مقدمة لسلسلة Active Directory Attack and

Defense

كتب في 2-9-2022


أهلا بكم هذه المقالة سوف تكون المقالة الأولى في سلسلة Active Directory Attack and Defense

مقدمة

في هذه السلسة من المقالات سوف أقوم بالتركيز على شرح أهم الهجمات التي تستهدف Active Directory وطرق اكتشافها والحماية منها. وبدايةً سيكون تركيزنا في هذه المقالة على (Event IDs And Group Policy


ملاحظة: ستكون هذه المقالة مقدمة أتطرق فيها لذكر أهم المفاهيم وخصائص Active Directory وسيتم التطرق للخصائص بشكل مفصل بكل مقالة حسب الحاجة لذلك.


عناصر السلسة
  • مقدمة لسلسة 

  • تجهيز بيئة المحاكاة 

  • Active Directory Enumeration

  • Active Directory Privilege Escalation

  • DCShadow and DCSync

  • Kerberoasting 

  • Domain Persistence

  • Lateral Movement


ماهو Active Directory ؟

هو عبارة عن قاعدة بيانات لكل موارد البئية مستخدمين و أجهزه وبياناتهم (Users / Groups / Machines ) يمكن من خلاله التحكم المركزي ب هذه الموارد وصلاحيتهم وأهم ميزات AD Identification Authentication and Authorization للمستخدمين و للأجهزة؛ وهذا ما يجعله أهم ماقد يرغب المهاجم للوصول اليه في البئية.

أنواع المستخدمين في AD 

  • Local Accounts

  • Domain User Accounts

  • Domain Service Accounts

  • Administrators

  • Domain Admins

  • Schema Admins

  • Enterprise Admins



Event IDs

يمكن القول بإختصار بأن كل عملية يتم تنفيذها بجهاز الكمبيوتر يكون لها رقم فريد يتم تخزينة مع البيانات التي تصف هذه العملية هذه العمليات من الممكن أن تكون من قبل المستخدم أو من قبل النظام نفسه وتسمى Audit Policy لكل نظام تقريبَا 9 انواع من Audit Policy  و يندرج تحتها 50 نوع من Audit Policy ويمكن تقسيم أنواع هذه العمليات كالتالي:

  • Information

  • Warning

  • Error

  • Critical Error

  • Verbose



    كما يتم تقسيم هذه العمليات حسب نوع التخزين كالتالي:

  • Setup

  • System

  • Security

  • Application

  • Operational

لكل عملية أو (Event ID ) خصائص معينة تصف هذه العملية مثل: الوقت الذي تم تنفيذ العملية فيه من قام بتنفيذ هذه العملية أسم الجهاز وغيره.


ويتم تخزين هذه البيانات في مجلد: 

%SystemRoot%\System32\winevt

مثال على Event 4624

يمكن التحكم بنوع العمليات التي يتم تخزينها او إزالتها حسب حاجة البئية نفسها وذلك عن طريق تفعيل أو الغاء Group Policy معين وفي كل مقالة نتظرق فيها لهجمة معينة سوف نتطرق لأهم Event IDs الذي تحتاجها لمراقبتها.


Group Policy

مجموعة من الأومر يتم تنفيذها على مجموعة من المستخدمين أو أجهزة الكمبويتر لإعطاء أذونات وصلاحيات معينه لكل مجموعة أو لتنفيذ أوامر معينه على المجموعات. تساعد GP على تنظيم البئية ولها نوعان Computer Configuration User Configuration