Delegations项目v1.0.0版本发布:AD域委派安全审计工具
项目地址: https://gitcode.com/gh_mirrors/de/Delegations Delegations是一个专注于Active Directory(AD)域环境中委派安全审计的开源工具。该项目旨在帮助安全团队和系统管理员识别、监控和管理AD环境中的各类委派配置,特别是那些可能被攻击者滥用的危险委派设置。最新发布的v1.0.0版本标志着该工具已经成熟稳定,适合在生产环境中部署使用。
核心功能解析
资源约束委派(RBCD)审计增强
v1.0.0版本对资源约束委派(Resource-Based Constrained Delegation)的审计功能进行了多项改进。现在工具能够完整解析RBCD中配置的所有SID信息,而不仅仅是新添加的条目。这对于全面了解域环境中的委派关系至关重要,因为攻击者经常利用RBCD进行横向移动。
审计输出格式也经过优化,解决了之前版本中存在的显示问题,使得结果更加清晰易读。管理员现在可以一目了然地看到哪些账户被授予了委派权限,以及这些权限的具体配置情况。
委派清理功能
新版本引入了"clear"模式,允许管理员快速清理指定对象上的所有委派配置。这在应急响应场景中特别有用,当发现某个账户被攻击者配置了恶意委派时,可以立即清除这些配置,阻断攻击者的横向移动路径。
修复了之前版本中存在的清理功能bug,确保RemoveRessourceBasedConstrainedDelegation()方法能够正确移除所有指定的委派关系,而不会遗漏任何条目。
监控模式改进
监控模式(monitor)现在能够显示msDS-AllowedToActOnBehalfOfOtherIdentity属性中的所有SID,而不仅仅是新添加的条目。这使得监控更加全面,管理员可以实时掌握域环境中委派关系的变化情况。
新增实用功能
特定对象审计
v1.0.0版本新增了针对特定对象的审计能力。通过--distinguished-name参数,管理员可以直接审计指定的AD对象,而不需要扫描整个域。这在调查特定账户或服务时非常高效,节省了大量时间。
无约束委派监控
工具现在能够显示未配置无约束委派(unconstrained delegation)的域控制器列表。这个功能看似简单,实则非常重要,因为攻击者常常会寻找配置了无约束委派的域控制器进行攻击。通过快速识别这些"干净"的域控制器,管理员可以更好地评估域环境的安全状况。
技术实现亮点
Delegations工具采用Go语言编写,具有良好的跨平台支持。v1.0.0版本提供了针对多种操作系统和架构的预编译二进制文件,包括:
- Darwin(macOS)的amd64和arm64版本
- Linux的386、amd64和arm64版本
- Windows的386、amd64和arm64版本
这种广泛的平台支持使得工具可以在各种环境中部署使用,无论是安全人员的笔记本还是企业的服务器。
实际应用场景
对于蓝队成员和安全运维人员,Delegations工具在以下场景中特别有用:
- 日常安全审计:定期运行审计模式,检查域环境中的委派配置变化
- 事件响应:在疑似入侵事件中,快速检查可疑账户的委派权限
- 权限清理:发现异常委派后立即进行清理
- 持续监控:通过监控模式实时掌握委派关系的变化
对于红队成员,了解这个工具的功能也有助于更好地隐藏攻击痕迹,因为安全团队可能会使用它来检测攻击活动。
总结
Delegations项目v1.0.0版本的发布标志着这个AD安全工具已经成熟。通过增强的审计能力、改进的监控功能和新增的清理选项,它为Active Directory环境的安全管理提供了强有力的支持。无论是日常运维还是安全事件响应,这个工具都能帮助团队更好地理解和控制域环境中的委派关系,降低攻击者滥用这些功能的风险。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
