Поиск уязвимых параметров в групповых политиках AD: Grouper — Information Security Squad

Поиск уязвимых параметров в групповых политиках AD: Grouper

Grouper — это слегка шаткий модуль PowerShell, предназначенный для пентестеров и редтимерс (хотя, вероятно, также полезен для системных администраторов), который просачивается через XML-вывод из командлета Get-GPOReport (входит в модуль групповой политики Microsoft) и идентифицирует все настройки определенных в объектах групповой политики (GPO), которые могут оказаться полезными для тех, кто пытается сделать что-то забавное / злое.

Примеры вещей, которые он находит в объектах групповой политики:

Объекты групповой политики, которые предоставляют разрешения на изменение для самого объекта групповой политики для пользователей, не являющихся пользователями по умолчанию.
Сценарии запуска и завершения работы
Аргументы и сценарий часто включают в себя creds.
С
крипты часто хранятся с разрешениями, которые позволяют вам изменять их.
MSI-установщики автоматически развертываются
Хорошие старомодные пароли настроек групповой политики.
Записи реестра Autologon, содержащие учетные данные.
Другие creds хранятся в реестре для забавных вещей, таких как VNC.
Запланированные задачи с сохраненными учетными данными.
Права пользователя
Удобно обнаруживать, где администраторы случайно предоставили доступ к RDP для пользователей домена или те забавные права, которые позволяют запускать mimikatz, даже без полных админских прав.

Твики для локальных разрешений файлов
Поиск тех машин, где админы просто штамповали «Полный контроль» для «All» на «C: \ Program Files».
Файлы INI
Переменные среды

Примечание. Хотя некоторые имена функций могут включать в себя аудит слов, Groper явно НЕ предназначен для исчерпывающего аудита конфигураций наилучшей практики и т. д.

Если вы этого хотите, вы должны использовать Microsoft SCT и LGPO.exe или что-то в этом роде.

Применение

Создайте отчет GPO на компьютере под управлением Windows с установленными командлетами групповой политики.

Они установлены на контроллерах домена по умолчанию, могут быть установлены на клиентах Windows с использованием RSAT или могут быть активированы с помощью мастера «Добавить функцию» на серверах Windows.

 # Get-GPOReport -All -ReportType xml -Path C:\temp\gporeport.xml 

Импортируйте модуль Grouper.

 Import-Module grouper.ps1 

Запустите Grouper

 Invoke-AuditGPOReport -Path C:\temp\gporeport.xml 

Параметры

Там также есть пара параметров, с которыми вы можете столкнуться, которые изменяют параметры политики, которые Grouper покажет вам:

  -showDisabled 

По умолчанию Grouper будет показывать только объекты групповой политики, которые в настоящее время включены и связаны с OU в AD. 

  -Level

Grouper имеет 3 уровня фильтрации, которые вы можете применить к его выводу.

Показать все настройки, которые вы доступны.
(По умолчанию) Покажите мне только настройки, которые кажутся «интересными», но могут быть или не быть уязвимыми.
Покажите мне только настройки, которые, безусловно, являются очень плохой идеейю

Использование прост. -Level 3, -Level 2 и т. д.

Скачать Grouper

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40