Другие статьи про атаки на Active Directory

• Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий


• Атаки на Active Directory. Разбираем актуальные методы повышения привилегий


• Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен


• Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен


• Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен


• Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен


• Закрепляемся в Active Directory. Как сохранить доступ при атаке на домен

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи.

Объекты групповой политики

Групповая политика позволяет администраторам управлять компьютерами и пользователями в Active Directory. Она состоит из нескольких частей и в большой компании может оказаться сложной в использовании без привлечения сторонних инструментов.

Групповые политики сохраняются как объекты групповой политики (GPO), которые затем связываются с объектами Active Directory. Дело в том, что групповые политики могут включать параметры безопасности, разделы реестра, правила установки программного обеспечения, сценарии для запуска и завершения работы, а члены домена обновляют параметры групповой политики по умолчанию каждые 90 минут на своих машинах и каждые 5 минут на контроллере домена.

В большинстве случаев в домене точно настроены:

• один объект групповой политики, определяющий обязательный пароль, Kerberos и политики всего домена;


• один объект групповой политики, настроенный для подразделения контроллеров домена;


• один объект групповой политики, настроенный для подразделения серверов и рабочих станций.

Посмотреть групповые политики можно в окне «Диспетчер серверов -> Управление групповой политикой».

Файлы, которые содержат параметры политики («Шаблон групповой политики») расположены по пути C:WindowsSYSVOL[domain]Policies на контроллере домена.

Используя PowerShell Active Directory Get-ADObject, можно проверить наличие объекта групповой политики и его ключевые поля, интересующие нас.

PS > Get-ADObject 'CN={428FE319-FF53-4569-94A3-7C855A82570E},CN=Policies,CN=System,DC=domain,DC=dom'

PS > Get-ADObject 'CN={428FE319-FF53-4569-94A3-7C855A82570E},CN=Policies,CN=System,DC=domain,DC=dom' -Properties displayname,gpcfilesyspath,gpcmachineextensionnames,gpcuserextensionnames

При создании объекта групповой политики он может быть как связан, так и не связан с каким-либо объектом Active Directory. Если такая связь существует, атрибут gPLink этого объекта будет обновлен Рё РІ него будет добавлено значение DistinguishedName групповой политики. По этому признаку можно определить, какие групповые политики применяются к данному объекту Active Directory.

Если мы перейдем в любую директорию объекта групповой политики, то есть в C:WindowsSYSVOL[domain]Policies, то обнаружим следующие вложенные объекты:

1. Machine — директория с настройками машины для объекта групповой политики.


2. User — директория СЃ пользовательскими настройками для объекта РіСЂСѓРїРїРѕРІРѕР№ политики.


3. GPT.INI — файл, который содержит параметры конфигурации объекта групповой политики.

Групповая политика была создана, чтобы упростить управление ресурсами в домене, однако злоумышленник также может использовать ее возможности для своих целей. К примеру, таким образом можно подменить программы, создать запланированные задачи, добавить новую локальную учетную запись на все компьютеры. Также приведу список интересных возможностей, которыми лично пользовался сам или видел, как пользовались другие операторы.

1. Использование сценариев PowerShell или VBS для настройки членства в группах на уровне домена.


2. Запуск Invoke-Mimikatz на всех контроллерах домена в качестве SYSTEM через определенный промежуток времени (например, раз в три дня).


3. Получение учетной записи krbtgt, а затем планирование задачи запуска DCSync на определенных машинах во всем лесу с использованием поддельных билетов Kerberos.


4. Установка RAT и добавление исключения в антивирусные правила в домене или лесу.

Теги: CSS