0x01 域控ACL背景
域控(Domain Controller,简称DC)ACL(Access Control List,访问控制列表)权限是Windows域环境中用于精细控制对资源(如文件、目录、服务等)访问权限的一种机制。ACL权限允许管理员为特定的用户、用户组或计算机设置详细的访问权限,从而实现对域内资源的灵活管理。
0x02 域权限ACL管理场景
1. 文件和目录的访问控制
场景描述:
在一个大型企业网络中,不同部门需要访问共享文件夹中的不同文件。例如,财务部门需要访问财务报表,而人力资源部门需要访问员工档案。
ACL使用方式:
- 设置特定权限:管理员可以为每个部门创建一个用户组,并设置这些用户组对共享文件夹中特定文件夹或文件的访问权限。例如,财务用户组被赋予对财务报表文件夹的读写权限,而人力资源用户组则被赋予对员工档案文件夹的读写权限。
- 继承与覆盖:默认情况下,文件和目录会继承其父目录的ACL权限。但管理员可以根据需要为特定文件或文件夹覆盖这些继承的权限。
- 审计和审查:管理员还可以启用ACL审计功能,以跟踪用户对文件的访问尝试,确保ACL策略得到有效执行。
2. 服务器的远程访问控制
场景描述:
在域环境中,管理员需要控制哪些用户或用户组可以远程访问特定的服务器。
ACL使用方式:
- 远程桌面服务:对于需要远程访问的服务器,管理员可以通过设置远程桌面服务的ACL来控制哪些用户或用户组可以远程登录。这通常通过修改服务器的本地安全策略或使用组策略来实现。
- 特定服务的访问:对于服务器上运行的特定服务(如数据库服务、Web服务等),管理员可以通过设置服务的ACL来控制哪些用户或用户组可以访问这些服务。这通常涉及到对服务运行账户的管理以及服务本身的安全设置。
3. 组策略的访问控制
场景描述:
组策略是Windows域环境中用于集中管理用户设置和计算机设置的重要工具。管理员需要控制哪些用户或用户组可以修改或应用特定的组策略设置。
ACL使用方式:
- 组策略对象的权限:每个组策略对象(GPO)都有自己的ACL,用于控制哪些用户或用户组可以修改该GPO的设置。管理员可以通过修改GPO的ACL来限制对特定策略设置的访问。
- 链接的权限:当GPO链接到域或组织单位(OU)时,管理员还可以设置链接的ACL,以控制哪些用户或用户组可以修改该链接的GPO设置或链接到其他位置。
4. 注册表项的访问控制
场景描述:
在某些情况下,管理员需要控制用户对注册表项的访问权限,以确保系统的稳定性和安全性。
ACL使用方式:
- 注册表项的权限设置:管理员可以使用注册表编辑器(如regedit)来查看和修改注册表项的ACL。通过为特定用户或用户组设置适当的权限(如读取、写入、执行等),管理员可以控制这些用户或用户组对注册表项的访问能力。
- 组策略的应用:虽然直接修改注册表项的ACL可能不是最佳实践(因为它可能受到系统更新或软件安装的影响),但管理员可以通过组策略来应用注册表项的ACL设置,以确保这些设置在整个域环境中得到一致的应用。
0x03 域控ACL概念
ACL是一种用于定义哪些用户或用户组可以对特定资源执行哪些操作的列表。主要涉及3个角色:DACL、SACL、ACE。,在Windows操作系统中,ACL依赖于安全描述符(Security Descriptor)用于定义资源(如文件、文件夹、注册表项等)的安全设置。安全描述符由两个主要部分组成:访问控制列表(Access Control List,简称ACL),其中又分为两种类型的列表:
-
Discretionary Access Control List (DACL):
- 这是自主访问控制列表,定义了谁可以访问资源以及他们拥有什么权限。DACL是可选的,资源的所有者可以根据需要设置它,以允许或拒绝特定用户或组的访问。
-
System Access Control List (SACL):
- 这是系统访问控制列表,用于定义审核策略,记录尝试访问资源的行为,无论是成功还是失败。SACL是用于安全审计的,通常由系统管理员设置。
-
Access Control Entry (ACE):
- 访问控制条目是DACL或SACL中的元素,定义了单个权限的授予或拒绝。每个ACE包括以下信息:
- 安全主体(如用户或组)。
- 权限类型(如读取、写入或执行)。
- 权限的类型(授予或拒绝)。
- 条件(可选,例如时间或特定情况)。
- 访问控制条目是DACL或SACL中的元素,定义了单个权限的授予或拒绝。每个ACE包括以下信息:
DACL和SACL的作用是互补的。DACL用于控制对资源的访问,而SACL用于记录对资源的访问尝试和更改。通过合理配置DACL和SACL,可以确保资源的安全性和可审计性。
0x04 域内ACL管理实际案例
目标1-实现禁止访问:
域内普通用户禁止执行 net group /net user命令访问域内信息
IT环境:
| 域控dc2.xx.com | Administrator | 192.168.1.11 |
|---|---|---|
| 域内终端 pc11-win2019 | Ad01 | 192.168.1.13 |
策略配置:
正常情况下,在域内终端 pc11-win2019 使用身份ad01, 执行 net group/net user命令正常运行
预期效果:当设置ACL权限策略后,即可实现对应用户无法执行net group /net user命令访问域内信息
举例在 administrator用户主体 DACL策略中,添加一条ACE权限
设置 ad01用户 无法执行 net user 命令读取 administrator信息
未设置前,ad01用户正常执行net user 命令读取 administrator
开始设置administrator的 ACE策略
首先 打开 administrator用户选项卡的安全-高级安全设置,
添加一条对应的拒绝让ad01作为主体访问administrator信息的策略
再次执行 net user 查询命令出现拒绝访问
但查询非administrator用户则正常,因为只是ad01作为主体对administrator的ACE拒绝策略生效
设置 ad01用户 无法执行 net group 命令读取 domain admins组信息
同理未设置前可以正常执行 net group 命令读取 domain admins
打开 domain admins组的属性卡,编辑高级安全策略,
再次执行 net group 查询命令 domain admins出现拒绝访问
同时 ad01 net group 其他组,如“schema admins”则不受限制
综上所述,当前企业内部需要设置 普通用户对某些敏感用户的访问权限时,可通过设置不同的ACL达成目标
0x05 最后
在域控环境中,ACL权限的设置和管理尤为重要,因为它直接关系到整个域的安全性和数据的保护。然而针对ACL权限的管理,因为域控集权设施存在大量错综复杂的配置等信息,无法让企业安全管理运维人员深入了解域控ACL权限情况,可能导致存在的域控权限风险。如需进一步了解域控ACL安全管理,欢迎添加微信号(kefuxiaozhushou123)进行交流。
本文由博客一文多发平台 OpenWrite 发布!
