Adalanche:洞察Active Directory的利器
探索与可视化Active Directory权限的开源工具
<
如果你在寻找一种能够立即展示用户和组在Active Directory中权限的工具,Adalanche就是你的理想之选。它适用于描绘并探索哪些用户可以接管账户、机器甚至整个域,并且能帮助你发现和展示配置错误。
探索域管理员的权利
Active Directory的安全管理充满挑战。小型组织通常对此一无所知,而大型组织则可能因众多不同需求的角色而导致权限分配错综复杂。稍有不慎,就可能导致严重的安全漏洞。Adalanche帮你解决这些问题,让你清晰了解每个人的权限范围。
获取Adalanche
Adalanche是一个一站式的二进制文件,可从Active Directory收集信息并进行分析。对于只分析AD的情况,只需下载适合你平台的二进制文件。如需更深入的洞察,可以通过Group Policy或其他自动化方式在Windows成员服务器上部署专用的收集器.exe。
- 最新版本: 访问Releases获取最新的稳定版。
- 自建: 如果你需要更多控制权,可以在Windows、MacOS或Linux平台上编译源代码。确保安装了Go 1.19、PowerShell 7和git,然后运行
./build.ps1。
首次启动 - 全自动模式
在加入域的Windows机器上运行Adalanche时,无需任何参数即可自动检测并工作。对于更高级的用法(推荐),首先以适当的选项进行数据收集,所有数据文件将存储在"data"子目录中(除非使用--datapath dir指定其他路径)。
查看命令行选项以了解更多可能性(通过帮助或command --help)。
数据收集
Active Directory
主要的数据来源是Active Directory,使用以下命令开始:
adalanche collect activedirectory [--options ...]
如果在非域加入的Windows机器或其它操作系统上,需要提供--domain参数,以及用户名和密码(如有必要,Adalanche会提示输入密码——但要小心,SysMon等命令行日志记录工具可能会捕获密码)。
默认情况下,Adalanche使用LDAPS(端口636上的TLS)。如果你在一个未设置CA的实验室环境中,可能会因为计算机不信任AD证书而遇到连接错误。你可以通过--ignorecert开关禁用证书验证,或者通过--tlsmode NoTLS --port 389切换到无TLS协议。
本地Windows数据(仅Windows)
在Windows成员系统上,你可以使用当前用户身份执行:
adalanche collect activedirectory
或使用其他凭据:
adalanche collect activedirectory --authmode ntlm --username joe --password Hunter42
自定义解决方案
如果你遇到了"LDAP Result Code 49"错误,可能是由于SSL连接要求"通道绑定"或"签名"造成的安全强化。你可以尝试通过以下方法之一绕过这个限制:
- 通过明文LDAP(端口389)导出数据。
- 使用SysInternals AD Explorer创建快照,然后由Adalanche导入。
分析
分析非常简单。只要数据在"data"目录中(或其子目录中),Adalanche就会自动加载、关联并使用它们。执行下面的命令,然后启动浏览器:
adalanche analyze
Adalanche支持预定义查询,点击“样本查询”按钮,选择一个示例来熟悉查询操作。在分析选项中,你可以切换不同的模式,比如正常模式、反向模式或SrcTgt模式,以满足不同场景的需求。
Adalanche提供了一个直观的用户界面,让你轻松地看到谁能影响“Administrators”,“Domain Admins”和“Enterprise Admins”。潜在的攻击目标会被标记为红色。无论结果是否令你惊讶,你都可以调整查询,深入了解其他搜索。
Adalanche以其独特的功能和易于使用的特性,让复杂的Active Directory权限管理变得轻而易举。无论是小型还是大型组织,无论是日常运维还是安全审计,Adalanche都是值得信赖的助手。现在就开始探索并提升你的域管理吧!
151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
