利用弱 Active Directory 权限

攻击者使用多种技术来识别和利用 Active Directory (AD) 中的弱点来获取对关键系统和数据的访问权限。这篇博文探讨了他们使用 PowerShell PowerSploit 提升或滥用权限的 3 种方式，并提供了有效的防范策略。

查找易受攻击的 AD 安全组

通过将他们控制的帐户添加到 Active Directory 安全组，攻击者可以获得实施攻击所需的访问权限。通常，他们会在事后取消会员资格以隐藏自己的踪迹。

攻击者首先需要找到允许组管理员更新组成员列表的 AD 组。此功能由如下所示的“管理员可以更新会员列表”设置控制；指定的值存储在 CanManageWrite 属性中。

攻击者可以使用 PowerSploit 命令 Find?ManagedSecurityGroups 获取组及其各自管理者的列表，以便他们知道哪些组可以被利用以及针对哪些帐户来获得修改权限：

查找弱权限

PowerSploit 中另一个有价值的工具是Invoke-ACLScanner 命令。顾名思义，此命令扫描所有访问控制列表 (ACL) 并返回关联的权限。

然而，AD 权限可能非常复杂且令人困惑，其中许多内置权限不易被利用且不值得研究。因此，Invoke-ACLScanner 通过根据两个条件进行过滤来找到最容易利用的权限：

• 与权限关联的用户或组的安全标识符 (SID) 的资源 ID (RID) 大于 1000。
• 授予的权限提供对目标对象的“修改”访问权限。

如下所示，通过单个命令，黑客可以查看所有可利用的权限，无论它们是保护用户、组、组策略对象 (GPO)、组织单位 (OU) 还是其他 AD 对象：

查找当前用户的权限

如果扫描所有可利用权限的工作量太大，那么找到攻击者已控制的帐户的可利用权限很简单。以下命令过滤由 Invoke?ACLScanner 生成的列表，以仅显示登录用户的权限：

Invoke-ACLScanner | Where-Object {$_.IdentityReference –eq [System.Security.Principal.WindowsIdentity]::GetCurrent().Name}

此命令返回登录帐户可以立即使用的权限列表：

保护您的 Active Directory 权限

Netwrix Active Directory 安全解决方案可以帮助您轻松防御对 AD 权限的攻击：

• 扫描 Active Directory 权限并报告弱点。
• 删除授予非活动或禁用帐户的权限。
• 检查“管理者”组属性的准确性。
• 对所有用户（尤其是管理员）实施最小权限原则。
• 实施强密码策略。
• 及时发现威胁并做出响应，包括升级权限。