Как взломать сеть Windows базе Active Directory

Как гласит военная наука, имеющая много общего с хакерским ремеслом, прежде чем ввязаться в сражение, нужна разведка местности. О том, как извлечь пользовательские данные в Active Directory, читай в статье «Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий».

Предварительные требования

Перед тем как начать переименовывать свой домен обязательно примите во внимание следующие сведения:

  • Функциональный уровень леса Active Directory. Выполнять задачи по переименованию доменов можно лишь в том случае, если все домены в лесу оснащены как минимум операционной системой Windows Server 2003 (в этом случае по редакциям нет никаких ограничений). Более того, функциональный уровень должен быть повышен по меньшей мере до уровня Windows Server 2003. То есть, если у вас в лесу выбран функциональный уровень Windows Server 2000, то выполнение следующей операции попросту станет невозможным;
  • Расположение домена. В лесу Active Directory может быть разный уровень доменов. То есть, могут быть либо отдельный домен, либо лес может включать дочерние домены. В том случае если вы будете менять расположение контроллера домена внутри леса, вам придется создать доверительные отношения;
  • Зона DNS. Еще до выполнения операции переименования домена вам необходимо создать новую зону DNS;
  • Административные учетные данные. Для выполнения операции переименования домена вы должны выполнить вход в систему под административной учетной записью, которая является членом группы администраторов предприятия (Enterprise Admins);
  • Серверы распределенной файловой системы (DFS). Если в вашей корпоративной среде развернуты службы DFS или настроены перемещаемые профили, то обратите внимание на то, что корневые DFS-серверы должны работать, как минимум, под управлением операционной системы Windows Server 2000 с пакетом обновления 3 или под более современными версиями операционных системам;
  • Несовместимость с серверами Microsoft Exchange. Самый неприятный момент заключается в том, что если в вашем лесу Active Directory развернут почтовый сервер Microsoft Exchange Server 2003 Service Pack 1, то переименование домена будет выполнено без каких-либо проблем, но учетная запись пользователя, под которой будет выполняться сам процесс переименование домена должна быть членом группы Full Exchange Administrator. Все более современные почтовые серверы (включая Exchange Server 2016) несовместимы с операциями переименования доменов.

Также обратите внимание на тот факт, что на время переименования домена вы должны заморозить все предстоящие операции по конфигурации леса Active Directory. Другими словами, вы должны удостовериться в том, что конфигурация вашего леса не изменится до тех пор, пока операция по переименованию домена не будет полностью завершена (подробную информацию о выполнении этого действия вы увидите ниже). К таким операциям можно отнести: создание или удаление доменов внутри вашего леса Active Directory, создание или удаление разделов каталога приложений, добавление или удаление контроллеров домена в лесу, создание или удаление установленного напрямую доверия, а также добавление или удаление атрибутов, которые будут реплицированы в глобальный каталог.

На всякий случай я бы еще вам посоветовал сделать полную резервную копию состояния системы на каждом контроллере домена в лесу Active Directory. В случае выполнения этой задачи, данная предосторожность точно не будет лишней.

В том случае, если ваша инфраструктура соответствует выше упомянутым требованиям и сделаны все требуемые резервные копии, вы можете приступать к процессу переименования домена.

Связка подготовленной групповой политики MyChat с подразделениями пользователей

На этом мы закончили создание ГП для развертывания клиента чата в корпоративной сети. Но этого еще не достаточно, теперь необходимо связать эту ГП с одним или несколькими подразделениями пользователей Active Directory, которые будут пользоваться чатом.

В примере создадим подразделение для пользователей MyChat, а потом уже свяжем его с подготовленной групповой политикой:

Теперь привязываем групповую политику с подразделением, выбираем нужное подразделение в «Управлении групповой политикой» и связываем его с ГП MyChat:

Так как каждая новая групповая политика не привязана изначально ни к одному подразделению – она привязана ко всему домену. Поэтому открываем ГП MyChat и выключаем (или удаляем) связь между нашей групповой политикой и корнем домена:

Теперь можно смело закрывать редактор групповой политики MyChat и диспетчер сервера, а в командной строке выполняем команду «GPUPDATE /FORCE» для немедленного применения созданной нами ГП. Пользователи, которые входят в подразделения с данной ГП после перезагрузки при обновлении политики выполнят условия установки и настройки MyChat Client.

На этом этапе мы закончили установку чата в корпоративной сети под управлением Active Directory.

PKI Trust

Предположим, что в новом лесу развернут новая PKI, а в PKI из старого леса вносить изменения не будем.

Пользователи доверяют сертификатам того ЦС, с которым находятся в одном лесу, но не ЦС доверенного леса, в котором находится часть ресурсов, которые они используют.

Для решения этой ситуации создадим и применим такие групповые политики в Source и Target лесах соответственно:

В результате, ресурсы доверенных лесов будут выглядеть корректно (разумеется, точки распространения CRL должны быть доступны):

Небезопасные права доступа ACL

ACL (списки контроля доступа) — это набор правил, которые определяют, какие объекты имеют разрешения для иного объекта в среде Active Directory. Такими объектами могут быть учетные записи пользователей, группы, учетные записи компьютеров, сам домен и многое другое.

ACL может быть настроен для отдельного объекта, такого как учетная запись пользователя, но также его можно настроить и для OU. Основное преимущество настройки ACL в OU состоит в том, что при правильной настройке все объекты-потомки будут наследовать ACL. ACL OU, в котором находятся объекты, содержит элемент управления доступом (Access Control Entry, ACE). Он определяет идентификатор и соответствующие разрешения, применяющиеся к OU или нисходящим объектам. Каждый ACE включает в себя SID и маску доступа, причем ACE могут быть четырех типов: «доступ разрешен», «доступ отклонен», «разрешенный объект» и «запрещенный объект». Разница между типами «доступ разрешен» и «разрешенный объект» состоит только в том, что последний тип используется исключительно в Active Directory.

Рассмотрим пример атаки, использующей неправильную настройку ACL. Предположим, мы уже собрали исходную информацию с помощью BloodHound, поэтому сразу перейдем к стадии повышения привилегий.

BloodHound строит граф, где целевой группой выступает группа «Администраторы домена».

Граф, построенный BloodHound

Слева находится пользователь с относительно низкими привилегиями и путь атаки только для ACL, который в итоге контролирует группу администраторов домена. Этот пользователь — член группы безопасности (MemberOf) в центре. Эта группа имеет полный контроль (GenericAll) над пользователем справа. Так как ACL наследуется, то пользователь слева тоже имеет такой контроль.

Первый этап продвижения к целевой группе

GenericAll означает полный контроль над объектом, включая возможность добавлять других участников в группу, изменять пароль пользователя, не зная текущего, регистрировать SPN. Эксплуатируется эта возможность с помощью Set-DomainUserPassword или Add-DomainGroupMember.

Идем дальше. Пользователь слева принадлежит группе в середине. Эта группа имеет как полный (GenericAll), так и избыточный (ForceChangePassword) контроль над пользователем слева.

Второй этап продвижения к целевой группе

ForceChangePassword подразумевает возможность изменить пароль целевого пользователя, не зная текущего. Эксплуатируется с помощью Set-DomainUserPassword.

Завершающий этап. Группа слева имеет привилегию ForceChangePassword в отношении нескольких пользователей, которые принадлежат к группе в центре. Эта группа в центре обладает полным контролем над группой справа («Администраторы домена»).

Завершающий этап продвижения к целевой группе

Важное замечание: контроль над группой «Администраторы домена» может означать, что мы получили контроль над пользователями в этой группе. В таком случае мы создадим своего пользователя и добавим его в данную группу. После этого мы можем выполнить DCSync-атаку и, чтобы скрыть свои следы, удалить созданного пользователя.

Вот так мы используем BloodHound и ошибки конфигурации ACL, чтобы получить контроль над доменом.

Не могу не упомянуть об автоматизированном варианте этой атаки, с использованием скрипта Invoke-ACLPwn. Инструмент экспортирует с помощью SharpHound все списки ACL в домене, а также членство в группе учетной записи пользователя, под которой он запускается.

Параметры запуска Invoke-ACLPwn

Когда цепочка будет рассчитана, скрипт начнет последовательно выполнять каждый шаг в цепочке. При желании вызывается функция mimikatz DCSync и запрашивается хеш учетной записи пользователя. По умолчанию будет использоваться учетная запись krbtgt. После завершения эксплуатации сценарий удалит членство в группах, которые были добавлены во время эксплуатации, а также записи ACE в ACL объекта домена.

Небезопасные права доступа ACL

Результат тестирования компанией Fox-It представлен ниже.

Результат работы Invoke-ACLPwn

Скрипт перечислил и прошел 26 групп, изменяя членство в группах безопасности и управления. В итоге был получен хеш учетной записи krbtgt.

Удаление старого контроллера домена

Теперь настала пора удалить старый домен контроллер из сети. Запускаем:

dcpromo

и следуя мастеру, удаляем старый домен контроллер и все его упоминания из сети. После этого старый сервер можно погасить или отправить его выполнять другие обязанности.

P.S. Если вам нужно перенести AD из старого сервера на новый, причем с сохранением имени старого сервера, то тут вам поможет еще один промежуточный сервер. Сначала делаете все эти операции с ним, выводите старый сервер из домена, заводите новый сервер с именем старого и проделываете эти же операции еще раз.

Обновление офисного пакета и операционной системы

Обновления программ для печати, таких как «Ворд» и «Ексель» не будет лишним в нашей ситуации. А установка последних обновлений для ОС должна стать привычным делом пользователя. Но ее можно настроить и на автоматическую работу. Как показывает практика, отсутствие критических пакетов обновлений часто бывает причиной недоступности службы «Актив Директори».

Обновление офисного пакета и операционной системы
  • Для обновления «Microsoft Office» откройте документ Word или Excel. Перейдите в меню «Файл» и в конце найдите ярлык «Спавка», а потом нажмите на «Проверить наличие обновлений». Следуйте инструкциям мастера установки.

  • Для настройки обновлений самой «Виндовс» в панели управления найдите раздел «Центр обновлений». Зайдите туда и выполните поиск новых пакетов. При наличии таких произведите их инсталляцию.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Adblock
detector