域安全之LDAP讀取控制
Luis
AD 活動目錄設計公平 開放,任何用戶都能讀取其他用戶信息
微軟建議單獨建一個域管理特權賬號,委派控制另一個域,其實還有更方便的辦法
0x01 存在的風險
不知道大家有沒有使用過AD Explorer和dsquery這兩個工具?
當Red Team(後面簡稱RT)成功突破外網服務器並進入到內網後,這時候的主要目標就從外網突破轉變爲了內網的橫向擴展。
如果內網存在域,並且RT在已經***成功的服務器上獲取到了域內的一個普通賬號,這時候,RT就可以使用dsquery命令和AD Explorer這兩個工具,獲取到域內所有服務器列表、用戶列表、組織架構等敏感信息。
圖一 AD Explorer
圖二 dsquery computer
圖三 dsquery user
圖一、圖二、圖三分別展現了利用域內普通賬號,通過AD Explorer和dsquery獲取到的域內計算機和用戶等信息。
有時候域管理員可能覺得,泄露了這些信息有什麼關係呢?有了這些信息,RT相當於得到了一張完整的域內地圖,需要關注哪個管理員、那個業務,靠着這張地圖就可以很容易的找到。這些敏感信息極大的提高了RT的***效率,可以稱爲***測試中的“尋寶圖”。
0x02 如何防禦
在域的默認配置下,所有域內的用戶都擁有LDAP服務的讀取權限!不得不說,這個默認配置在域安全中是一個巨大的坑。並且絕大部分的域管理員並不會注意到這個問題的存在。但是這種***方法,又是RT所鍾愛的方法之一。
那麼我們如何對這種域內信息獲取的方式進行防禦呢?
其實,大部分的用戶在域內是不需要LDAP讀取權限的。我們可以通過在AD上,禁用普通用戶的read和list權限,達到安全配置的目的。
0x03 具體設置
下面就以Windows Server 2012 R2爲例,詳細介紹一下安全配置的步驟。
一、 Ctrl+R,輸入dsa.msc並運行。
二、 點擊View,選擇Advanced Features。
三、 添加一個用戶組,如DisabelLDAPGroup。(https://s1.51cto.com/images/blog/201905/27/6da51318aba7d655b623c538d99a1f78.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
四、 在域的用戶OU點擊右鍵,選擇Properties。
注意這裏不能從根OU拒絕,因爲組策略需要對用戶和計算機下發,全部拒絕則代表用戶、計算機名均無法識別,導致組策略下發失敗
選擇人員OU
五、 選擇Security,並點擊Advanced。
六、 在彈出的窗口中,點擊Add。
七、 在彈出的窗口中,點擊Select a principal,並在彈出的窗口中輸入DisableDLAPGroup,點擊ok。
八、 將滾動條拉到底部,選擇Clear all,然後再拉到最頂部,在Permissions區選擇List contents和Read all properties,在Type處選擇Deny。
九、 點擊所有對話框的OK按鈕。
十、 把所有不需要LDAP讀取權限的用戶,添加到DisableLDAPGroup組當中。
在進行完以上操作,我們再使用dsquery和AD Explorer來讀取信息試試。
可以看到,LDAP的讀取操作被成功阻止了!
0x04 對業務的影響
很多管理員會問,這樣做是可以防止RT非法讀取LDAP信息,但是會對業務產生影響嗎?
經過測試,禁用LDAP權限對域內計算機正常登陸、LDAP認證是不會產生任何影響的。
對於無LDAP讀取權限的用戶,要進行域用戶、計算機、組的選擇操作時,會出現錯誤。解決辦法是,使用有權限的用戶進行操作。由於此場景對於普通用戶來說出現的並不多,所以影響處於可接受的範圍內。
如果有業務確實要使用到LDAP來讀取域內信息,可以創建專用賬戶,不添加到DisableLDAPGroup當中,即可滿足相關的業務需要。
0x05 總結
LDAP任意用戶讀取權限的問題往往被很多管理員所忽略,卻被很多Red Team所青睞。禁用普通用戶的LDAP權限,可以有效防止域內信息的泄露,提高AD的安全性。