Active Directory - Part 1: Overview
Introduction
Active Directory (AD) là dịch vụ thư mục dành cho môi trường mạng dựa trên Windows và đóng vai trò quan trọng trong việc quản lý tập trung các tài nguyên của tổ chức như:
Users - người dùng
Computers - máy tính
Groups - nhóm
Network devices - thiết bị mạng
File shares - chia sẻ tệp
Group policies - chính sách nhóm
Devices - thiết bị
Trusts - tin cậy
Cấu trúc phân cấp và phân tán của AD khiến cho nó trở thành một giải pháp có khả năng mở rộng cao, có khả năng hỗ trợ hàng triệu đối tượng trên mỗi domain (miền) và cho phép tạo các additional domains (miền bổ sung) khi tổ chức phát triển.
Tuy nhiên, việc tập trung thông tin cũng khiến AD trở thành mục tiêu hàng đầu của những kẻ tấn công, một trong những lý do khiến AD trở thành mục tiêu hàng đầu của những kẻ tấn công là vì nó cung cấp cả chức năng Authentication (xác thực) và Authorization (ủy quyền) trong môi trường Windows domain.
Mặc dù AD được thiết kế để tương thích ngược nhưng nhiều tính năng lại không được coi là an toàn khiến nó dễ bị cấu hình sai và bị khai thác. Ngoài ra, tài khoản người dùng AD cơ bản có thể liệt kê hầu hết các đối tượng trong AD, điều này khiến việc bảo mật môi trường AD đúng cách là cực kỳ quan trọng.
Trong những năm gần đây, AD ngày càng bị tấn công nhiều hơn và những kẻ khai thác ransomware đã nhắm mục tiêu cụ thể vào nó như một phần quan trọng trong chuỗi tấn công của chúng.
Components
Domain Controller
Được xem như "người giám sát" của Active Directory, chịu trách nhiệm thiết lập thư mục và các chức năng của AD.
Mục đích chính là cấp quyền truy cập vào tài nguyên mạng và tài khoản người dùng bằng cách cung cấp các dịch vụ Authentication và Authorization cho người dùng và dịch vụ.
Domain Controller được đặt ở mức độ ưu tiên cao nhất (highest priority) trong Active Directory, sở hữu mức độ kiểm soát và quyền quản trị cao nhất. Về cơ bản, Domain Controller đóng vai trò là quản trị viên của Active Directory.
Active Directory Data Store
Active Directory Data Store là tập hợp của các tệp database và processes. Chịu tránh nhiệm duy trì và lưu trữ thông tin về người dùng, dịch vụ và ứng dụng. Nó chứa tệp “NTDS.DIT” quan trọng, nằm trong thư mục “%SystemRoot%\NTDS” trên mọi domain controllers. Tệp này chỉ có thể truy cập được thông qua các quy trình và giao thức của Domain Controller và được coi là thành phần quan trọng nhất của toàn bộ Active Directory.
Logical Active Directory Components
Logical Active Directory Components bao gồm nhiều thành phần khác nhau tồn tại trong Active Directory Data Store và thiết lập các quy định để tạo một đối tượng trong môi trường Active Directory.
Các thành phần này là thành phần không thể thiếu của Active Directory và phối hợp với nhau để đảm bảo AD hoạt động trơn tru.
Domain
Domain đóng vai trò như một đơn vị tổ chức nhóm các đối tượng và cho phép quản lý các đối tượng này. Domain tạo ranh giới cho Authentication và Authorization, cho phép kiểm soát quyền truy cập vào các tài nguyên trong miền cụ thể đó.
http://abc.com là một domain.Trees
Cây (Trees) là tập hợp các miền trong môi trường Active Directory được kết nối bằng mối quan hệ tin cậy (trust relationship) bao gồm parent domain (miền gốc) và bất kỳ child domain (miền con) nào được liên kết với miền đó.
Trong ngữ cảnh của Active Directory, một cây có thể được hiển thị dưới dạng phân cấp của các miền, với miền gốc ở trên cùng và các miền con phân nhánh từ miền đó.
abc.com” là miền chính, với các vị trí địa lý khác nhau được biểu thị dưới dạng miền con, chẳng hạn như “ca.abc.com” cho Canada, “na.abc.com” cho Bắc Mỹ và “au.abc.com” cho Úc.Forest
Rừng (Forest) bao gồm một hoặc nhiều cây được liên kết với nhau bằng cách chia sẻ chung một common schema (lược đồ) và Global Catalog (Danh mục chung). Điều này có nghĩa là cấu hình vẫn thống nhất trên tất cả các nhánh trong Forest.
Sự tin cậy giữa tất cả các domain sẽ được duy trì trong Forest và thông thường chúng sẽ có chung Enterprise Admin và Schema Admin.
Organiztional Units (OUs)
Đây là các container trong Active Directory được sử dụng để nhóm và quản lý các đối tượng như: user groups, computers và các OU khác.
Chúng cung cấp cấu trúc phân cấp và logic cho việc tổ chức, đồng thời cho phép quản lý hiệu quả các đối tượng. Ngoài ra, OU cho phép ủy quyền cho các nhóm quản trị viên và áp dụng các chính sách cũng như quy tắc trong toàn bộ cấu trúc.
Trusts
Nói một cách đơn giản, Trust trong Active Directory là một phương tiện thiết lập quyền truy cập giữa các tài nguyên để có được quyền sử dụng tài nguyên trong miền khác.
Trusts có thể được phân thành hai loại:
Directional Trust
Loại này được thiết lập theo hướng một chiều (one-way direction), trong đó Trusting domain cấp quyền truy cập vào Trusted domain.
Transitive Trust
Loại tin cậy này mở rộng mối quan hệ vượt ra ngoài phạm vi tin cậy của một miền duy nhất để bao gồm các miền đáng tin cậy khác.
Global Catalog
Danh mục toàn cầu (Global Catalog) là một bản sao chỉ đọc của một tập con dữ liệu Active Directory, được lưu trữ trên các máy chủ riêng biệt gọi là Bộ điều khiển danh mục toàn cầu (Global Catalog Server). Nó cung cấp một cái nhìn tổng quan về tất cả các đối tượng trong rừng Active Directory, bất kể chúng nằm ở tên miền nào.
Nguồn tham khảo:
https://hacklido.com/blog/862-pentesting-active-directory-part-1-trees-forest-and-trust-relations
