域安全之LDAP讀取控制
Luis
AD 活動(dòng)目錄設(shè)計(jì)公平 開放，任何用戶都能讀取其他用戶信息
微軟建議單獨(dú)建一個(gè)域管理特權(quán)賬號(hào)，委派控制另一個(gè)域，其實(shí)還有更方便的辦法

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：申請(qǐng)域名、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、上思網(wǎng)站維護(hù)、網(wǎng)站推廣。

0x01 存在的風(fēng)險(xiǎn)

不知道大家有沒有使用過AD Explorer和dsquery這兩個(gè)工具？
當(dāng)Red Team（后面簡稱RT）成功突破外網(wǎng)服務(wù)器并進(jìn)入到內(nèi)網(wǎng)后，這時(shí)候的主要目標(biāo)就從外網(wǎng)突破轉(zhuǎn)變?yōu)榱藘?nèi)網(wǎng)的橫向擴(kuò)展。
如果內(nèi)網(wǎng)存在域，并且RT在已經(jīng)***成功的服務(wù)器上獲取到了域內(nèi)的一個(gè)普通賬號(hào)，這時(shí)候，RT就可以使用dsquery命令和AD Explorer這兩個(gè)工具，獲取到域內(nèi)所有服務(wù)器列表、用戶列表、組織架構(gòu)等敏感信息。

圖一 AD Explorer

圖二 dsquery computer

圖三 dsquery user

圖一、圖二、圖三分別展現(xiàn)了利用域內(nèi)普通賬號(hào)，通過AD Explorer和dsquery獲取到的域內(nèi)計(jì)算機(jī)和用戶等信息。
有時(shí)候域管理員可能覺得，泄露了這些信息有什么關(guān)系呢？有了這些信息，RT相當(dāng)于得到了一張完整的域內(nèi)地圖，需要關(guān)注哪個(gè)管理員、那個(gè)業(yè)務(wù)，靠著這張地圖就可以很容易的找到。這些敏感信息極大的提高了RT的***效率，可以稱為***測(cè)試中的“尋寶圖”。
0x02 如何防御
在域的默認(rèn)配置下，所有域內(nèi)的用戶都擁有LDAP服務(wù)的讀取權(quán)限！不得不說，這個(gè)默認(rèn)配置在域安全中是一個(gè)巨大的坑。并且絕大部分的域管理員并不會(huì)注意到這個(gè)問題的存在。但是這種***方法，又是RT所鐘愛的方法之一。
那么我們?nèi)绾螌?duì)這種域內(nèi)信息獲取的方式進(jìn)行防御呢？
其實(shí)，大部分的用戶在域內(nèi)是不需要LDAP讀取權(quán)限的。我們可以通過在AD上，禁用普通用戶的read和list權(quán)限，達(dá)到安全配置的目的。
0x03 具體設(shè)置
下面就以Windows Server 2012 R2為例，詳細(xì)介紹一下安全配置的步驟。
一、 Ctrl+R，輸入dsa.msc并運(yùn)行。

二、 點(diǎn)擊View，選擇Advanced Features。

三、 添加一個(gè)用戶組，如DisabelLDAPGroup。(https://s1.51cto.com/images/blog/201905/27/6da51318aba7d655b623c538d99a1f78.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

四、 在域的用戶OU點(diǎn)擊右鍵，選擇Properties。
注意這里不能從根OU拒絕，因?yàn)榻M策略需要對(duì)用戶和計(jì)算機(jī)下發(fā)，全部拒絕則代表用戶、計(jì)算機(jī)名均無法識(shí)別，導(dǎo)致組策略下發(fā)失敗

選擇人員OU

五、 選擇Security，并點(diǎn)擊Advanced。

六、 在彈出的窗口中，點(diǎn)擊Add。

七、 在彈出的窗口中，點(diǎn)擊Select a principal，并在彈出的窗口中輸入DisableDLAPGroup，點(diǎn)擊ok。

八、 將滾動(dòng)條拉到底部，選擇Clear all，然后再拉到最頂部，在Permissions區(qū)選擇List contents和Read all properties，在Type處選擇Deny。

九、 點(diǎn)擊所有對(duì)話框的OK按鈕。
十、 把所有不需要LDAP讀取權(quán)限的用戶，添加到DisableLDAPGroup組當(dāng)中。
在進(jìn)行完以上操作，我們?cè)偈褂胐squery和AD Explorer來讀取信息試試。


可以看到，LDAP的讀取操作被成功阻止了！
0x04 對(duì)業(yè)務(wù)的影響
很多管理員會(huì)問，這樣做是可以防止RT非法讀取LDAP信息，但是會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響嗎？
經(jīng)過測(cè)試，禁用LDAP權(quán)限對(duì)域內(nèi)計(jì)算機(jī)正常登陸、LDAP認(rèn)證是不會(huì)產(chǎn)生任何影響的。
對(duì)于無LDAP讀取權(quán)限的用戶，要進(jìn)行域用戶、計(jì)算機(jī)、組的選擇操作時(shí)，會(huì)出現(xiàn)錯(cuò)誤。解決辦法是，使用有權(quán)限的用戶進(jìn)行操作。由于此場(chǎng)景對(duì)于普通用戶來說出現(xiàn)的并不多，所以影響處于可接受的范圍內(nèi)。
如果有業(yè)務(wù)確實(shí)要使用到LDAP來讀取域內(nèi)信息，可以創(chuàng)建專用賬戶，不添加到DisableLDAPGroup當(dāng)中，即可滿足相關(guān)的業(yè)務(wù)需要。
0x05 總結(jié)
LDAP任意用戶讀取權(quán)限的問題往往被很多管理員所忽略，卻被很多Red Team所青睞。禁用普通用戶的LDAP權(quán)限，可以有效防止域內(nèi)信息的泄露，提高AD的安全性。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：域安全之LDAP讀取控制-創(chuàng)新互聯(lián)
文章路徑：http://jinyejixie.com/article24/ddeeje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、網(wǎng)站排名、營銷型網(wǎng)站建設(shè)、做網(wǎng)站、網(wǎng)站改版、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)