域安全之LDAP讀取控制
Luis
AD 活動目錄設(shè)計公平 開放，任何用戶都能讀取其他用戶信息
微軟建議單獨建一個域管理特權(quán)賬號，委派控制另一個域，其實還有更方便的辦法

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：申請域名、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、上思網(wǎng)站維護、網(wǎng)站推廣。

0x01 存在的風(fēng)險

不知道大家有沒有使用過AD Explorer和dsquery這兩個工具？
當(dāng)Red Team（后面簡稱RT）成功突破外網(wǎng)服務(wù)器并進入到內(nèi)網(wǎng)后，這時候的主要目標(biāo)就從外網(wǎng)突破轉(zhuǎn)變?yōu)榱藘?nèi)網(wǎng)的橫向擴展。
如果內(nèi)網(wǎng)存在域，并且RT在已經(jīng)***成功的服務(wù)器上獲取到了域內(nèi)的一個普通賬號，這時候，RT就可以使用dsquery命令和AD Explorer這兩個工具，獲取到域內(nèi)所有服務(wù)器列表、用戶列表、組織架構(gòu)等敏感信息。

圖一 AD Explorer

圖二 dsquery computer

圖三 dsquery user

圖一、圖二、圖三分別展現(xiàn)了利用域內(nèi)普通賬號，通過AD Explorer和dsquery獲取到的域內(nèi)計算機和用戶等信息。
有時候域管理員可能覺得，泄露了這些信息有什么關(guān)系呢？有了這些信息，RT相當(dāng)于得到了一張完整的域內(nèi)地圖，需要關(guān)注哪個管理員、那個業(yè)務(wù)，靠著這張地圖就可以很容易的找到。這些敏感信息極大的提高了RT的***效率，可以稱為***測試中的“尋寶圖”。
0x02 如何防御
在域的默認(rèn)配置下，所有域內(nèi)的用戶都擁有LDAP服務(wù)的讀取權(quán)限！不得不說，這個默認(rèn)配置在域安全中是一個巨大的坑。并且絕大部分的域管理員并不會注意到這個問題的存在。但是這種***方法，又是RT所鐘愛的方法之一。
那么我們?nèi)绾螌@種域內(nèi)信息獲取的方式進行防御呢？
其實，大部分的用戶在域內(nèi)是不需要LDAP讀取權(quán)限的。我們可以通過在AD上，禁用普通用戶的read和list權(quán)限，達到安全配置的目的。
0x03 具體設(shè)置
下面就以Windows Server 2012 R2為例，詳細(xì)介紹一下安全配置的步驟。
一、 Ctrl+R，輸入dsa.msc并運行。

二、 點擊View，選擇Advanced Features。

三、 添加一個用戶組，如DisabelLDAPGroup。(https://s1.51cto.com/images/blog/201905/27/6da51318aba7d655b623c538d99a1f78.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

四、 在域的用戶OU點擊右鍵，選擇Properties。
注意這里不能從根OU拒絕，因為組策略需要對用戶和計算機下發(fā)，全部拒絕則代表用戶、計算機名均無法識別，導(dǎo)致組策略下發(fā)失敗

選擇人員OU

五、 選擇Security，并點擊Advanced。

六、 在彈出的窗口中，點擊Add。

七、 在彈出的窗口中，點擊Select a principal，并在彈出的窗口中輸入DisableDLAPGroup，點擊ok。

八、 將滾動條拉到底部，選擇Clear all，然后再拉到最頂部，在Permissions區(qū)選擇List contents和Read all properties，在Type處選擇Deny。

九、 點擊所有對話框的OK按鈕。
十、 把所有不需要LDAP讀取權(quán)限的用戶，添加到DisableLDAPGroup組當(dāng)中。
在進行完以上操作，我們再使用dsquery和AD Explorer來讀取信息試試。


可以看到，LDAP的讀取操作被成功阻止了！
0x04 對業(yè)務(wù)的影響
很多管理員會問，這樣做是可以防止RT非法讀取LDAP信息，但是會對業(yè)務(wù)產(chǎn)生影響嗎？
經(jīng)過測試，禁用LDAP權(quán)限對域內(nèi)計算機正常登陸、LDAP認(rèn)證是不會產(chǎn)生任何影響的。
對于無LDAP讀取權(quán)限的用戶，要進行域用戶、計算機、組的選擇操作時，會出現(xiàn)錯誤。解決辦法是，使用有權(quán)限的用戶進行操作。由于此場景對于普通用戶來說出現(xiàn)的并不多，所以影響處于可接受的范圍內(nèi)。
如果有業(yè)務(wù)確實要使用到LDAP來讀取域內(nèi)信息，可以創(chuàng)建專用賬戶，不添加到DisableLDAPGroup當(dāng)中，即可滿足相關(guān)的業(yè)務(wù)需要。
0x05 總結(jié)
LDAP任意用戶讀取權(quán)限的問題往往被很多管理員所忽略，卻被很多Red Team所青睞。禁用普通用戶的LDAP權(quán)限，可以有效防止域內(nèi)信息的泄露，提高AD的安全性。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站標(biāo)題：域安全之LDAP讀取控制-創(chuàng)新互聯(lián)
文章路徑：http://chinadenli.net/article24/ddeeje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、網(wǎng)站排名、營銷型網(wǎng)站建設(shè)、做網(wǎng)站、網(wǎng)站改版、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)