组策略和 GPO：Active Directory 如何受到攻击 - Microsoft 平台管理 - 博客 - Quest Community

嘘！想知道在企业网络中传播勒索软件的好方法吗？损害组织的组策略。

想知道削弱组织数据盗窃防御能力的好方法吗？损害组策略。

事实上，想知道从本质上获得对整个 Active Directory 域的完全控制的好方法吗？损害组策略。

别担心——我不会向黑客透露任何秘密。他们已经知道这一切了。事实上，他们多年来一直在积极利用 Active Directory 的这一强大功能来窃取数据、植入恶意软件或以其他方式破坏 IT 安全。想要证据吗？ FireEye 的 2016 年 M-Trends 报告描述了一名攻击者早在 2015 年就试图通过组策略对象 (GPO) 分发勒索软件，并且有充分的理由认为类似的 Active Directory 攻击在此之前就已经发生过。

感觉自己的防守策略有点落后？不要绝望。以下是您需要了解的内容，才能开始大幅降低网络安全风险。

为什么黑客会针对组策略

黑客瞄准组策略有两个主要原因：它极其强大，而且极其脆弱。

它有多强大？

您可能知道，组策略可以对任何 Microsoft Active Directory 环境中的用户和计算机进行集中管理，每组相关设置称为组策略对象。以下只是您可以用它们做的数千种有用的事情的几个示例：

• 输入错误密码达到一定次数后锁定帐户。
• 阻止远程计算机上的身份不明的用户连接到网络共享。
• 为所有业务用户提供一组标准书签，以便他们可以轻松联系您的帮助台或访问其他重要资源。
• 限制对某些文件夹的访问。
• 在所有域控制器 (DC) 上安装相同的软件。
• 禁用用户计算机上的命令提示符。
• 确保及时应用 Windows 更新。
• 禁用 NTLM v1 身份验证协议（该协议比 Kerberos 弱）。

不需要太多想象力就可以看出 GPO 如何被滥用来规避安全控制并获取敏感数据的访问权限。您所需要做的就是采用上面列出的策略并逆向思考：

• 允许无限次尝试猜测帐户密码。
• 允许远程计算机上的身份不明的用户连接到网络共享。
• 将标准书签集替换为恶意站点的链接。
• 允许访问包含关键数据的文件夹。
• 在所有 DC 上安装恶意软件。
• 在用户计算机上启用命令提示符。
• 停止应用 Windows 更新。
• 启用较弱的 NTLM v1 身份验证协议。

这些更改中的任何一项都可能严重损害您的组织，并且更改将在几分钟甚至几秒钟内通过网络传播。如果这都不是一项强大的技术，我不知道什么才是。

是什么让它变得脆弱？

使组策略成为如此有吸引力的目标的另一个因素是它在多个方面都很脆弱。首先，这是一本打开的书。 Active Directory 的设计确保每个用户都可以看到您拥有的策略、这些策略的应用位置以及谁有权访问这些策略。此外，IT 团队通常对 Active Directory 中的对象使用描述性名称，这简化了管理，但也带来了不幸的副作用，即为黑客提供了可用来指导和磨练攻击的关键信息。

此外，尽管组策略功能强大，但它通常并不是组织安全策略的中心。它甚至可能不会出现在脚注中，因为它通常被视为一种“设置好后就忘记它”的技术。与此同时，它通常非常复杂，多年来创建了数千个策略来解决特定问题，并且有很多人被授予创建、修改和删除这些 GPO 的权限。理清这一切可能非常困难，而且在没有适当研究和证明的情况下删除策略和委派管理员是有风险的。结果，太多组织甚至没有尝试。这使得他们的 IT 生态系统极其脆弱。

攻击如何进行

既然我们知道了攻击者为何以组策略为目标，那么让我们来探讨一下他们如何设法破坏组策略。不幸的是，这比你想象的要容易。首先，黑客需要在您的 IT 生态系统中站稳脚跟。不幸的是，这通常不需要复杂的技能或奇特的技术：密码喷射攻击可能会快速找到具有常年通用密码（如“123456”或“password”）的用户帐户，或流行的热门密码（如“CovidSucks2020！”）。 ”。事实上，美国网络安全和基础设施安全局 (CISA) 报告称，最近黑客攻击背后的威胁行为者获得对受害者组织的初步访问权限的两种主要方式是密码猜测和密码喷洒这一经过验证的基本策略。

一旦攻击者获得初步立足点，他们不需要太多的技术知识来了解您的 GPO 并确定要针对哪些帐户来访问他们需要的帐户。他们有几个“简单”按钮：BloodHound、PowerSploit 和 Mimikatz 只是为他们完成繁重工作的开源工具的三个示例。例如，BloodHound 会快速为攻击者提供他们需要的所有信息 - 即使您的环境很复杂，有大量的策略和被阻止的继承等等。攻击者本质上是说：“我想我想要访问这个系统；该系统应用了哪些 GPO 以及这些 GPO 的管理员是谁？” BloodHound 会吐出详细信息，包括他们需要使用鱼叉式网络钓鱼或其他攻击媒介瞄准哪些帐户的确切列表。

一旦这些凭证寻求攻击之一成功，游戏就结束了。组策略提供对每个系统的访问和控制，因此它为黑客提供了完成几乎任何任务的方法，同时还能避免检测。他们可以部署勒索软件或窃取数据，然后投放一些将在您的所有 DC 上执行的代码，以烧毁其活动的所有证据。

如何反击

显然，如果您想加强 Active Directory 安全性，则需要有效的组策略管理。 Microsoft 提供了组策略管理控制台 (GPMC)，这是一种可帮助完成各种任务的免费工具，以及一组用于以编程方式访问许多操作的 GPMC 界面。然而，这两种工具都有局限性，并且它们不能帮助您消除问题的核心：所有那些已被授予修改 GPO 权限的有趣帐户 - BloodHound 等工具非常有能力识别和服务的帐户就到了黑客的面前。组织通常拥有数十或数百个此类帐户，这些帐户都已准备好被接管。

大幅削减攻击面的一个好方法是将具有 GPO 访问权限的帐户数量削减到最低限度。当然，域管理员和企业管理员的权限无法删除，但如果您只有一个其他帐户对您的策略拥有权限，而不是数十个或数百个，请想一想，这将是多么令人沮丧任何攻击者。

GPOADmin 等基于代理的解决方案可以为您提供该功能。您在 GPOADmin 中注册所有 GPO，并删除所有让您如此脆弱的本机委托。 BloodHound 和其他窥探工具立即变得无用，因为只有域管理员、企业管理员和 GPOADmin 本身有权修改您的 GPO。此外，您可以确保任何人（包括有权访问 GPOADmin 的用户）都无法进行某些修改，这样您最关键的设置就不会被更改。

仅这两项措施（消除 GPO 授权和阻止对关键设置的更改）将帮助您实现阻止黑客侵入 GPO 的目标。如果您对增强 Active Directory 安全性的其他经过验证的策略感兴趣，请查看下面的电子书。