Atacant el Directori Actiu: Grups

Imagina que tota la gestió d’usuaris s’hagués de fer un a un. Segurament hauries de tenir una persona de l’empresa dedicada només a això per assegurar-se que cap usuari tingui més permisos del compte.

La solució a aquest problema són els grups. A cada grup se li assigna uns permisos de tal manera que quan s’afegeix un usuari a un grup, automàticament hereta tots els permisos. A més a més, si hi ha un canvi de política, només cal que modifiquis el permís del grup i automàticament s’actualitzaran els permisos de tots els usuaris.

Pots consultar els grups del directori actiu amb Mòdul AD, entre d’altres:

PS C:\Users\Nadki> Get-ADGroup -Filter * | select SamAccountName

SamAccountName
--------------
Administrators
Users
Guests
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Cert Publishers
Domain Admins
Domain Users
Protected Users
Key Admins
Enterprise Key Admins
DnsAdmins
DnsUpdateProxy
DHCP Users
DHCP Administrators

Grups importants

Administradors

En un directori actiu hi ha molts grups que estan definits per defecte per complir diferents rols dins del domini. Com a atacant, aquests grups seran molt importants i segurament un objectiu ja que els seus membres tenen permisos d’administrador, un exemple seria Domain Admins:

PS C:\Users\Nadki> Get-ADGroup "Domain Admins" -Properties members,memberof


DistinguishedName : CN=Domain Admins,CN=Users,DC=contoso,DC=local
GroupCategory     : Security
GroupScope        : Global
MemberOf          : {CN=Denied RODC Password Replication Group,CN=Users,DC=contoso,DC=local,
                    CN=Administrators,CN=Builtin,DC=contoso,DC=local}
Members           : {CN=Administrator,CN=Users,DC=contoso,DC=local}
Name              : Domain Admins
ObjectClass       : group
ObjectGUID        : ac3ac095-3ea0-4922-8130-efa99ba99afa
SamAccountName    : Domain Admins
SID               : S-1-5-21-1372086773-2238746523-2939299801-512

A part d’aquest que et pot donar molts privilegis, hi ha el grup Enterprise Admins que té permisos d’administrador a tot el forest.

Enterprise Admins només existeix al domini root del forest, però està per defecte al grup Administrators de tot el domini. Per altra banda, Domain Admins està al grup Administrators del domini, juntament amb els ordinadors administradors del domini:

Altres grups importants

Hi ha altres grups a tenir en compte:

  • DNSAdmins: té permisos d’execució de codi als controladors de domini com a SYSTEM utilitzant qualsevol DLL.
  • Protected Users: permet incrementar la seguretat dels comptes d’usuari. Els seus membres no poden:
    • Autenticar amb NTLM
    • Utilitzar algorismes de xifrat DES o RC4 durant la pre-autenticació de Kerberos
    • Utilitzar delegacions “unconstrained” o “constrained”
    • Renovar tiquets TGT de Kerberos després de les 4 primeres hores
  • Schema Admins: pot modificar la schema de la base de dades del directori actiu.
  • Account Operators: pot modificar els membres de molts grups del domini, com Server Operators, però no els grups administradors.
  • Backup Operators: els membres poden fer i restaurar copies de seguretat de fitxers dels controladors del domini, també poden iniciar-hi sessió. Això els permet poder modificar fitxers dels DC.
  • Print Operators: poden iniciar sessió als controladors del domini.
  • Servers Operators: poden iniciar sessió als controladors del domini i gestionar la seva configuració.
  • Remote Desktop Users: els seus membres poden iniciar sessió al controlador de domini a través de RDP.
  • Group Policy Creator Owners: pot editar les GPOs del domini.

Hi ha molts altres grups que pots trobar a la documentació de DiagramaMicrosoft. A part de tots aquests, moltes empreses creen grups personalitzats que també poden tenir permisos d’administrador pels seus usuaris d’IT.

Abast

Al Directori Actiu hi ha tres tipus de grups diferents depenent del seu abast:

  • Grups Universals: té membres del mateix forest i poden donar permisos a membres del mateix forest o forests de confiança. Per exemple, el grup Enterpise Admins es un grup Universal.
  • Grups Globals: només pot tenir membres del mateix domini i pot donar permisos a dominis del mateix forest o a dominis de forests de confiança. Per exemple, Domain Admins forma part dels grups Globals.
  • Grup DomainLocal: pot tenir membres del mateix domini o de qualsevol domini de confiança i pot donar permisos només als seus dominis. El grup Administrators n’és un exemple.

A part d’aquests tres, hauries de saber que els grups de domini i usuaris (domain i user groups) poden ser membres dels grups locals de l’ordinador (computer local group). Per xemple, els Domain Admins estan per defecte al grup local de l’ordinador Administrator.

Referències

Etiquetes: , ,

Deixa un comentari