攻击和防御微软增强的安全管理环境.pdf

作者介绍 Hao Wang (@MrRed_Panda)  职位：安永网络安全咨询业务经理；主要负责攻击和渗透。  会议演讲： SANS Threat Hunting 2016，ISACA 2017 春季会议  其他：金融科技 Yothin (Pipe) Rodanant (@TheFoldKitty)  职位：安永网络安全咨询业务经理；主要负责攻击和渗透。  会议演讲：RSA 2016  其他：爱好游轮和赌场 免责声明  本演示文稿中表达的任何想法、内容或意见均不由我们的雇主以任何 方式共享、支持或认可。  此演示文稿中不包含 CVE或漏洞利用，主要讨论那些被忽视的、用于 识别 AD增强安全管理环境中错误配置的方法和一些其他的安全解决 方案。 致谢  Will Schroeder (@harmj0y) and Andy Robbins (@_wald0)  AnACE Up the Sleeve - Designing Active Directory DACL Backdoors  BloodHound  PowerView   Sean Metcalf (@PyroTek3)   Matt Graeber (@mattifestation)  PowerSploit   安永同事 Jonathan Peterson, Charles Herrera, and Joshua Theimer 本演示文稿大纲 1. Red Forest 概述 2. 通过滥用 AD权限攻击 Red Forest 3. 通过操作虚拟化平台攻击 Red Forest 4. 通过利用端点保护技术攻击 Red Forest 5. 通过绕过双因素认证攻击 Red Forest 6. Red Forest 增强 第 1部分 RED FOREST 概述  ESAE 是 Active Directory Enhanced Security Administrative Environment 的简写，即AD增强的安全管理环境。  是微软的AD体系结构设计的一个概念  旨在通过以下方式限制管理凭证泄露的风险：  一个强化的管理环境 ▪ 一个独立 forest 用于通过加密通道来管理生产 forest/域的管理功能  AD对象分区 ▪ AD对象的分层隔离 ESAE 管理 Forest 单向信任提供管理访问权限 生产 Forest AD 分区  Red Forest 基于 AD “环”或 “层”的概念，将系统和帐户的管理权限级别分隔开来。  第 0层 ▪ 帐号：Forest/域管理员 ▪ 系统：用于纯粹支持域控制器的域控制器/其他关键服务器  第 1层 ▪ 账号：服务器管理员 ▪ 系统：用于支持常规业务功能的服务器，如应用程序/数据库服务器  第 2层 ▪ 账号：工作站管理员 ▪ 系统：终端用户设备，如台式机、笔记本电脑和移动设备 RED FOREST 概述 — 管理 Forest  通过网络访问控制，ESAE Forest 与生产 Forest 隔离  从生产到 ESAE Forest 的单向信任被强制执行  没有任何生产 AD管理账户或组可以访问 ESAE Forest  所有 AD管理帐户/组都由密码管理解决方案进行管理  应在 ESAE 内部建立双因素认证、严格的日志记录和警报以及其他安全控制措施 RED FOREST 概述 — 管理 Forest RED FOREST 概述 — 渗透测试的挑战 RED FOREST 概述 — 渗透测试的挑战  在这个 PPT 中，我们主要关注针对第 0 层的攻击。 第 2部分 通过滥用AD权限攻击 Red Forest  寻找不受 Red Forest 保护的 “影子管理员”账户  具有 DCS