如何發現Active Directory中的隱身管理員賬戶（一）

今天我想談談一個非常有趣的話題，即如何識別/掃描/發現在Active Directory中的隱身管理員。這篇文章不是如何識別和阻止活動目錄中隱藏的持久性後門的第二部分 ，這篇文章的後續內容我會儘快更新。

Active Directory中的隱身管理員

最近，很多人正在關注什麼樣的賬戶被稱為「 Active Directory中的隱身管理員 」 ！

值得一提的是，這個隱身管理員的概念是「 活動目錄中隱藏的持久性後門 」這個概念的延伸。這幾年來，我一直在努力幫助世界各地的企業或組織認識到Active Directory的部署中存在危及企業或組織的網路安全的很多過度/未經授權的許可權（即安全許可權）的安全風險。

為了表明這個事實，我使用了所有正確的術語，無論是「有效的許可權」，「有效的訪問」，「委託訪問」，「特權升級路徑」等，但我懷疑世界上大多數企業或組織都我知道我的深意。

對於剛剛接觸Active Directory安全領域的一些新成員，由於他們剛開始抓住Active Directory安全的表面，他們可能會驚訝地發現在Active Directory（活動目錄安全）中有更多的管理訪問目錄而不僅僅是默認的Active Directory管理組的成員（例如域管理員等），也許是因為他們可能不熟悉Active Directory中的「 管理委派 」 的概念（或者他們可能沒有讀過我在2004年寫了關於微軟的這個主題的一分多達400頁的白皮書），他們開始將這個東西稱為「 Active Directory中的隱身管理員 」，突然之間，全世界就開始了解這個東西了！

事實上，任何將這些授權管理帳戶稱為「隱身管理員」的人，僅僅是向全其他人展示他們實際上似乎對Active Directory安全主題的了解有多少！ 這就是為什麼如果你真正了解Active Directory的安全性，那麼你可能知道它最強大的功能就是—— 管理委派。

如果你這樣做，那麼你無疑知道有很多人在Active Directory中具有不同級別的管理員/特權訪問許可權，而不僅僅是Active Directory中默認的管理員組的成員。

具體來說，可能存在Active Directory中的管理員（可能能夠在默認管理帳戶和用戶組上執行各種管理任務以及在Active Directory中的其他位置）的事實（除了Active Directory中的默認管理組的成員）對於那些了解Active Directory安全的人來說，這一點毫不奇怪 。

事實上，這個「 在Active Directory中的隱身管理員「不當名詞變得如此流行僅僅表明，不僅那些談論它的人，而且那些擁抱它的人似乎對Active Directory安全知之甚少，這是非常令人擔憂的。

我可以向你保證，如果你要問一些最了解Active Directory和Active Directory安全人員，如Stuart Kwan，Joe Richards，Guido Grillenmeier，Micky Balladelli，Jan De Clerq，Andreas Luther和其他許多人，他們都會同意我的觀點，並且嘲笑「活動目錄中的隱身管理員」是由這個主題的一些新成員介紹的。

可能的起源

活動目錄已經存在了將近二十年，在全球數千個企業或組織中，成千上萬的IT人員已經授權了管理許可權，例如密碼重置，組成員變更，帳戶創建和刪除等管理任務，事實上，今天可能存在數百萬個人，他們在全球的Active Directory部署中擁有不同級別的委派管理訪問許可權！

換句話說，大多數企業或組織都非常熟悉Active Directory中委派訪問的概念！

如果是這樣的話，那麼必須再次思考這個滑稽的短語「AD中的隱身管理員 」來自哪裡？

最有可能的答案

在過去幾年中，網路安全方面的重點大幅度增加，從而也取得了在Windows環境中獲得特權的方式，並且大量傳統的「網路安全」黑客和網路安全專業人員似乎終於認識到，基於Windows Server的IT基礎架構的網路安全的核心在於活動目錄，所以他們已經開始研究活動目錄的安全性，並且非常感興趣，當你從外部進入這個主題時，而不是從內向外（也就是你先從最早的時代開始）），那當然，管理委派的整個概念是你可能沒有意識到的東西，當然，當你意識到有很多在AD中更多的是管理訪問而不是默認管理組的成員，那麼你可能會認為間接訪問是「 隱身訪問 」，而實際上對那些熟悉這個主題的人來說，就是Active Directory Security 101！

簡而言之，如果你對這個主題感興趣，你可能會有點驚訝，實際上（很多人）在Active Directory中擁有管理員/特權訪問權，而不僅僅是Active Directory中的默認的管理員組的成員，這些給你看起來可能是「 隱身管理員！

不管你怎麼稱呼它，事實上，在世界上幾乎所有的Active Directory部署中，有更多的人在Active Directory中具有不同級別的管理訪問許可權，而不僅僅是默認管理組的成員，不僅需要準確識別出所有在Active Directory中擁有這種訪問許可權的人，而且如果確定了他們擁有的訪問級別相當於無限制的特權訪問，那麼他們必須被正確地分類為「特權用戶」活動目錄。」做這件事是勢在必行的。

例如，考慮域管理員組。很可能在一個企業或組織中，只有少數人是Active Directory中這個特權訪問組的成員。然而，僅僅考慮該企業或組織的成員資格是不夠的。還必須準確地確定究竟有多少人（以及他們是誰）可以制定能夠更改域管理員組成員的管理任務。之所以這麼重要，實際上是最重要的，是因為任何可以改變這個用戶組成員的人都可以添加其他任何人到這個組和/或從這個組中刪除任何現有的成員！

同樣，考慮Active Directory中的默認管理員帳戶，或者有關Active Directory中任何和每個特權用戶的域用戶帳戶。企業或組織必須始終知道誰可以制定能夠重置這些域用戶帳戶中的每一個的密碼的管理任務。這個原因也非常重要，而且事實上最重要的是，因為任何人都可以重置這些帳戶中的任何一個的密碼，可以立即使用該帳戶進行登錄，當然，如果他/她可以這樣做，那麼他/她現在就擁有了的整個網路的許可權！

事實上，不僅僅是組成員更改和密碼重置，可以用於在ActiveDirectory中獲得管理/特權訪問。任何能夠修改所有權或保護大量的直接和間接的活動目錄管理帳戶和組以及特定對象的許可權的任何一個任務的人要想成為Active Directory中的高許可權用戶也只是一步之遙，因此必須被認為是同樣的特權。

在接下來的幾天中，我將介紹一下Active Directory中可以執行的各種管理任務，來獲取/升級Active Directory中的特權訪問。本文將成為本系列文章的第二部分。如果你需要馬上知道其他的內容，你可以閱讀這個文章。

問題的關鍵

有些人雖然對這個主題有所了解，但至少已經意識到，那些能夠執行諸如密碼重置、組成員更改等管理任務的人實際上也擁有與ActiveDirectory中的特權訪問相當的許可權。

有些人還聲稱提供免費的工具，可以幫助企業識別「在Active Directory中的隱身管理員「。

作為微軟Active Directory安全程序的前任經理，我幾乎保持了高度的信心，這些人也可能誤認為「在活動目錄中誰擁有著什麼樣的許可權」「誰在Active Directory中擁有有效許可權「的典型錯誤，因而他們的工具 （就像這個工具和Bloodhound）也很有可能非常的不準確的，因此，可能會提供極為不完整或不準確的數據，而這些數據可能會危及依賴該數據的任何企業或組織的安全。

為了幫助所有這些人，請允許我分享能夠準確地確定誰可以在Active Directory中執行哪些管理任務的知識，其關鍵在於能夠準確地確定ActiveDirectory中的有效許可權/有效訪問。

讓我再重複一遍 - 識別Active Directory中的特權用戶的關鍵在於Active Directory的有效許可權。 例如，考慮保護Active Directory中的域用戶帳戶的ACL。僅僅因為在授予安全組的Active Directory對象的ACL中存在一個ACE（稱為X組），用戶John Doe可能屬於該用戶組，那麼基於可以說「 Allow Group X Reset Password」這個許可權，並不意味著該特定用戶John Doe實際上可以重置該賬戶的密碼，因為可能很容易出現一個或多個ACE，例如"Deny Group Y All Extended Rights」，如果John Doe也直接或間接地是Y組的成員，那麼這可能會有效地否定第一個ACE授予的訪問許可權。

我認為這可能是因為最終這一切都取決於許多因素，比如開始時是哪一個ACE在本質上是明確的，哪一個是繼承的，哪一個允許訪問，哪一個拒絕訪問，它們允許/拒絕的許可權的組合，它們是否實際上適用於對象等等。此外，在這個（以及每個）Active Directory對象的ACL中，可以很容易地包含數百個ACE，並且每個ACE都有可能會影響到彼此授予/拒絕的訪問許可權。

那些知道這個主題的人都知道，我上面分享的是一個超級簡化的Active Directory有效許可權的例子，所以也許我應該分享一些有用的案例來幫助說明這些許可權之間微妙而深刻的差異。

下面是一些推薦的閱讀，以幫助理解「 誰在Active Directory中具有什麼許可權 」和「 誰在Active Directory中具有什麼樣的有效許可權 」 之間的微妙但深刻的區別- Active Directory有效許可權

至於如何在Active Directory中真正發現隱身的管理員，請閱讀本系列文章的後續內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！