域控攻防经验和笔记
拿到域网络后第一件事情就是收集域信息_
ipconfig /all ------ 查询本机IP段,所在域等
net user ------ 本机用户列表
net localgroup administrators ------ 本机管理员[通常含有域用户]
net user /domain ------ 查询域用户
net group /domain ------ 查询域里面的工作组
net group 'domain admins' /domain ------ 查询域管理员用户组
net localgroup administrators /domain ------ 登录本机的域管理员
net localgroup administrators workgroup\user001 /add ------域用户添加到本机
net group 'domain controllers' /domain ------ 查看域控制器(如果有多台)
net time /domain ------ 判断主域,主域服务器都做时间服务器,直接ping就能得到主域ip
net config workstation ------ 当前登录域
nslookup -type=SRV_ldap._tcp ------ 寻找域控主机
net session ------ 查看当前会话
net use \\ip\ipc$ pawword /user:username ------ 建立IPC会话[空连接-***]
net share ------ 查看SMB指向的路径[即共享]
net view ------ 查询同一域内机器列表
net view \\ip ------ 查询某IP共享
net view /domain ------ 查询域列表
net view /domain:domainname ------ 查看workgroup域中计算机列表
net start ------ 查看当前运行的服务
net accounts ------ 查看本地密码策略
net accounts /domain ------ 查看域密码策略
nbtstat –A ip ------ netbios 查询
netstat –an/ano/anb ------ 网络连接查询
route print ------ 路由表
tasklist /V ------ 查看进程[显示对应用户]
tasklist /S ip /U domain\username /P /V ----- 查看远程计算机进程列表
qprocess * ----- 类似tasklist
qprocess /SERVER:IP ----- 远程查看计算机进程列表
nslookup –qt-MX Yahoo.com ----- 查看邮件服务器
whoami /all ----- 查询当前用户权限等
set ----- 查看系统环境变量
systeminfo ----- 查看系统信息
qwinsta ----- 查看登录情况
qwinsta /SERVER:IP ----- 查看远程登录情况
fsutil fsinfo drives ----- 查看所有盘符
gpupdate /force ----- 更新域策略
搜集如下:
whoami /priv# 或者 whoami /all
特权信息
----------------------
特权名 描述 状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程 已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已禁用
SeCreatePagefilePrivilege 创建一个页面文件 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已启用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用
SeTimeZonePrivilege 更改时区 已禁用
SeCreateSymbolicLinkPrivilege 创建符号链接 已禁用
禁用 Administrator 账户(同时远程it人员也禁止用Administrator 远程登录其他用户的电脑,避免抓取票据的攻击)
1:关闭smbv1 兼容
2:定期修改krbtgt的超强壮密码 ,记住密码强度要高,长亭科技的大哥和我说他们内部秒破哈希已经过了12位密码
3:对域控的主机进行安全加固,原则是只打开需要的端口和服务
4:强制开启smb签名,2020年开始后是默认启动的
5:不开启spn服务包括exchange和内网sql server,尤其是exchange这个坑,qax给的消息是exchange他们有很多0day
6:域控主机关掉远程桌面服务或者使用堡垒机才能访问主机远程桌面(非常重要)
7:禁止exe,bat等可执行文件的落地,可以直接参看环境变量中的可执行文件后缀
8:文件服务器和文本文件夹不允许有exe .bat .vbs .sh类格式文件存在
9:应用程序只能在指定的文件路径里,或者白名单列表(参考现在的桌管中的安全策略)
10:每30天使用最新的PingCastle(或者商业的域控和漏扫的集成产品)检查域控健康程度
防御mimikatz的攻击搜集地址:防御mimikatz的攻击(http://woshub.com/defending-windows-domain-against-mimikatz-attacks/)
域控减少攻击面的规则:减少攻击面规则(https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction)
作者:国产大熊猫,文章来源:https://my.oschina.net/9199771