Active Directory 攻击路径

三个多月前，我们推出了BloodHound Enterprise，以帮助组织管理 Active Directory (AD) 中的攻击路径。从那时起，我们已经部署到许多环境中，并且每次都会遇到某种形式的相同问题，“所以告诉我们，它总是这么糟糕吗？” 我想通过回答这个问题来平息那些在运行开源版本时想知道同样事情的人的一些恐惧和焦虑。所以这里是：

是的，这对每个人都有害，你并不孤单。

人们所说的“这种糟糕”通常是指我们在部署后能够立即发现的攻击路径的数量或严重程度。大多数团队在 30 分钟内从零到安装、收集数据和查看攻击路径，这第一眼看起来可能会很不和谐。

“总是这么糟糕吗？”

虽然答案是“是”，但重要的是要说明原因。以下是几个关键原因：

1. AD 中的审核权限几乎是不可能的
2. 缺乏可见性导致了 20 多年的错误配置债务

Active Directory 中的审核权限几乎是不可能的

在 BloodHound Enterprise 之前，Active Directory 中的审核权限几乎是不可能的，这也是我们之前讨论过的内容。询问任何 Active Directory 管理员（我们经常这样做），他们认为了解权限在环境中的应用位置是多么容易。仅仅回答“哪些用户在这台计算机上拥有本地管理员权限”这个看似简单的问题可能会非常困难。不能保证你会真正找到答案。事实上，我们开始做的事情是真正证明这对我们的新员工来说是多么痛苦，就是让他们了解使用 Active Directory 中的内置工具可能会遇到多么困难。

我们喜欢利用 Active Directory 中特权的不透明性质来真正确定这样一个事实，即由此产生的错误配置和攻击路径并不是一些粗心的管理员的错。Active Directory 管理员在维护企业骨干方面承受着极大的压力，鉴于到目前为止他们所拥有的可见性有限，他们能够做到这一点是一个奇迹。他们关心他们所做的事情，他们关心他们系统的安全性。没有管理员会看到下面嵌套组的效果并认为“是的，这很好”。

20 多年的错误配置债务

既然我们已经确定缺乏可见性是这一切的开始，让我们想想这些问题已经恶化了多长时间。微软于 1999 年发布了 Active Directory。在 SpecterOps 工作的人比 AD 还年轻。虽然它在过去 22 年中不断更新（LAPS很棒），但它或多或少还是建立在相同的底层功能之上。虽然这说明了这些系统令人难以置信的弹性，但毫无疑问，AD 有其挑战（咳嗽、能见度）。

在 22 年的时间里，你可以进行很多配置，产生很多意想不到的后果。大多数管理员在转换角色、进入管理层或切换公司之前，都会在他们的角色中工作 2 到 5 年。这意味着，如果您的 AD 相当年轻，比如 10 岁，那么在此期间您可能有 4-5 个不同的管理团队来更改配置。除了配置错误的债务之外，现在我们还可以添加部落知识。这导致我们在部署后同样熟悉的语句；“我不知道那是什么”或“为什么会在那里”。现实情况是，BloodHound Enterprise 在 AD 中发现了数年甚至数十年的错误配置债务。

我们做事不同，更好

这就是我们创建 BloodHound Enterprise 的原因，以直接解决攻击路径问题。第一眼看到一个新组织可能会很不愉快，但这是对一个隐藏了 20 多年的问题的启发的结果。从拥有单一领域的小型组织到拥有高度专业化和训练有素的团队的财富 50 强组织，我们都遇到过同样的问题。鉴于可用的工具，这个问题的存在并不是任何人的“错”。幸运的是，有很多速成方案可供选择，并且获得了适当的可见性，我们在短短 24 小时内就展示了显着的改进。