Grouper – это слегка шаткий модуль PowerShell, предназначенный для пентестеров и редтимерс (хотя, вероятно, также полезен для системных администраторов), который просачивается через XML-вывод из командлета Get-GPOReport (входит в модуль групповой политики Microsoft) и идентифицирует все настройки определенных в объектах групповой политики (GPO), которые могут оказаться полезными для тех, кто пытается сделать что-то забавное / злое.
Примеры вещей, которые он находит в объектах групповой политики:
Объекты групповой политики, которые предоставляют разрешения на изменение для самого объекта групповой политики для пользователей, не являющихся пользователями по умолчанию.
Сценарии запуска и завершения работы
Аргументы и сценарий часто включают в себя creds.
Скрипты часто хранятся с разрешениями, которые позволяют вам изменять их.
MSI-установщики автоматически развертываются
Хорошие старомодные пароли настроек групповой политики.
Записи реестра Autologon, содержащие учетные данные.
Другие creds хранятся в реестре для забавных вещей, таких как VNC.
Запланированные задачи с сохраненными учетными данными.
Права пользователя
Удобно обнаруживать, где администраторы случайно предоставили доступ к RDP для пользователей домена или те забавные права, которые позволяют запускать mimikatz, даже без полных админских прав.
Твики для локальных разрешений файлов
Поиск тех машин, где админы просто штамповали «Полный контроль» для «All» на «C: \ Program Files».
Файлы INI
Переменные среды
Примечание. Хотя некоторые имена функций могут включать в себя аудит слов, Groper явно НЕ предназначен для исчерпывающего аудита конфигураций наилучшей практики и т. д.
Если вы этого хотите, вы должны использовать Microsoft SCT и LGPO.exe или что-то в этом роде.
Применение
Создайте отчет GPO на компьютере под управлением Windows с установленными командлетами групповой политики.
Они установлены на контроллерах домена по умолчанию, могут быть установлены на клиентах Windows с использованием RSAT или могут быть активированы с помощью мастера «Добавить функцию» на серверах Windows.
# Get-GPOReport -All -ReportType xml -Path C:\temp\gporeport.xml
Импортируйте модуль Grouper.
Import-Module grouper.ps1
Запустите Grouper
Invoke-AuditGPOReport -Path C:\temp\gporeport.xml
Параметры
Там также есть пара параметров, с которыми вы можете столкнуться, которые изменяют параметры политики, которые Grouper покажет вам:
-showDisabled
По умолчанию Grouper будет показывать только объекты групповой политики, которые в настоящее время включены и связаны с OU в AD.
-Level
Grouper имеет 3 уровня фильтрации, которые вы можете применить к его выводу.
Показать все настройки, которые вы доступны.
(По умолчанию) Покажите мне только настройки, которые кажутся «интересными», но могут быть или не быть уязвимыми.
Покажите мне только настройки, которые, безусловно, являются очень плохой идеейю
Использование прост. -Level 3, -Level 2 и т. д.
