Latest news

Active Directory Enumeration con PowerView

Active Directory è un servizio di directory distribuito e gerarchico che consente alle organizzazioni di gestire e controllare l’accesso alle risorse della rete. È uno strumento essenziale per gli amministratori di sistema per gestire e controllare l’accesso alle risorse dell’organizzazione. La sua architettura prevede la presenza di domini, alberi e foreste che definiscono il modo in cui gli oggetti all’interno di Active Directory sono organizzati e gestiti.

Gli oggetti all’interno di Active Directory includono account utente, computer, gruppi, unità organizzative e risorse di rete come stampanti e condivisioni di file. L’enumerazione degli oggetti è il processo di ricerca, raccolta e analisi delle informazioni relative a questi oggetti al fine di identificare potenziali vulnerabilità e rischi di sicurezza.

In questo articolo, parleremo di PowerView, un potente strumento utilizzato per l’enumerazione di Active Directory.

active directory enumeration con powerview

Eleva la sicurezza di Active Directory con PowerView

PowerView è uno strumento di enumerazione di Active Directory che sfrutta le potenzialità di PowerShell, un framework di automazione della linea di comando di Microsoft. PowerView consente di eseguire una vasta gamma di operazioni di enumerazione, come la ricerca di account utente con password scadute, la ricerca di permessi non appropriati su determinate risorse, la ricerca di utenti che hanno effettuato l’accesso recentemente e la ricerca di computer non protetti, al fine di garantire i paradigmi di security quali il “Least Privilege” e quello della “Riduzione della superficie di attacco”.

PowerView è stato progettato per aiutare gli amministratori di sistema e i professionisti della sicurezza a identificare i problemi di sicurezza all’interno di Active Directory. Ad esempio, PowerView consente di identificare gli account utente con password scadute che potrebbero essere sfruttati da un attaccante per ottenere l’accesso non autorizzato alla rete. Inoltre, PowerView consente di identificare i permessi non appropriati su determinate risorse che potrebbero consentire a un attaccante di ottenere accesso a dati sensibili.

Per utilizzare PowerView, è necessario avere familiarità con PowerShell e conoscere i cmdlet specifici di PowerView. Una volta importato il modulo di PowerView in PowerShell, gli amministratori di sistema possono utilizzare i cmdlet per eseguire operazioni di enumerazione relativamente a diversi oggetti all’interno di una architettura di dominio. PowerView consente anche di esportare i risultati dell’enumerazione in diversi formati, come CSV o HTML, per semplificare l’analisi dei dati e la generazione di report dettagliati.

I cmdlet di PowerView e PowerShell

Get-NetUser

Get-NetUser è un cmdlet di PowerView utilizzato per elencare gli account utente in Active Directory. Restituisce una lista di tutti gli account utente dell’Active Directory, insieme alle informazioni relative a ciascun account, come ad esempio il nome, il SID (Security Identifier), la descrizione, lo stato dell’account (abilitato/disabilitato) e altro ancora.

Get-NetDomain

Get-NetDomain permette di estrarre le informazioni relative al dominio AD, includendo il nome della foresta, i controller di dominio, le indicazioni su quali Domain Controller detengono i ruoli FSMO (Schema Master, Domain Naming Master, RID Master, PDC Emulator e Infrastructure Master)

Get-NetDomainController

Questo comando in maniera più specifica estrapola informazioni sui Domain Controller, come ad esempio la versione del sistema operativo utilizzato, oltre ai ruoli ospitati sulle specifiche macchine DC

Get-NetComputer

Il comando “Get-NetComputer” è un cmdlet di PowerShell che recupera informazioni sui computer presenti nel dominio corrente o in un dominio specificato. Il comando richiede privilegi di amministratore per accedere alle informazioni. Con il parametro -FullData l’insieme delle informazioni estrapolate dal cmdlet risultano essere molto dettagliate.

active directory enumeration con powerview

Comandi utili per l’enumerazione di AD

Ecco alcuni esempi di utilizzo di PowerView per l’enumerazione di Active Directory:

– Enumerazione degli utenti del Dominio Active Directory:

#Esporta la lista di tutti gli utenti di Dominio su un file di testo Get-DomainUser | Out-File FilePath .\DomainUsers.txt #Enumera gli utenti loggati su uno specifico PC Get-NetLoggedon ComputerName <ComputerName> #Enumera le info di sessione per uno specifico PC Get-NetSession ComputerName <ComputerName>

– Enumerazione dei Computers di Dominio:

#Enumera i Computer a Dominio, estraendone le informazioni Get-DomainComputer Properties OperatingSystem, Name, DnsHostName | Sort-Object Property DnsHostName #Enumera Live machines a livello di Dominio AD Get-DomainComputer Ping Properties OperatingSystem, Name, DnsHostName | Sort-Object Property DnsHostName

– Enumerazione di Gruppi e relativi Members:

#Esporta tutti i gruppi di AD all’interno di un file: Get-DomainGroup | Out-File FilePath .\DomainGroup.txt #Trova i membri di gruppi specifici di AD (tipicamente Domain Admins & Enterprise Admins) Get-DomainGroup Identity <GroupName> | Select-Object ExpandProperty Member Get-DomainGroupMember Identity <GroupName> | Select-Object MemberDistinguishedName #Enumera i gruppi locali di una specifica macchina. (In questo caso sono però richiesti privilegi amministrativi sulla macchina remota) Get-NetLocalGroup | Select-Object GroupName

– Enumerazione di Group Policy:

#Trova tutte le GPO all’interno di un dominio Get-DomainGPO Properties DisplayName | Sort-Object Property DisplayName

#Trova tutte le GPOs all’interno di un dominio che modificano le local group memberships attraverso GPO Restricted Groups o tramite Group Policy Preferences Get-DomainGPOLocalGroup | Select-Object GPODisplayName, GroupName

– User Hunting, ovvero ricerca di utenti “interessanti” dal punto di vista della Security:

#Trova tutte le macchine del dominio corrente dove l’utente corrente ha un accesso amministrativo locale Find-LocalAdminAccess Verbose #Trova tutti i local admins su tutte le macchine visibili a dominio Find-DomainLocalGroupMember Verbose

windows-powershell

In conclusione, PowerView rappresenta uno strumento indispensabile per gli amministratori di sistema che desiderano migliorare la sicurezza di Active Directory. Grazie alla sua potenza e facilità d’uso, PowerView consente di identificare rapidamente le vulnerabilità presenti all’interno di Active Directory e di prendere le giuste contromisure per proteggere la rete da eventuali attacchi informatici. Se utilizzato in modo corretto e accurato, PowerView può contribuire notevolmente a rafforzare la sicurezza della rete e a proteggere i dati dell’organizzazione.

Affidati a Nexsys per ampliare le tue conoscenze: l’azienda propone numerosi corsi di formazione che ti aiuteranno ad ampliare conoscenze e competenze sulle tecnologie Microsoft e non solo, in modo da poter sviluppare competenze utili e diventare un esperto del tuo settore.

Contattaci per avere maggiori informazioni o chiamaci al numero 0452456669, ti forniremo tutte le informazioni necessarie.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!