信任的委派設定。安全帳戶委派提供連接配接到多個伺服器的能力,每個伺服器更改保留原始用戶端的身份驗證憑據。認證授權是用戶端和伺服器應用程式在多層次時使用的功能。它允許面向公衆的服務使用用戶端憑據來對應用程式或資料庫服務進行身份驗證。為了能夠進行配置,用戶端和伺服器必須在可信任委托的帳戶下運作。隻有具有啟用計算機和使用者帳戶才能被委托授權憑據的管理者才能設定委派。域管理者和企業管理者具有此憑證。允許使用者信任授權的過程取決于域的功能級别。獲得此權限的使用者或計算機對象必須具有對帳戶控制标志的寫入權限。在委托信任的計算機(或使用者上下文)下運作的伺服器程序可以使用用戶端的委派憑據通路另一台計算機上的資源。但是,用戶端帳戶必須具有對該對象上的帳戶控制标志的寫入權限。
· 從遠端系統強制關機
o 該安全設定确定了哪些使用者被允許從網絡上的遠端位置關閉計算機。這允許管理者組或特定使用者的成員從遠端位置管理計算機(用于重新啟動的任務)。
· 作為批處理作業登入
o 此政策設定通過使用類似任務計劃程式服務之類的批處理隊列工具來确定哪些帳戶可以登入。當管理者使用“添加計劃任務向導”将任務計劃為以特定使用者名和密碼運作時,該使用者将被自動配置設定為作為批處理作業使用者權限進行登入。當預定時間到達時,任務計劃程式服務将以使用者身份作為批處理作業而不是作為互動式使用者登入,任務在使用者的安全上下文中運作。
· 作為服務登入
o 此政策設定确定了哪些服務帳戶可以将流程注冊為服務。在服務帳戶下運作流程可以避免人為幹預的需要。
· 管理審計和安全日志
o 确定哪些使用者可以為單個資源(如檔案,Active Directory對象和系統資料庫項)指定對象通路審計選項。
具有此權限的使用者可以使用安全權限集編輯器的“屬性”對話框中的安全頁籤來指定所選對象的審計選項。
此使用者權限在預設域控制器組政策對象(GPO)和工作站和伺服器的本地安全政策中定義。
預設情況下,隻有管理者有權管理審計和安全日志。
注意:
此政策通常不允許使用者指定該檔案和對象的通路審計。為了進行這種審計,必須配置審計政策下的審計對象通路設定。
已審計的事件将在事件檢視器的安全日志中進行檢視。具有此政策的使用者還可以檢視和清除安全日志。
· 恢複檔案和目錄
o 此安全性設定确定了哪些使用者在恢複備份的檔案和目錄時可以繞過檔案,目錄,系統資料庫和其他持久性對象權限,并确定了哪些使用者可以将有效的安全主體設定為對象的所有者。
授予該使用者對帳戶的權限類似于授予該帳戶對系統上所有檔案和檔案夾的以下權限:
周遊檔案夾/執行檔案
寫入
· 同步目錄服務資料
o 確定沒有為“同步目錄服務資料”使用者權限配置設定任何帳戶。隻有域控制器才需要這個權限,它們本身就擁有這個權限。
o 此政策設定确定了哪些使用者群組具有同步所有目錄服務資料的權限,而不管對象和屬性是否進行了保護。使用LDAP目錄同步(dirsync)服務需要此權限。域控制器本身就具有此使用者權限,因為同步過程是在域控制器上的系統帳戶的上下文中運作。
o 該政策有效地授予了運作Mimikatz DCSync所需的權限類型,使攻擊者能夠為域中的所有使用者請求密碼散列。
注意:要特别注意一下提供通過遠端終端服務登入到本地域控制器的能力,因為登入到域控制器的能力為AD管理者提供了幾個潛在的特權更新路徑。
預設的域控制器政策GPO(Windows Server 2012 R2)
關于如何通過修改GPO來提高域控制器安全性的具體建議可以在“提升Active Directory安全性之保護域控制器” 的博文中找到。
預設組和通過預設的域控制器政策提供的權限:
請注意,AD“内置(Built-In)”管理者組被授予了大部分權限。
伺服器操作員通過此GPO提供了以下權限:
備份操作員通過此GPO提供了以下權限:
列印操作員通過此GPO提供了以下權限:
我希望這篇文章可以幫助人們更好地了解域控制器上的内部AD組所具有的預設權限。
原文釋出時間為:2017年9月4日
本文作者:李白
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/penetration/7529.html" target="_blank">原文連結</a>