Права и привилегии в Active Directory.

Права и привилегии являются краеугольными камнями управления AD и при неправильной конфигурации могут легко привести к злоупотреблению со стороны злоумышленников. Права обычно назначаются пользователям или группам и имеют дело с разрешениями на доступ к объекту, такому как файл, в то время как привилегии предоставляют пользователю разрешение на выполнение действий, таких как запуск программы, завершение работы системы, сброс паролей и т. д. Привилегии могут быть назначены пользователям индивидуально или предоставлены им через членство в группах.

Встроенные группы AD

AD содержит множество стандартных или встроенных групп безопасности, некоторые из которых предоставляют своим членам мощные права и привилегии, которыми можно злоупотреблять для повышения привилегий в домене и, в конечном итоге, получения привилегий администратора домена или SYSTEM на контроллере домена (DC).

Account Operators

Участники могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп, а также могут локально входить в систему на контроллерах домена. Они не могут управлять учетной записью администратора, административными учетными записями пользователей или членами групп «Администраторы», «Операторы серверов», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати».

Administrators

Участники имеют полный и неограниченный доступ к компьютеру или всему домену, если они входят в эту группу на контроллере домена.

Backup Operators

Участники могут создавать резервные копии и восстанавливать все файлы на компьютере, независимо от разрешений, установленных для файлов. Операторы резервного копирования также могут входить в систему и выключать компьютер. Участники могут входить в контроллеры домена локально и должны считаться администраторами домена. Они могут создавать теневые копии базы данных SAM/NTDS, которые могут быть использованы для извлечения учетных данных.

DNS Admins

Участники имеют доступ к сетевой информации DNS. Группа будет создана только в том случае, если роль DNS-сервера установлена или была когда-либо установлена на контроллере домена в домене.

Domain Admins

Администраторы домена имеют полный доступ к администрированию домена и являются членами локальной группы администраторов на всех компьютерах, присоединенных к домену.

Domain Computers

В эту группу добавляются все компьютеры, созданные в домене (за исключением контроллеров домена).

Domain Controllers

Содержит все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу автоматически.

Domain Users

Эта группа содержит все учетные записи пользователей в домене. Новая учетная запись пользователя, созданная в домене, автоматически добавляется в эту группу.

Enterprise Admins

Членство в этой группе обеспечивает полный доступ к настройкам в пределах домена. Группа существует только в корневом домене леса AD. Членам этой группы предоставляется возможность вносить изменения в масштабах всего леса, такие как добавление дочернего домена или создание доверительного управления. Учетная запись администратора корневого домена леса по умолчанию является единственным членом этой группы.

Group Policy Creator Owners

Участники создают, редактируют или удаляют объекты групповой политики в домене.

Hyper-V Administrators

Участники имеют полный и неограниченный доступ ко всем функциям Hyper-V. Если в домене есть виртуальные контроллеры домена, все администраторы виртуализации, такие как администраторы Hyper-V, должны считаться администраторами домена.

Print Operators

Участники могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене, а также любые объекты принтеров в AD. Участники могут входить в контроллеры домена локально и могут использоваться для загрузки вредоносного драйвера принтера и повышения привилегий в домене.

Protected Users

Членам этой группы предоставляется дополнительная защита от кражи учетных данных и таких тактик, как злоупотребление Kerberos.

Remote Desktop Users

Эта группа используется для предоставления пользователям и группам разрешений на подключение к узлу через удаленный рабочий стол (RDP). Эту группу нельзя переименовать, удалить или переместить.

Remote Management Users

Эта группа может быть использована для предоставления пользователям удаленного доступа к компьютерам через удаленное управление Windows (WinRM).

Schema Admins

Участники могут изменять схему Active Directory, в соответствии с которой определяются все объекты с AD. Эта группа существует только в корневом домене леса AD. Учетная запись администратора корневого домена леса по умолчанию является единственным членом этой группы.

Server Operators

Эта группа существует только на контроллерах домена. Участники могут изменять службы, получать доступ к общим папкам SMB и создавать резервные копии файлов на контроллерах домена. По умолчанию в этой группе нет участников.

В зависимости от текущего членства в группе и других факторов, таких как привилегии, которые администраторы могут назначать с помощью групповой политики (GPO), пользователи могут иметь различные права, назначенные их учетной записи. Например, предположим, что мы можем получить доступ на запись к объекту групповой политики (GPO), примененному к подразделению, содержащему одного или нескольких пользователей, которыми мы управляем. В этом случае мы потенциально можем использовать такой инструмент, как SharpGPOAbuse, для назначения целевых прав пользователю. Мы можем выполнять множество действий в домене, чтобы расширить наш доступ с этими новыми правами. Вот несколько примеров:

SeRemoteInteractiveLogonRight

Эта привилегия может предоставить нашему целевому пользователю право входа на хост через удаленный рабочий стол (RDP), который потенциально может быть использован для получения конфиденциальных данных или повышения привилегий.

SeBackupPrivilege

Предоставляет пользователю возможность создавать резервные копии системы и может быть использована для получения копий конфиденциальных системных файлов, которые могут быть использованы для восстановления паролей, таких как кусты SAM и SYSTEM Registry и файл базы данных NTDS.dit Active Directory.

SeDebugPrivilege

Позволяет пользователю выполнять отладку и настройку памяти процесса. Обладая этой привилегией, злоумышленники могут использовать такой инструмент, как Mimikatz, для чтения пространства памяти процесса Local System Authority (LSASS) и получения любых учетных данных, хранящихся в памяти.

SeImpersonatePrivilege

Эта привилегия позволяет нам олицетворять токен привилегированной учетной записи, такой как NT AUTHORITY\SYSTEM. Это может быть использовано с помощью таких инструментов, как JuicyPotato, RogueWinRM, PrintSpoofer и т. д., для повышения привилегий в целевой системе.

SeLoadDriverPrivilege

Пользователь с этой привилегией может загружать и выгружать драйверы устройств, которые потенциально могут быть использованы для повышения привилегий или компрометации системы.

SeTakeOwnershipPrivilege

Это позволяет процессу стать владельцем объекта. На самом базовом уровне мы можем использовать эту привилегию для получения доступа к общей папке или файлу в общей папке, которая в противном случае была бы нам недоступна.