Active Directory GPO'S Açıkları
2 posters
1 sayfadaki 1 sayfası
Active Directory GPO'S Açıkları
Bu döküman özellikle Microsoft ailesi işletim sistemi kullanan şirketlerde group policy'lere bağlı olarak sınırlandırılmış, yetkilerle köşeye sıkıştırılmış kullanıcıların bu utanç duvarlarını nasıl aldatabileceklerini ve geçeceklerini anlatacaktır. Ev kullanıcısı veya pc'lerinde admin yetkisinden başka bir şekilde çalışmayan arkadaşların bu dökümandan pek birşeyler anlaması mümkün değildir.
Bende uzun bir müddet bu sınırlı policy'lerde boğulmuş olan bir user olarak deneyimlerimi benim durumumda olan arkadaşlarla paylaşmak istedim. Şirket admin'leri çoğunlukla GPO(Group Policy Objects)leri oluştururken domain user'larının mümkün olduğunca kısıtlanması gerektiğini bununda sebebi sorulunca çoğu saldırının şirket içi ağ'dan geldiğini veya PC'ler ile iş konusu harici eylemlerde bulunulmasının sakıncaları olduğunu söylemektedirler.
Evet haklı olabilirler ancak bu bir user'in üstün yeteneklere sahip bir pc'yi sadece Ms Office araçlarını veya Şirket için satın alınan paket programları kullanmaya mecbur oldukları anl*****da gelmez. Bir kullanıcının masa üstü resmini değiştirmesi, saatini değiştirmesi veya ekran koruyucusunu kapatmak istemesi,çözünürlüğü ile oynamak istemesi bu kısıtlamaların hangisini haklı hale getirir? Zaten hali hazırda işletim sisteminin user kaps***** aldığı kullanıcı bir çok risk içeren komutun çalışmasını engellemektedir. Yanlış anlaşılmasın ben GPO'lara karşı olan biri değilim ama fazlaca abartıldığını düşünenler arasındayım. Her neyse zaten şu anki konumum itibari ile policylerle artık işim yok. Evet biraz sitem'den sonra gelelim bu gpo'lardan bazılarını nasıl alt edebileceğimize. Ben şu ana kadar bir kaçını bulabildim ve onları sizlerle paylaşmak istiyorum.
--------- 1- Donatılar-Oyunlar -------------
Sorun: Oyunlar -
En çok kısıtlanan nesnelerdir. User'inin iş vakti oyun oynamasından nefret eden patronların adminlere zorla yaptırdığı policy'lerin başında gelir. Kullanıcı her oyun açma denmesinde . Erişim engellendi ibaresi ile karşılaşır.
Denemeler:
1- Mağdur Kullanıcı öncellikle Başlat menüsünden sağ tıklayıp aç komutunu vermeyi dener ama başaramaz. Zaten çoğu gpo'larda taskbar için sağ click çalışmaz.
2- Kullanıcı c:\Windows\system32\ altından doğrudan oyunun exe'sine tıklayıp çalıştırmayı dener. Aslında hiç bir manası yoktur bunu yapmanın ama mağdur adam bu hırs yapmış. Bunda da başarısız olur.
3- Kullanıcı aynı exe'ye sağ tıklayıp farklı çalıştır değip başka arkadaşlarının şifresiyle açmayı dener ve bunda da başarısız olur. Ve zaten çoğu GPO'da Run As çalışmaz. Çözüm: Command prompt açılır ve oraya istediğiniz oyunun exe'si yazılır örnek
C:\spider.exe Hayırlı olsun
Sebep: Adminimiz gpo'a da oyunları kısıtlarken sadece oyun isimleri ve patchine göre kısıtlamıştır ve windows'ta bunları registry içinde unicode şeklinde muhafaza etmiştir. Windows gui'si altında yapılan her işlem doğrudan registry'den karşılaştırma yapılarak gerçekleştiğinden command prompt işlemleri bu olaydan mahfuz kalmaktadır.
--------- 2- Command Prompt Kısıtlaması --------
Sorun:
Yukarıda da bahsettiğimiz gibi command prompt'da bir çok adminimizin ve patronumuzun istemeyeceği şeyler yapılabilir. Ve adminlerimizin gözünde command-prompt mutlaka kısıtlanmalıdır.
Denemeler: 1: Mağdur kullanıcımızın aslında gui altında bunu çözebilmesi için hiç bir yolu yoktur. Yukarıda oyunlar için anlatılan kısımda ki tüm şeyleri denemesine rağmen Erişim Engellendi faciasından kaçamaz.
Çözüm: Çözüm çok basittir gui'den kurtulun. Yani bu iş ne mouse tıklamasıyla ne de klavye hileleri ile olmaz. Her pc'de ki siz zaten bir işyerinde çalışıyorsanız yüklü olması farz olan Ms Office paketiniz mutlaka vardır . Ki zaten olmayanlarda çözümü yazacağımda bunu nereden yapabileceklerini hemen anlayacaklar(VbScript) .
Evet öncelikle excel açılır ve vbasic için gereken butonlar taskbar'a alınır ardından excel'de bir buton veya isteğe göre tepki vermesi istenen obje çizilir. Ardından bu obje'ye iki kere tıklayarak kod penceresi açılır ve aşağıdaki kod aynen copy paste edilir.
Dim i As Integer
Private Sub CommandButton1_Click()
i = Shell("c:\windows\system32\cmd.exe", vbNormalFocus) End Sub
DOS'tunuz hayırlı olsun
---------- Registry ----------
Sorun:
Herhalde Registry'nin user'lara neden kısıtlı olduğunu yazmama gerek yok. Adminlerin en korkulu rüyasıdır registry'nin gizliklerinin ifşa edilmesi. Tüm sizin adınıza yapılan her kısıtlama ve özel ayar sizin user profilinize ait registry anahtarlarınızda saklanır.Bazı meraklı user'larda bunları görmek isteyebilirler.
Denemeler:
Meraklı kullanıcımızın registry editörleri olarak regedit.exe ve regedt32.exe 'nin varlığından haberdar olduğunu varsayıyoruz. Öncelikle kullanıcımız yukarıda bahsedilen; oyunlar için olsun msdos için olsun verilen trcikleri buralarda deneyecektir ancak sonuç "Erişim Engellendi" olacaktır.
Çözüm:
Çözüm biraz garip olacak derecede basittir. Regedit veya regedt32 uygulamaları farklı kullanıcı ile çalıştır parametrelerinde her defasında farklı sınırlı hesap kullanan user'ların şifreleri girilse hatta kullanıcı kendi username'ini ve şifresini tekrar girse bile "Erişim Engellendi" hatası alacaktır. Ancak ne gariptir ki kullanıcı bahsedilen programlara farklı kullanıcı parametresini verdiği anda çıkan penceredeki hiç bir şekilde değişiklik yapmdan default ayarlar ile doğrudan tamam butonuna basarsa registry editörlerimiz açılabiliyor. Bir microsoft klasiği Registry'niz hayırlı olsun ==============================
Aslında daha yazacak bir çok açık var Windows ve Gpo 'lar ile alakalı ancak şimdilik sanırım bunlar işinizi görecekir. Zaten bu 3 açıkta verdiğim trickleri kullanarak daha bir çok kısıtlı alana erişim sağlayabilirsiniz.
Bende uzun bir müddet bu sınırlı policy'lerde boğulmuş olan bir user olarak deneyimlerimi benim durumumda olan arkadaşlarla paylaşmak istedim. Şirket admin'leri çoğunlukla GPO(Group Policy Objects)leri oluştururken domain user'larının mümkün olduğunca kısıtlanması gerektiğini bununda sebebi sorulunca çoğu saldırının şirket içi ağ'dan geldiğini veya PC'ler ile iş konusu harici eylemlerde bulunulmasının sakıncaları olduğunu söylemektedirler.
Evet haklı olabilirler ancak bu bir user'in üstün yeteneklere sahip bir pc'yi sadece Ms Office araçlarını veya Şirket için satın alınan paket programları kullanmaya mecbur oldukları anl*****da gelmez. Bir kullanıcının masa üstü resmini değiştirmesi, saatini değiştirmesi veya ekran koruyucusunu kapatmak istemesi,çözünürlüğü ile oynamak istemesi bu kısıtlamaların hangisini haklı hale getirir? Zaten hali hazırda işletim sisteminin user kaps***** aldığı kullanıcı bir çok risk içeren komutun çalışmasını engellemektedir. Yanlış anlaşılmasın ben GPO'lara karşı olan biri değilim ama fazlaca abartıldığını düşünenler arasındayım. Her neyse zaten şu anki konumum itibari ile policylerle artık işim yok. Evet biraz sitem'den sonra gelelim bu gpo'lardan bazılarını nasıl alt edebileceğimize. Ben şu ana kadar bir kaçını bulabildim ve onları sizlerle paylaşmak istiyorum.
--------- 1- Donatılar-Oyunlar -------------
Sorun: Oyunlar -
En çok kısıtlanan nesnelerdir. User'inin iş vakti oyun oynamasından nefret eden patronların adminlere zorla yaptırdığı policy'lerin başında gelir. Kullanıcı her oyun açma denmesinde . Erişim engellendi ibaresi ile karşılaşır.
Denemeler:
1- Mağdur Kullanıcı öncellikle Başlat menüsünden sağ tıklayıp aç komutunu vermeyi dener ama başaramaz. Zaten çoğu gpo'larda taskbar için sağ click çalışmaz.
2- Kullanıcı c:\Windows\system32\ altından doğrudan oyunun exe'sine tıklayıp çalıştırmayı dener. Aslında hiç bir manası yoktur bunu yapmanın ama mağdur adam bu hırs yapmış. Bunda da başarısız olur.
3- Kullanıcı aynı exe'ye sağ tıklayıp farklı çalıştır değip başka arkadaşlarının şifresiyle açmayı dener ve bunda da başarısız olur. Ve zaten çoğu GPO'da Run As çalışmaz. Çözüm: Command prompt açılır ve oraya istediğiniz oyunun exe'si yazılır örnek
C:\spider.exe Hayırlı olsun
Sebep: Adminimiz gpo'a da oyunları kısıtlarken sadece oyun isimleri ve patchine göre kısıtlamıştır ve windows'ta bunları registry içinde unicode şeklinde muhafaza etmiştir. Windows gui'si altında yapılan her işlem doğrudan registry'den karşılaştırma yapılarak gerçekleştiğinden command prompt işlemleri bu olaydan mahfuz kalmaktadır.
--------- 2- Command Prompt Kısıtlaması --------
Sorun:
Yukarıda da bahsettiğimiz gibi command prompt'da bir çok adminimizin ve patronumuzun istemeyeceği şeyler yapılabilir. Ve adminlerimizin gözünde command-prompt mutlaka kısıtlanmalıdır.
Denemeler: 1: Mağdur kullanıcımızın aslında gui altında bunu çözebilmesi için hiç bir yolu yoktur. Yukarıda oyunlar için anlatılan kısımda ki tüm şeyleri denemesine rağmen Erişim Engellendi faciasından kaçamaz.
Çözüm: Çözüm çok basittir gui'den kurtulun. Yani bu iş ne mouse tıklamasıyla ne de klavye hileleri ile olmaz. Her pc'de ki siz zaten bir işyerinde çalışıyorsanız yüklü olması farz olan Ms Office paketiniz mutlaka vardır . Ki zaten olmayanlarda çözümü yazacağımda bunu nereden yapabileceklerini hemen anlayacaklar(VbScript) .
Evet öncelikle excel açılır ve vbasic için gereken butonlar taskbar'a alınır ardından excel'de bir buton veya isteğe göre tepki vermesi istenen obje çizilir. Ardından bu obje'ye iki kere tıklayarak kod penceresi açılır ve aşağıdaki kod aynen copy paste edilir.
Dim i As Integer
Private Sub CommandButton1_Click()
i = Shell("c:\windows\system32\cmd.exe", vbNormalFocus) End Sub
DOS'tunuz hayırlı olsun
---------- Registry ----------
Sorun:
Herhalde Registry'nin user'lara neden kısıtlı olduğunu yazmama gerek yok. Adminlerin en korkulu rüyasıdır registry'nin gizliklerinin ifşa edilmesi. Tüm sizin adınıza yapılan her kısıtlama ve özel ayar sizin user profilinize ait registry anahtarlarınızda saklanır.Bazı meraklı user'larda bunları görmek isteyebilirler.
Denemeler:
Meraklı kullanıcımızın registry editörleri olarak regedit.exe ve regedt32.exe 'nin varlığından haberdar olduğunu varsayıyoruz. Öncelikle kullanıcımız yukarıda bahsedilen; oyunlar için olsun msdos için olsun verilen trcikleri buralarda deneyecektir ancak sonuç "Erişim Engellendi" olacaktır.
Çözüm:
Çözüm biraz garip olacak derecede basittir. Regedit veya regedt32 uygulamaları farklı kullanıcı ile çalıştır parametrelerinde her defasında farklı sınırlı hesap kullanan user'ların şifreleri girilse hatta kullanıcı kendi username'ini ve şifresini tekrar girse bile "Erişim Engellendi" hatası alacaktır. Ancak ne gariptir ki kullanıcı bahsedilen programlara farklı kullanıcı parametresini verdiği anda çıkan penceredeki hiç bir şekilde değişiklik yapmdan default ayarlar ile doğrudan tamam butonuna basarsa registry editörlerimiz açılabiliyor. Bir microsoft klasiği Registry'niz hayırlı olsun ==============================
Aslında daha yazacak bir çok açık var Windows ve Gpo 'lar ile alakalı ancak şimdilik sanırım bunlar işinizi görecekir. Zaten bu 3 açıkta verdiğim trickleri kullanarak daha bir çok kısıtlı alana erişim sağlayabilirsiniz.
Geri: Active Directory GPO'S Açıkları
çok güzelmiş ya
LordFire- Admin
- Mesaj Sayısı : 286
Tecrübe : 293
Reputation : 6
Kayıt tarihi : 10/02/11
Yaş : 29
Nerden : ADANA
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz