风险敞口管理

    ADManager Plus中的风险暴露管理功能,可通过可视化方式集中展示Active Directory(AD)中拥有敏感及高权限实体访问权限的账户。

    通过监控权限过高的身份并评估潜在威胁路径,ADManager Plus可直观展示组织面临的内外攻击风险。该功能不仅揭示实体暴露原因,更提供精准的风险缓解方案。

    凭借此功能,ADManager Plus 助您:- 掌握特权暴露范围- 评估风险影响- 实施有效补救措施从而强化 IT 环境的安全性与韧性。

    本文档将为您阐述以下内容:

    理解关键术语

    以下术语需重点掌握:

    术语 描述
    特权实体 具有提升权限的 Active Directory 组,可访问敏感资源。
    特权实体暴露 因关键实体权限配置过度或错误导致的安全风险。
    攻击路径 攻击者可能利用的连续关联实体链路,构成入侵目标的潜在路径。
    攻击路径中的账户 攻击者为横向移动至目标而经过的账户。
    攻击流程 展示攻击者如何在环境中逐步推进的顺序路径。
    父对象 攻击路径中使攻击者能够访问下一个实体的前置对象。
    关系 连接攻击路径中两个对象的特权或信任类型。

    ADManager Plus风险暴露分析步骤

    1. 登录 ADManager Plus。
    2. 导航至治理 > 风险管理
    3. 在左侧窗格中,点击风险暴露管理
    4. 从"选择域"下拉菜单中,选择需要进行风险暴露分析的域。
    5. 仪表板将显示已配置的特权实体数量及其关联攻击路径。
    6. 在"攻击路径"选项卡下,可查看从初始访问点通往特权实体的潜在攻击路径。
    7. 特权实体暴露选项卡下,可查看所有可能被利用以控制特权实体的潜在攻击路径列表。

      注意:默认情况下, ADManager Plus将内置AD组列为特权实体。若需添加其他组为特权实体,请点击此处

    8. 点击刷新图标可更新所选域中特权实体的攻击路径。
    9. 点击"设置数据同步时间"可配置自动数据同步的计划任务。

    攻击流程图可可视化呈现特权与权限在用户、组、计算机及AD对象间的流动路径,有助于识别可能导致特权提升或域安全受损的潜在攻击路径。

    理解关系机制

    节点间的每条连接代表特定权限或关系,决定了对象间的控制与影响机制。若这些关系配置不当或权限过宽,攻击者可能利用其进行横向移动或权限提升。

    • 单击任意对象可查看所选对象的属性。
    • 点击任意关联线可查看该关联的详细信息,包括描述、利用方法及推荐修复步骤。推荐修复步骤可通过ADManager Plus的"变更所有者"、"移除成员资格"和"移除权限"管理任务执行。

    应用场景:攻击者如何通过用户获取管理员权限?

    在例行安全审查中,管理员发现敏感销售和财务数据被通过"销售经理组 "权限访问。但涉事用户Daniel并未被列为任何高权限组成员,且无直接证据表明其与销售经理组存在关联。

    Risk Visualization/Attack Flow

    团队通过ADManager Plus的风险暴露管理功能,可视化呈现了隐藏的特权路径。

    • 用户(Daniel)通过嵌套组关系链及委托权限间接访问了销售经理组。
    • Daniel 是 Technicians 组的成员,该组对 Arnold 的账户拥有 GenericWrite 权限。
    • 而Arnold则是销售经理组的成员。
    • 通过利用此链式关系,Daniel可冒充Arnold身份或修改组成员资格——从而在未直接加入销售经理组的情况下,为自己获取提升权限。

    隐藏的组成员关系与委托权限链形成了未被察觉的特权提升路径,使Daniel或任何能访问其账户的人员都能获得域级控制权。通过运用风险暴露管理功能,管理员得以主动追踪并消除这些间接攻击路径,在损害发生前消除了风险。

    图例说明

    图例弹窗通过说明节点类型、颜色标识的对象类别及关系含义,帮助管理员理解攻击流程。

    对象类型

    符号 对象类型
    icon User 用户
    icon group
    icon computer 计算机
    icon AD 其他 AD 对象

    节点类型

    符号 节点类型 描述
    icon target 目标 高价值目标对象,可能是攻击者的潜在目标。
    icon Entry Point 入口点 攻击路径起始的初始对象。
    icon Cluster 为减少视觉干扰而折叠显示的相关节点集合。

    关系类型

    符号 关系类型 描述
    icon Cluster MemberOf 表示群组成员关系,表明该对象属于另一个群组。
    icon Owns 拥有 表示一个对象对另一个对象的所有权。
    icon Cluster 其他权限 其他委派权限,例如写入、读取或特殊控制权限。

    关联列表

    攻击流程可可视化呈现以下关系类型,每种类型均代表潜在的特权流或攻击路径,这些路径可能被利用于AD环境中。

    • 所属
    • 拥有
    • 写入 DACL
    • DCSync
    • 允许操作
    • 授予允许操作
    • 添加密钥凭据
    • 重置密码
    • 写入所有者
    • 通用
    • 写入SPN
    • 扩展权限
    • 允许委派
    • 具有 SID 历史记录
    • RODC管理
    • 通用写入
    • 添加成员
    • 域信任

    风险暴露查询提供了一套全面的预定义查询,旨在识别AD环境中的常见安全漏洞和权限风险。每个查询结果都包含对象及其关系的可视化表示,使管理员能够理解并解决与权限相关的风险。

    这些关系图展示了用户、组及其他AD实体间权限的关联与继承机制,涵盖嵌套成员资格和信任路径。通过映射这些连接,ADManager Plus可识别攻击者用于权限提升或横向移动的潜在利用路径。每项查询均附有可操作的修复措施,指导管理员采取必要行动以降低风险并强化整体AD安全态势。

    ADManager Plus支持的查询功能

    查找所有域管理员

    识别域管理员组的所有成员(含嵌套组成员),全面掌握域内顶级权限持有者。

    映射域信任关系

    识别并分析林内所有域信任关系,理解域间信任机制,评估潜在跨域攻击面。

    查找特权组中易受Kerberoasting攻击的成员

    识别易受Kerberoasting攻击的特权组成员,通过定位暴露高价值目标的账户来降低风险。

    从Kerberoastable用户到特权实体的路径

    追踪从Kerberoastable用户到特权账户或组的攻击路径,在攻击者之前发现横向移动机会。

    查找具备DCSync权限的安全主体

    识别具备域控制器数据复制权限的账户或组,防范可能导致域级别的潜在滥用风险。

    从域用户到特权实体的路径

    检测普通域用户如何提升权限,并根据当前配置评估权限提升风险。

    通往无限制委托系统的路径

    发现易受无限制委托攻击的系统路径,并修复可能导致凭据窃取的委托配置错误。

    Kerberoast攻击路径

    识别攻击者如何接触易受Kerberoasting攻击的用户,并揭示及修复安全链中的薄弱环节。

    发现通往域管理员的路径

    检测通往域管理员组的潜在攻击路径,通过封堵关键角色的权限提升通道来强化域安全性。