iT邦幫忙

2022 iThome 鐵人賽
DAY 26
2
Security

資安這條路:學習 Active Directory Security系列 第 26

AD Security - [Day26] 一起來學 AD 安全吧!: Protected Users、Account Operators 與 DCSync 攻擊手法初探

14th鐵人賽
1764 瀏覽

  • 分享至 

  • xImage
    •  

「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」

持續認識幾個與 User 相關的安全性群組:

Protected Users

  • Windows Server 2012 R2 開始後有該群組
  • 會被套入不可設定的保護功能
    • 不可設定 TGT 到期時間
      • 根據網域原則、[使用者票證最長存留期] 及 [使用者票證更新的最長存留期],設定 TGT 存留期和更新
      • 預設為 600 分鐘
  • X 以下為無法做的事情
    • 使用 NTLM 驗證進行驗證。
    • 在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。
    • 以非限制或限制委派方式受到委派。
    • 超過初始的四小時存留期才更新 Kerberos TGT。
  • 該群組可做為基本防禦
    • Add-ADGroupMember –Identity 'Protected Users' –Members [使用者名稱]
    • 步驟
      1. 開始伺服器管理員
      2. 點選使用者與電腦
      3. 點選使用者加入到 Protected Users

Schema Admins

  • 該成員可以用來修改 AD 架構
    • 存在於 domain 中的 林 root domain
  • 預設管理員 - 網域的內部管理員

防禦: Sensitive Group Changes

  • 可以監控 Domain Admins, Enterprise Admins, and Schema Admins 是否有成員被修改

Account Operators

  • 該群組成員可以向使用者授予有限的新增帳號權限
  • 可以新增與修改帳號
    • 使用者帳號
    • local 帳號
    • domain 帳號
  • 可以登入到 domain controllers
  • 無法管理
    • 管理員帳號
    • Administrators
    • Server Operators
    • Account Operators
    • Backup Operators
    • Print Operators groups

其他成員

  • Backup Operators
    • 該群組成員可以備份和恢復與修改 DC 中的檔案
  • Print Operators
    • 該群組成員可以登入到 DC
  • Server Operators
    • 該群組成員可以登入 DC 並管理 DC 設定
  • Remote Desktop Users
    • 該群組成員可以通過 RDP 登入到 DC 中
  • Group Policy Creator Owners
    • 該群組成員可以在 domain 中編輯 GPO

攻擊手法:DCSync

  • mimikatz 的功能
  • 影響一:匯出 domain 中所有使用者的 hash
    • 條件:(滿足其中一個即可)
      • Administrators 群組使用者
      • Domain Admins 群組使用者
      • Enterprise Admins 群組使用者
      • dc 中的 machine 帳號
    • 原理
      • 利用 DRS(Directory Replication Service) 協定
        • 該協定為 PRC 用來複製與管理 AD 中的資料
      • 透過 IDL_DRSGetNCChanges 從 DC 複製使用者 hash
    • tool
      • lsadump
      • 指令
        • 匯出 domain 內所有使用者的 hash value
          • mimikatz.exe "lsadump::dcsync /domain:fei.tw /all /csv" exit
        • 匯出 administrator 的 hash
          • mimikatz.exe "lsadump::dcsync /domain:fei.com /user:administrator /csv" exit
  • 影響二:維持在 domain 權限
    • 條件:(滿足其中一個即可)
      • Domain Admins 群組使用者
      • Enterprise Admins 群組使用者
    • 原理
      • 利用 domain 中的一般使用者增加 Access control Entries
        • DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)
        • DS-Replication-Get-Changes-All(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)
        • DS-Replication-Get-Changes(GUID:89e95b76-444d-4c62-991a-0facbeda640c)
      • 增加完之後,可利用該使用者 DCSync 匯出 使用者 hash
      • 指令
        • 增加 ACE
          • Add-DomainObjectAcl -TargetIdentity "DC=fei,DC=tw" -PrincipalIdentity fei1 -Rights DCSync -Verbose
        • 刪除 ACE
          • Remove-DomainObjectAcl -TargetIdentity "DC=fei,DC=tw" -PrincipalIdentity fei1 -Rights DCSync -Verbose
    • tool
      • PowerView
        • mimikatz.exe privilege::debug "lsadump::dcsync /domain:fei.tw /all /csv" exit

參考資料


上一篇
AD Security - [Day25] 一起來學 AD 安全吧!: DnsAdmins 提權
下一篇
AD Security - [Day27] 一起來學 AD 安全吧!: Domain Controlloer 中 ntds.dit 攻擊手法
系列文
資安這條路:學習 Active Directory Security33
  1. 29
    AD Security - [Day29] 一起來學 AD 安全吧!: 整理 Credential Request 相關手法與該監控的 Event ID
  2. 30
    AD Security - [Day30] 一起來學 AD 安全吧!: Active Directory Object Access
  3. 31
    AD Security - [Day31] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Deletion
  4. 32
    AD Security - [Day32] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Creation、DCShadow 手法
  5. 33
    AD Security - [Day33] 一起來學 AD 安全吧!: Active Directory Object Modification(1)- SID-History injection
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙