如何發現Active Directory中的隱身管理員賬戶（二）

今天，我想花幾分鐘時間分享一下在全球各地的企業或組織中如何在Active Directory中發現隱身的管理員。

這是 如何發現Active Directory中的隱身管理員的第二部分。

快速介紹

最近，Active Directory的安全性似乎已經從傳統的網路安全/黑客/網路安全人員，在很好的那一面和不那麼好的這一面都得到了很多的關注。他們中的很多人對於Active Directory安全話題可能都比較陌生，而且他們中的大多數人似乎主要對確定Active Directory中的特權用戶比較感興趣。

有趣的是，也許是因為他們對於這個主題的內容來說可能是陌生的，他們可能已經開始將Active Directory中的委託管理員稱為Stealthy Admins，也可能是因為他們不知道Active Directory中的訪問配置和管理委託的概念，即使這兩個概念已經存在17年了。

如果你想知道我對「隱身管理員」一詞的看法，可以閱讀我之前寫的關於這個主題的一篇文章 ??

無論如何，為了幫助這些人以及其他任何對 「 在Active Directory中發現隱身管理員 」 所感興趣的人，我想我會幫助他們理解在Active Directory部署中如何正確做出這一決定。

快速入門

眾所周知，在Microsoft Windows Server所支持的IT基礎架構中，「王國的鑰匙 」就放在Active Directory中。具體而言，最強大的管理/特權域安全組（例如域管理員）以及所有成員的域用戶帳戶都在Active Directory中進行存儲，保護和管理。

現在，如果你要向新手諮詢有關如何識別Active Directory中的特權用戶的建議，他很可能會告訴你，你所要做的就是確定所有如微軟官方所說的那些在本質上擁有特權的域安全組，然後枚舉這些域安全組的完整成員列表，這就是你應該做的！

有趣的是，如果我與你分享的話，當被要求在Active Directory的部署中提供特權用戶列表（以證明符合規）時，你會感到驚訝嗎？

事實上，如果你遵循了上面的建議，你只會發現那只是冰山一角，因為實際上，在大多數企業或組織中，存在著比默認AD管理組成員更多的特權用戶。

問題來了

為了了解隱藏在Active Directory中的隱身管理員賬戶，讓我們自問自答一個簡單的問題。

假設：為了便於說明，讓我們暫時假設Active Directory中只有一個默認的管理/特權組 – Domain Admins安全組。

下圖中是域管理員組，問題我們隨後拋出 。

如上圖所示，Domain Admins用戶組中只有2個成員。

問題 – 基於上述情況，我們可以假設這個企業或組織在Active Directory中只有2個特權用戶嗎？即在這個Active Directory中只有兩個擁有特權訪問的帳戶 – 1）默認的管理員帳戶，以及2）用戶Steve Ballmer的域用戶帳戶，是Domain Admins組的成員嗎？

注意：如果我告訴（假設我們已經做了上面的說明），答案是「yes」，你會感到驚訝嗎？大多數企業或組織只會報告這是Active Directory中的數字或特權用戶？！n

要回答這個問題，讓我們考慮以下幾點。

問題的思考

考慮某人能夠在Active Directory中執行以下管理任務所帶來的影響。

1. 更改Domain Admins組的成員資格

2. 重置Domain Admins組成員的域用戶帳戶的密碼

3. 更改Domain Admins組或其任何成員的帳戶上的許可權

4. 更改Domain Admins組的所有許可權或其任何成員的帳戶

上述內容當然不是這些管理任務的詳盡列表，而只是可以在Active Directory內容上發布的一小部分管理任務，任何具有足夠有效訪問許可權的人都可以這樣做。

注意：此時，對於高級用戶，可能會想到AdminSDHolder。我會鼓勵他們閱讀這篇對AdminSDHolder進行了詳細講解的深度好文章，如果你想知道那些微軟似乎也不知道的內容，你可以閱讀這篇文章。

具體來說，考慮如下一些問題 –

雖然在上面的說明性示例中，域管理員組只有2個成員，不是每個可以更改其成員的人都可以被視為域管理員嗎？畢竟，任何可以這樣做的人都可以輕鬆地立即將他自己的帳戶或他喜歡的任何人的帳戶添加到組中，並將現有成員從組中移除！

類似地，在上面的例子中，雖然我們只有兩個帳戶是域管理員組的成員，但是每個可以重新設置這些帳戶密碼的人也應該被認為是域管理員嗎?畢竟，任何可以這樣做的人都可以輕鬆地重置這些管理帳戶的密碼，並立即登錄它們！

同樣,任何人都可以修改許可權或其中任何一個默認的所有權管理組或賬戶也應該被認為是一個特權用戶擁有相同級別的特權,因為他很可能會修改這些對象的許可權然後授予自己或別人相同級別的行政特權!

問題的答案

根據我們剛才在上面的一些考慮,希望答案現在能夠更加清楚,準確地識別在Active Directory中的特權用戶,除了列舉在Active Directory的默認管理/特權安全組的成員,至少,我們還應該確定如下一些情況：

1. 能改變在Active Directory中的每個域安全組的成員(以及任何嵌套的域安全組)可以在本質上被認為是管理/特權用戶嗎?

2. 能重置每一個域用戶帳戶的密碼的域安全組的成員可以在本質上被認為是管理/特權用戶嗎?

3. 能修改安全許可權或每一個域的所有許可權安全組和域用戶帳戶可以在本質上被認為是管理/特權用戶嗎?

在這裡我必須指出，這裡的關鍵字是「 至少」。我這樣說是因為還可以很容易地建立一個特定的域用戶帳戶或域安全組，這些用戶帳戶或域安全組可能不是Active Directory中任何默認特權組的成員，但是可以直接在Active Directory中被授予訪問許可權，等同於擁有訪問活動目錄的特權！

現在，如果你想知道 – 「 如何才能夠改變用戶組的成員身份和重置密碼呢？！ 」

Active Directory中的管理委託

這一章的內容將我們帶到了Active Directory 中最強大，最有價值，最經常使用的特性/優勢之一——管理委派。管理委派是一個功能，可以讓企業或組織在一大群IT人員之間分配和委派身份和訪問管理各個方面的管理許可權。

它的前提很簡單 – 因為一些高級特權的域管理員可能不能管理AD中的數千個對象，如果企業組織可以委派/分配更大的用戶組中的身份和訪問管理任務的管理許可權的IT人員，他們就不需要擁有和域管理員一樣的許可權！

管理委派讓企業組織委派在Active Directory中的管理許可權，並精確地執行 –

事實上，在過去17年中，在全球的Active Directory部署中，可能會有數十億個Active Directory域中執行的管理委託/訪問配置。

順便說一句，我只知道這一點，因為在2004年，我碰巧撰寫了關於這個主題的400頁白皮書，標題為「 在Active Directory中委派管理的最佳實踐 」。白皮書的附錄本身就是這方面知識的寶庫。令人驚訝的是，這些白皮書在http://microsoft.com上無處可尋！

現在，這是一個非常複雜的問題（考慮到它需要一個400頁的白皮書來介紹），所以我在這裡不會涉及太多的細節。相反，我只想與你分享IT人員如何最終獲得Active Directory中的足夠許可權，以便能夠執行常見的管理任務，如組成員身份更改，密碼重置等。

不足之處在於，如果將任務委託給特定的安全主體（例如域安全組），則需要在給定類型的對象上執行與該任務相對應的LDAP操作所需的安全許可權。在活動目錄的配置中，從而使該用戶組的所有成員都能夠執行該任務。

例如，當IT Operations Support Level 1的域安全組被委派了特定組織單位（OU）中的管理任務「 修改組的成員資格 」時，以下安全許可權被添加到該OU中每個域安全組的ACL中 – { Allow IT Operations Support Level 2 Write-Property Member }

同樣，當IT Operations Support Level 3域安全組被委派了特定OU中的管理任務「 重置用戶密碼 」時，以下安全許可權將添加到該OU中每個域用戶帳戶的ACL中 – { Allow IT Operations Support Level 3 Extended Right Reset Password (User-Force-Change-Password) }

同樣，當IT承包商等域安全組被拒絕執行特定管理任務的能力時，如「 重置用戶密碼 「，則將下列安全許可權添加到該OU中每個域用戶帳戶的ACL中 – { Deny IT Contractors Extended Right Reset Password (User-Force-Change-Password) }

注意：以上是對這一切如何工作的高度簡化的描述。當然，還有許多微妙的但至關重要的細節，例如支配哪些安全許可（在許多允許和拒絕之中）的優先順序，以及用戶實際上（即有效）訪問哪些內容。更多內容可以在這裡找到。

在這些默認的管理員組和帳戶以及這些被新手稱為「隱身管理員」的眾多其他對象中，就包含了所有能夠訪問或委託的域用戶賬戶！

好吧，通過這個無聊的理論，讓我們找出如何在Active Directory中正確識別這些隱身帳戶。如何正確發現Active Directory中的隱身管理員

如果你知道的內容很好，那麼你知道，為了正確地確定在Active Directory中的隱身管理員，你必須能夠確定有效許可權 / 有效訪問在Active Directory中所能做的事情。

如果你不太了解這個主題，那麼也許你可能（錯誤地）認為僅僅通過執行Active Directory許可權審計來找出「 誰在Active Directory中擁有什麼許可權 」就足夠了。但是，你錯了。

這就是為什麼 –

如果「隱形管理員」指的是那些有能力制定管理任務,如能夠改變一個域安全組的成員或重置一個域用戶帳戶的密碼,或修改Active Directory對象的許可權或所有許可權,那麼唯一正確的方法來識別所有這些人的身份就是通過這些管理任務,準確地確定有效的Active Directory對象上的/有效的訪問許可權。

我不會花費更多的時間來幫助世界了解Active Directory有效許可權是什麼以及為什麼它們如此重要，所以如果你想了解更多關於它們的信息，可以閱讀我強烈推薦的這篇文章。

讓我們繼續回答上面提到的問題…

所以，下面是保護Domain Admins安全組的ACL（訪問控制列表）

我們已經看到上面只有2個成員。但是，我們也應該想知道的是，究竟有多少人可以制定Domain Admins組的「更改組成員」的管理任務。

如上圖所示，Domain Admins組的ACL中有許多ACE，每個都允許或拒絕特定的安全主體（用戶，組，以及大家所熟知的SID或外部安全主體）和各種特定的Active Directory安全許可權。

現在，從技術上來說，要找出誰可以更改組成員，我們需要做的是確切地找出誰有足夠的寫屬性（Write Property – Member）的 有效的許可權，這是需要能夠修改此對象的成員屬性。

讓我告訴你唯一的方法，我知道如何準確地做到這一點 。

我啟動這個工具，使用其內置的搜索實用程序來找到並指向該工具的域管理員組，並單擊一個按鈕 –

在幾秒鐘內，該工具就能精確確定在此Active Directory對象上授予的完整有效許可權集合，並以最直觀的方式向我顯示結果。

注意：在有些人可能會想到微軟的「 有效許可權」選項卡。要知道為什麼它不僅不準確，而且還不夠充分，那麼你就要閱讀這篇文章。對於其他人來說，可能會想到這個工具 ，但是開發人員可能不知道該工具是危險的且不準確的。對於像dsacls，acldiag或各種Active Directory許可權分析器之類的工具的用戶而言，你可能會想要閱讀這些信息以了解為什麼這些工具不能單獨完成這項工作。

從上面的圖片中可以看出，雖然域管理員安全組本身只有2個成員，但實際上有11個人可以更改其成員，包括一個鬼鬼祟祟的壞人！

從這一份報告來看，特權用戶的實際數量增加了500％，即從2增加到了11！

同樣，該工具可以精確顯示此Active Directory對象中具有足夠的修改許可權和修改所有者的有效許可權，並確定特權用戶的實際數量。

現在，由於該工具是Active Directory有效許可權計算器（實際上是世界上唯一準確的），它主要是為Active Directory管理員和Active Directory安全專業人員設計的，因此它根據有效的許可權來確定並提供結果。但是，可能會有許多人，例如IT審計員，IT經理，網路安全風險評估師和其他角色相似的人員，他們可能不是Active Directory安全專家，因此可能不知道任何映射的有效許可權等技術細節。但可能有需要作出這樣的決定。

對於所有這樣的個人，我們建立了這個工具來幫助他們做出同樣的決定 –

與以前的工具不同的是，該工具的內置分析邏輯不僅可以確定有效的許可權，還可以確定Active Directory中的有效訪問許可權，因此可以以簡單的英文向你顯示實際可以在Active Directory中執行操作的人員即在管理任務方面，無需你了解有關Active Directory的任何信息。

從上面的截圖中可以看出，這個工具的結果也表明總共有11個人可以制定能夠更改Domain Admins組成員的管理任務！

通過這種方式，在幾秒鐘內，每個人都可以準確找出誰可以執行管理任務，如能夠修改特權安全組的成員資格，從而在Active Directory中發現「隱身的管理員」！

現在讓我給你看另一個例子 –

讓我們假設一個用戶Jeff Bezos是Active Directory中Enterprise Admins組的唯一成員。

由於他是Enterprise Admins組的成員，他顯然被認為是特權用戶。

現在，希望你會同意，因為他是一個特權用戶，任何人可以重置他的密碼也應該被認為是一個特權用戶，因為他只是通過一個滑鼠點擊動作就可以成為企業管理員，所以不應該是「我們也正在確定誰可以重置他的密碼？！

注意：現在，如果他的帳戶可能啟用了智能卡，那麼只需找出誰可以關閉「 登錄時需要智能卡 」的要求，並重置密碼即可！

那麼，讓我們來看看究竟是誰能重置Jeff Bezos的密碼，

我們點擊一個按鈕，喝一口咖啡，瞧，我們剛剛發現，總共有30個人有足夠的有效的許可權/有效的訪問他的域用戶帳戶，以便能夠重置傑夫·貝佐斯的密碼！

仔細想想 – 即使在這個虛構的企業組織中，只有1個企業管理員，即只有1個用戶是企業管理員組的成員，我們剛發現有30個人可以重置他的密碼！

如何在Active Directory中審計特定的隱身訪問

如果「隱身管理員」/「隱身訪問」指的是「委派管理員」/「委派訪問」，那麼接下來的內容就是關於如何一步一步的指導世界各地的IT人員審計Active Directory中的特定隱身訪問。

1. 如何正確 審計誰可以在Active Directory中創建用戶帳戶

2. 如何正確 審計誰可以更改Active Directory中的組成員身份

3. 如何正確 審計誰可以刪除Active Directory中的組織單位

4. 如何正確 審計誰可以重置Active Directory中的密碼

5. 如何正確 審計誰可以更改Active Directory中的服務連接點

在討論主題時，你可能還想了解如何正確執行Active Directory特權用戶審計。

現在假設你的Active Directory中有數千個域用戶帳戶，域安全組，域計算機帳戶，組織單位，服務連接點等。

從技術上講，如果你真的想要發現Active Directory中的所有「隱身管理員」，你不想確切地知道誰可以重置Active Directory中的所有域用戶帳戶的密碼，誰可以更改所有域的成員資格Active Directory中的安全組，可以更改保護域中所有Active Directory對象的安全許可權等。例如，如何確切地知道誰可以重置CEO的域用戶帳戶的密碼？

那麼，如果答案是肯定的，基本上就是在確定Active Directory中成千上萬個對象的有效許可權。現在，即使你有能力通過單擊一個按鈕來確定單個Active Directory上的有效許可權/訪問許可權，仍然需要數千次的單擊一個按鈕。

這聽起來不是太多，更不用說這可能需要幾個星期才能完成。當然，如果你甚至沒有能力一次確定一個對象的有效許可權，你可以很容易地花費幾個月，甚至幾年來得出分析結果。

那麼，如果有這樣一個工具可以一次性處理數千萬個對象，這不是很好嗎？

像下圖這樣 。

如果你可以單擊一個按鈕，現在你可以立即準確地發現活動目錄中的每一個「Stealthy Admin」，無論你的Active Directory中有幾百個或幾十萬個對象。

有關使用此工具審計的所有管理任務的完整列表，請單擊此處查看。

對於聽起來覺得很容易的新手來說，如果你想知道這是多麼困難，你會想找到一個活動目錄安全專家，一個已經花了數年時間研究Active Directory安全性的人，並且擁有數千小時的嘗試確定各種Active Directory對象的有效許可權的經驗，也許他可以幫助你知道這件事其實有多麼的困難。

那些真正了解Active Directory安全的人員知道構建這樣的工具與攀登珠穆朗瑪峰一樣難。然後有人聲稱提供免費的工具，可以幫助識別在Active Directory中的隱形管理員;-)他們沒有意識到，這樣做，他們可能實際上是向世界展示他們對Active Directory安全知道的有多麼的少喝淺。

總結

在這篇文章中，我希望幫助人們了解，有些人可能稱之為「隱身管理員」，只是Active Directory中的一個代理管理員，或者可能已經在Active Directory中為其配置了各種級別的訪問權的IT人員。

話雖如此，我還想告訴你如何識別這些委派管理員，這符合你的職位的要求，也許我們可以一起玩，並繼續稱之為「Active Directory中的隱身管理員」。

我也想分享一個簡單的事實：為了在Active Directory中發現隱身的管理員，我們需要做的是能夠準確地確定Active Directory對象的有效許可權。

噢，我還想傳達一下，當企業組織審計Active Directory中的特權用戶時，只包括默認Active Directory管理組的成員是不夠的。你還需要包含在Active Directory中擁有足夠有效訪問許可權的所有這些用戶的身份，以便能夠修改這些組的成員身份，重置所有成員的密碼，更改保護這些組和帳戶的安全許可權等。

如果你想知道如何正確地做到這一點，你需要閱讀- 如何在Active Directory中正確識別特權用戶。

最後，我想用兩個簡單的說明示例來演示所有這些內容，其中一個涉及確定誰可以更改Domain Admins組的成員身份，另一個涉及確定可以重置Enterprise Admin的密碼的人員。

這就是這篇文章的主要內容。下一篇文章，我們將回到正軌，繼續完成 Microsoft的Active Directory安全學院知識分享。

本文翻譯自：http://www.active-directory-security.com/2017/12/how-to-discover-stealthy-admins-in-active-directory.html ，如若轉載，請註明原文地址： http://www.4hou.com/technology/9736.html

推薦閱讀：