ADManager Plus中的风险暴露管理功能,可通过可视化方式集中展示Active Directory(AD)中拥有敏感及高权限实体访问权限的账户。
通过监控权限过高的身份并评估潜在威胁路径,ADManager Plus可直观展示组织面临的内外攻击风险。该功能不仅揭示实体暴露原因,更提供精准的风险缓解方案。
凭借此功能,ADManager Plus 助您:- 掌握特权暴露范围- 评估风险影响- 实施有效补救措施从而强化 IT 环境的安全性与韧性。
本文档将为您阐述以下内容:
以下术语需重点掌握:
| 术语 | 描述 |
|---|---|
| 特权实体 | 具有提升权限的 Active Directory 组,可访问敏感资源。 |
| 特权实体暴露 | 因关键实体权限配置过度或错误导致的安全风险。 |
| 攻击路径 | 攻击者可能利用的连续关联实体链路,构成入侵目标的潜在路径。 |
| 攻击路径中的账户 | 攻击者为横向移动至目标而经过的账户。 |
| 攻击流程 | 展示攻击者如何在环境中逐步推进的顺序路径。 |
| 父对象 | 攻击路径中使攻击者能够访问下一个实体的前置对象。 |
| 关系 | 连接攻击路径中两个对象的特权或信任类型。 |
注意:默认情况下, ADManager Plus将内置AD组列为特权实体。若需添加其他组为特权实体,请点击此处。
攻击流程图可可视化呈现特权与权限在用户、组、计算机及AD对象间的流动路径,有助于识别可能导致特权提升或域安全受损的潜在攻击路径。
节点间的每条连接代表特定权限或关系,决定了对象间的控制与影响机制。若这些关系配置不当或权限过宽,攻击者可能利用其进行横向移动或权限提升。
在例行安全审查中,管理员发现敏感销售和财务数据被通过"销售经理组 "权限访问。但涉事用户Daniel并未被列为任何高权限组成员,且无直接证据表明其与销售经理组存在关联。

团队通过ADManager Plus的风险暴露管理功能,可视化呈现了隐藏的特权路径。
隐藏的组成员关系与委托权限链形成了未被察觉的特权提升路径,使Daniel或任何能访问其账户的人员都能获得域级控制权。通过运用风险暴露管理功能,管理员得以主动追踪并消除这些间接攻击路径,在损害发生前消除了风险。
图例弹窗通过说明节点类型、颜色标识的对象类别及关系含义,帮助管理员理解攻击流程。
对象类型
| 符号 | 对象类型 |
|---|---|
| 用户 | |
| 组 | |
| 计算机 | |
| 其他 AD 对象 |
节点类型
| 符号 | 节点类型 | 描述 |
|---|---|---|
| 目标 | 高价值目标对象,可能是攻击者的潜在目标。 | |
| 入口点 | 攻击路径起始的初始对象。 | |
| 簇 | 为减少视觉干扰而折叠显示的相关节点集合。 |
关系类型
| 符号 | 关系类型 | 描述 |
|---|---|---|
| MemberOf | 表示群组成员关系,表明该对象属于另一个群组。 | |
| 拥有 | 表示一个对象对另一个对象的所有权。 | |
| 其他权限 | 其他委派权限,例如写入、读取或特殊控制权限。 |
攻击流程可可视化呈现以下关系类型,每种类型均代表潜在的特权流或攻击路径,这些路径可能被利用于AD环境中。
风险暴露查询提供了一套全面的预定义查询,旨在识别AD环境中的常见安全漏洞和权限风险。每个查询结果都包含对象及其关系的可视化表示,使管理员能够理解并解决与权限相关的风险。
这些关系图展示了用户、组及其他AD实体间权限的关联与继承机制,涵盖嵌套成员资格和信任路径。通过映射这些连接,ADManager Plus可识别攻击者用于权限提升或横向移动的潜在利用路径。每项查询均附有可操作的修复措施,指导管理员采取必要行动以降低风险并强化整体AD安全态势。
识别域管理员组的所有成员(含嵌套组成员),全面掌握域内顶级权限持有者。
识别并分析林内所有域信任关系,理解域间信任机制,评估潜在跨域攻击面。
识别易受Kerberoasting攻击的特权组成员,通过定位暴露高价值目标的账户来降低风险。
追踪从Kerberoastable用户到特权账户或组的攻击路径,在攻击者之前发现横向移动机会。
识别具备域控制器数据复制权限的账户或组,防范可能导致域级别的潜在滥用风险。
检测普通域用户如何提升权限,并根据当前配置评估权限提升风险。
发现易受无限制委托攻击的系统路径,并修复可能导致凭据窃取的委托配置错误。
识别攻击者如何接触易受Kerberoasting攻击的用户,并揭示及修复安全链中的薄弱环节。
检测通往域管理员组的潜在攻击路径,通过封堵关键角色的权限提升通道来强化域安全性。
