Active Directory Canaries:守护您的AD环境安全
AD-CanariesThe purpose of this project is to publish and maintain the deployment PowerShell script that automates deployments for Active Directory Canary objects.项目地址:https://gitcode.com/gh_mirrors/ad/AD-Canaries
项目介绍
Active Directory Canaries 是一个用于检测Active Directory枚举(或侦察)技术的检测原语。该项目利用了Specter Ops研究人员Andy Robins和Will Schroeder在2017年提出的DACL后门概念,通过自动化部署PowerShell脚本来实现AD对象的部署。其核心目的是在AD环境中部署一系列“金丝雀”对象,当这些对象被访问时,会触发安全事件日志中的4662事件,从而帮助管理员及时发现潜在的枚举行为。
项目技术分析
技术原理
Active Directory Canaries的核心技术在于利用DACL(Discretionary Access Control List)后门机制。通过在AD环境中部署特定的对象,并为这些对象设置严格的访问控制列表(ACL),当攻击者尝试枚举这些对象时,会触发
Directory Service Object Access : Failure
审计,生成4662事件。这些事件会被记录在域控制器的安全事件日志中,从而帮助管理员及时发现潜在的枚举行为。
部署流程
- 配置生成:使用
-Populate参数生成配置文件,指定部署的OU、所有者等信息。 - 部署:使用
-Deploy参数根据配置文件部署AD Canaries对象,并生成包含CanaryName和CanaryGUID的CSV文件。 - 审计:通过
-AuditSACLs参数检查环境中已有的SACL(System Access Control List)设置,评估DS访问审计失败的影响。 - 删除:使用
-Revert参数根据配置文件删除已部署的AD Canaries对象。
项目及技术应用场景
应用场景
- 企业内部安全监控:在企业内部AD环境中部署AD Canaries,实时监控是否有未经授权的枚举行为,及时发现潜在的安全威胁。
- 渗透测试与红队演练:在渗透测试或红队演练中,使用AD Canaries来检测和记录攻击者的枚举行为,帮助评估防御措施的有效性。
- 安全事件响应:在发生安全事件后,通过分析AD Canaries生成的4662事件,快速定位攻击者的枚举行为,为事件响应提供数据支持。
项目特点
1. 自动化部署
项目提供了完整的PowerShell脚本,支持自动化部署、配置生成和删除操作,大大简化了AD Canaries的部署流程。
2. 高度定制化
用户可以根据实际需求,自定义部署的OU、所有者、Canary对象类型等信息,灵活适应不同的AD环境。
3. 强大的检测机制
通过设置严格的DACL和SACL,AD Canaries能够精确检测到AD枚举行为,并生成详细的4662事件日志,帮助管理员快速定位潜在威胁。
4. 易于集成
项目生成的CSV文件和事件日志可以直接与现有的安全信息和事件管理(SIEM)系统集成,实现自动化监控和告警。
5. 开源与社区支持
作为开源项目,Active Directory Canaries得到了社区的广泛支持,用户可以自由修改和扩展功能,满足更多定制化需求。
结语
Active Directory Canaries为Active Directory环境提供了一种高效、灵活的安全检测机制,帮助企业及时发现和应对潜在的枚举威胁。无论您是企业安全管理员、渗透测试人员还是安全研究人员,AD Canaries都将成为您守护AD环境安全的得力助手。立即访问项目仓库,开始您的AD安全之旅吧!
AD-CanariesThe purpose of this project is to publish and maintain the deployment PowerShell script that automates deployments for Active Directory Canary objects.项目地址:https://gitcode.com/gh_mirrors/ad/AD-Canaries
版权归原作者 颜殉瑶Nydia 所有, 如有侵权,请联系我们删除。