在Active Directory中发现影子管理员账户的正确姿势(下)
导语:正如你在上面所看到的那样,添加和删除按钮被禁用,这是因为ADUC已经确定James这个账户实际上没有足够的访问权限来进行一些操作! 嗯…这是否意味着ACLight的发现是不准确的?另外有没有一种方法来验证这一点? 那么,让我们启动世
正如你在上面所看到的那样,添加和删除按钮被禁用,这是因为ADUC已经确定James这个账户实际上没有足够的访问权限来进行一些操作!
嗯…这是否意味着ACLight的发现是不准确的?另外有没有一种方法来验证这一点?
那么,让我们启动世界上唯一准确的Active Directory有效权限计算器,看看它揭示了什么。
根据这个工具,James并没有在Domain Admins安全组上有足够的Write-Property 成员有效权限的个人用户名单上,而且由于他不在名单上,根据这个工具的发现,他实际上不能改变该域管理员安全组的成员,因此,他不是一个“ 影子管理员账户 ”! 换句话说,CyberArk的ACLight工具提供了不准确的结果,因为正如我们已经通过实验验证的那样,James实际上并不能修改Domain Admins组的成员资格! 为了结束演示#1,让我们来看看他为什么不能这样做。
让我们仔细看看Domain Admins组的ACL。
正如我们所看到的,为Active Directory Security Novices指定的显式Deny Write All Properties权限将被覆盖为James指定的显式Allow Write-Property Member权限,因为James是Cyberdark Gurus组的成员,而后者又是在Active Directory Security Novices组里。(这东西在这里不是很明显!)
现在,如果你是一个CISO或者是某个不太懂Active Directory有效权限的人,你仍然可以很容易的做出决定,通过使用在这个页面上的第二个工具。
正如你所看到的,这个工具做出了这个决定,并提供了简单的英文输出,完全避免了你需要知道任何Active Directory安全技术的细节。
因此,我们刚刚看到并验证了ACLight工具确实不能提供准确的结果!
在进入第二个演示之前,你需要撤销这两个ACL更改来保持简单。
演示#2
对于我们的第二个演示,我们将在Users容器中创建一个名为SysAdmin的新域用户帐户,然后我们将其添加到默认的Builtin Admins(也就是管理员)组,让它现在成为一个特权用户帐户。
现在我们有了一个额外的特权用户帐户来进行试验,让我们继续演示#2。
首先,我们让Emily成为Cyberdark Gurus域安全组的成员。
接下来,我们将修改系统管理员特权域用户帐户的默认ACL ,并指定以下两个显式权限。
1. { Deny Active Directory Security Novices All Extended Rights }
2. { Allow Emily Extended Right Reset Password}
这是SysAdmin特权用户帐户上的结果ACL。
为了清楚地看到这些权限,让我们使用这个工具来查看这个对象的ACL。
如上图所示,我们现在可以清楚地看到我们刚刚添加的两个权限(参见第一行和第二行)。
现在,我们可以明显看到Emily在系统管理员账户上拥有重置密码扩展权限,所以这是否意味着她是可以重置SysAdmin特权用户帐户密码的“影子管理员账户”呢?
现在我们查看一下CyberArk的ACLight工具确定的内容,我们运行它并查看运行结果。
ACLight已经完成了分析,让我们看看它的结果 。
根据ACLight的输出结果,Emily是一个“ 影子管理员账户 ”,因为该工具似乎已经确定Emily可以重置系统管理员用户帐户的密码,因为在系统管理员帐户的ACL中直接授予了Emily “允许” 修改密码的权限。 为了验证这个发现,或许我们应该登录一下Emily,并尝试重置系统管理员特权用户帐户的密码,并看看我们这样做是否能够成功。
正如你在上面所看到的,Emily无法重置SysAdmins权限的账户的密码,并且 ADUC显示了消息:“ Windows无法完成系统管理员密码更改,因为:访问被拒绝 ”。换句话说Emily实际上没有足够的访问权限来做这件事情!
嗯…这是否意味着ACLight的发现是不准确的?
让我们再次启动世界上唯一准确的Active Directory有效权限计算器,看看它揭示了什么。
根据这个工具的结果,Emily不在系统管理员用户帐户上拥有足够的重置密码扩展权限的有效权限的个人用户名单里,由于她不在名单里,根据这个工具的分析结果,Emily实际上不能重置系统管理员特权用户帐户的密码,因此,Emily这个账户也不是“影子管理员账户”!
换句话说,CyberArk的ACLight工具似乎再次提供了不准确的结果,因为正如我们已经通过实验验证的那样,Emily实际上并不能重置系统管理员特权帐户的密码!
现在结束演示#2,让我们来看看为什么她不能这样做。
让我们仔细看看系统管理员特权用户帐户的ACL 。
正如我们所看到的,为Active Directory Security Novices指定的显式Deny All Extended Rights的权限将覆盖为Emily指定的显式Allow Reset Password Extended Right权限,因为 Emily是Cyberdark Gurus组的成员,而后者又是在Active Directory Security Novices组里(这太不明显了!)。
现在,如果你是一个CISO或某个可能不知道很多有关Active Directory的有效权限的知识的人,那么你仍然可以通过使用在这个页面上的第二个工具来做出决定。
正如你所看到的,这个工具给出了这个确定结果,并提供了简单的英文输出,完全避免了你需要知道任何有关于Active Directory安全技术的细节。
因此,我们只是看到并验证了两次, ACLight工具确实不能提供准确的结果!
全域范围评估
现在,你们中的一些人可能会指出,我们上面使用的工具似乎只能确定每个对象的有效权限或访问权限。事实上,这是正确的,但它们是全球唯一可以准确地确定Active Directory中的有效权限和有效访问权限的工具。
但是,还有其他的希望。事实上,企业组织实际上可以通过使用以下工具在全域范围内进行分析,这是世界上唯一准确的Active Directory管理访问和委派审计工具。
这个工具可以通过一个单一的按钮,在一个单一的评估中,通常在几分钟内,就可以在整个域范围内进行分析,也就是在一个Active Directory域中的数千个对象上进行分析。
也许,如果我们是一个Active Directory新手,那么我们可能会使用Active Directory 影子管理员账户发现或审计工具,但我们是Active Directory专家,因此我们知道所谓的被称为“影子管理员账户”或“隐身管理员账户”等账户仅仅是Active Directory中的“委托管理员账户”,因此,这也就是Active Directory访问和委派审计工具为什么用这样的名称。
实际上,上面的这个工具可以在几分钟内完成一千个Active Directory安全专家一年内无法完成的工作,并且可以在由数千个对象,帐户和用户组 组成的真实(且复杂)的Active Directory环境中完成分析。
最后,对于任何可能受到启发的人,无论如何,请继续尝试研究。我们花了六年时间,高度专注于技术的研究和开发来构建我们的工具,而且我们对Active Directory安全性了解甚少。如果你需要一些指导,你可能需要阅读我们发布的有120页的专利文件。
注意:以上两个演示操作是我故意设置的很简单,目的是希望任何人(包括CyberArk的专家)都可以在任何新的Active Directory域中复现这些确切的步骤,并验证上面演示的内容是否准确。
复杂性
现在,如果这些例子看起来如此简单,那是因为它们是为了说明的目的而看起来很简单。
实际上,挑战是非常困难的。可以考虑一个典型的Active Directory部署 – 每个Active Directory对象的ACL中可能容易出现超过一百个ACE,可能有成千上万个用户属于的域安全组,并且有许多这些域安全组可能是嵌套在其他域安全组中,其中一些可以循环嵌套,并且可以在Active Directory中完成大量的管理委派和或访问设置,并且在Active Directory域中可以容易地存在数千个对象,以及在Active Directory林中可能有许多域。
任何一个能够准确识别这些“影子管理员”帐户的工具都必须能够根据我刚刚提到的复杂性,准确地确定Active Directory中成千上万对象中每一个对象的有效权限。
根据我的评估,CyberArk的ACLight不仅不能评估Active Directory中的有效权限,而且也不能够完成上面所描述的工作。你可能听说过的其他工具也是如此,包括BloodHound,任何人都可以写出的PowerShell脚本,或者微软提供的任何东西。
我所知道的只有一个工具可以完成这个巨大的工程 – 这是我所知道的,因为是我编写了这个工具。
总结
最后,特权帐户安全对于企业组织的网络安全至关重要,请不要只听我说,因为CyberArk发布的特权账户安全解决方案(点击这里)就是一个不争的事实。
“ 特权账户是当今企业或组织所面临的最大的安全漏洞,几乎每一次网络攻击都使用了这些权限强大的账户,他们允许任何获得这些账户的人控制企业或组织(资源),禁用安全系统,并访问大量的敏感数据。 “
正如我在上面所说过的,CyberArk是100%正确的。即使只有一个这样的特权帐户被入侵,那么也可以很容易地授予攻击者完全控制整个网络的权限,并授权他们迅速接管一切。
事实上,所有主要的影响很大的网络安全漏洞(例如,Snowden,Target,JP Morgan,Sony,Anthem,OPM)都100%的涉及到了一个Active Directory特权用户帐户被入侵以及随后的各种滥用。
CyberArk也是100%正确的,在全球大多数Active Directory的部署中,现在可能存在一个风险以及很多这种“影子管理员”帐户,由于所有实际的原因,它们具有与默认的活动目录管理员或特权访问组的成员相同级别的特权访问权限,但是因为它们不是任何默认的Active Directory特权访问组的成员,所以这些帐户实际上很难被准确的识别出来。
因此,他们的存在可能会给企业或组织的网络安全带来更大的风险,这就是为什么企业或组织需要准确地发现和识别所有这些账户的重要原因。
在这篇博文中,我想告诉你为什么CyberArk的善意指导和工具实际上并不是准确的,并且告诉你为什么我们需要能够准确地确定Active Directory有效权限 或 Active Directory有效访问,来正确的发现Active Directory中所有的“影子管理员”帐户。
PS:推荐大家阅读的几篇技术文章
4. 影子管理员帐户在Active Directory中的危害
5. 如何审查谁可以更改Active Directory中的组成员身份?
6. 如何审查谁可以删除Active Directory中的组织单位?
7. 如何审查谁可以在Active Directory中创建用户帐户?
8. 如何审查谁可以重置Active Directory中的域用户帐户密码?