مقدمة

في هذه السلسة من المقالات سوف أقوم بالتركيز على شرح أهم الهجمات التي تستهدف Active Directory وطرق اكتشافها والحماية منها. وبدايةً سيكون تركيزنا في هذه المقالة على (Event IDs And Group Policy) 

عناصر السلسة

• مقدمة لسلسة 

• تجهيز بيئة المحاكاة 

• Active Directory Enumeration

• Active Directory Privilege Escalation

• DCShadow and DCSync

• Kerberoasting 

• Domain Persistence

• Lateral Movement

ماهو Active Directory ؟

هو عبارة عن قاعدة بيانات لكل موارد البئية مستخدمين و أجهزه وبياناتهم (Users / Groups / Machines ) يمكن من خلاله التحكم المركزي ب هذه الموارد وصلاحيتهم وأهم ميزات AD Identification Authentication and Authorization للمستخدمين و للأجهزة؛ وهذا ما يجعله أهم ماقد يرغب المهاجم للوصول اليه في البئية.

أنواع المستخدمين في AD 

• Local Accounts

• Domain User Accounts

• Domain Service Accounts

• Administrators

• Domain Admins

• Schema Admins

• Enterprise Admins

Event IDs

يمكن القول بإختصار بأن كل عملية يتم تنفيذها بجهاز الكمبيوتر يكون لها رقم فريد يتم تخزينة مع البيانات التي تصف هذه العملية هذه العمليات من الممكن أن تكون من قبل المستخدم أو من قبل النظام نفسه وتسمى Audit Policy لكل نظام تقريبَا 9 انواع من Audit Policy  و يندرج تحتها 50 نوع من Audit Policy ويمكن تقسيم أنواع هذه العمليات كالتالي:

• Information

• Warning

• Error

• Critical Error

• Verbose

  
  

  
  

  كما يتم تقسيم هذه العمليات حسب نوع التخزين كالتالي:

• Setup

• System

• Security

• Application

• Operational

لكل عملية أو (Event ID ) خصائص معينة تصف هذه العملية مثل: الوقت الذي تم تنفيذ العملية فيه من قام بتنفيذ هذه العملية أسم الجهاز وغيره.

ويتم تخزين هذه البيانات في مجلد: 

يمكن التحكم بنوع العمليات التي يتم تخزينها او إزالتها حسب حاجة البئية نفسها وذلك عن طريق تفعيل أو الغاء Group Policy معين وفي كل مقالة نتظرق فيها لهجمة معينة سوف نتطرق لأهم Event IDs الذي تحتاجها لمراقبتها.

Group Policy

مجموعة من الأومر يتم تنفيذها على مجموعة من المستخدمين أو أجهزة الكمبويتر لإعطاء أذونات وصلاحيات معينه لكل مجموعة أو لتنفيذ أوامر معينه على المجموعات. تساعد GP على تنظيم البئية ولها نوعان Computer Configuration User Configuration