ATT&CK视角下的信息收集:组策略信息收集
目录
什么是组策略?
Windows中的组策略(Group Policy)是一种管理和配置Windows操作系统的功能,它允许系统管理员对计算机和用户的行为进行管理和控制。
通过组策略,管理员可以定义和强制执行计算机和用户的设置,以确保系统安全性、一致性和合规性。
组策略可以用于配置许多方面的Windows系统,包括安全设置、网络设置、应用程序设置等等。
它可以通过本地组策略编辑器(Local Group Policy Editor)或者集中管理的活动目录组策略(Active Directory Group Policy)来管理。
通过组策略,管理员可以实施许多安全措施,例如强制密码策略、限制用户访问控制、禁用USB存储设备等。
此外,组策略还可以用于配置网络设置,例如映射网络驱动器、设置代理服务器等。
总的来说,Windows中的组策略是一种强大的工具,可以帮助管理员管理和控制Windows系统的各个方面,以确保系统的安全性和一致性。
本地组策略收集
本地组策略(Local Group Policy ,缩写为LGP或者LocalGPO)是组策略的基础版本,它面向独立且非域的计算机
从Windows Vista开始,Windows允许LGP(Local Group Policy)管理单个用户和组,并允许使用GPO Packs(组策略容器包)在独立计算机之间进行备份,导入、导出组策略-----组策略容器包中包含了导入策略到目标计算机的所需文件
域组策略收集
当想要批量的管理域内的计算机时,就可以通过组策略管理来对域内的用户进行统一的管理
(1)可以使用gpmc.msc命令打开组策略管理器页面,Default Domain Controllers Policy是默认的组策略
这里的链接指的是组策略影响的范围,链接的位置可以是站点,域以及OU,如果想要看详细的信息可以右键并且保存报告的方式进行查看 ?
报告中的内容如下:
组策略存储收集
组策略在域内分为两个部分,分为:
-
组策略容器(GPC)
-
组策略模板(GPT)
组策略容器中存储了每一个组策略详细的基本信息,如策略名称,标识组策略的GUID、组策略链接到的层级(即作用对象、策略模板(GPT)的具体路径、策略应用的筛选与过滤等。
客户端可以从组策略容器中获取到关于该组策略的所有元信息以及具体的配置路径
(1)组策略容器
使用CN=Policies,CN=System,<BaseDN>命令可以通过LDAP查询组策略容器
组策略描述了名称、文件路径等信息,其中较为关键的信息如下:
-
displayname:组策略的名称
-
gPCFileSysPath:组策略模板所在的具体路径
-
gPCMachineExtensionNames:客户端执行该组策略所需要的客户端扩展程序
安装LDAP工具:Free LDAP Browser for Windows (ldapbrowserwindows.com)
下面是使用LDAP查看的组策略容器的内容:
在某个对象应用了相应组策略之后,该对象的gPLink值将会指向包含该组策略的完整域名,也就是完成了LDAP的链接
(2)组策略模板(GPT)
组策略模板是组策略的策略配置信息,它位于域控制器的共享目录C:\Windows\SYSVOL\sysvol\DomainName\Polices下的各个GUID文件夹内。
执行net share可以看待该共享目录
?
在GPT目录中可以看到以下所示的结构:
-
Machine目录:包含针对计算机的组策略配置
-
User目录:包含针对用户的组策略配置
-
gpt-ini目录:该组策略对象的一些配置信息(如版本信息、策略信息)
组策略对象收集
组策略对象(Group Policy Object)GPO,可以将组策略理解为组策略设置的集合
实际每一条组策略都有自己唯一的id
根据唯一的id可以构造组策略的存放路径
构造后的存放路径为:C:\Windows\SYSVOL\sysvol\domain\Polices下
(1)首先我们可以通过Powershell加载组策略模块
(2)然后使用Get-GPO-All命令可以累出所有的GPO
Get-GPO-All
(3)可以使用下面的命令来导出所有的GPO
Get-GPO -All | %{Get-GPOReport -name $_.displayname -ReportType html -patname+".html"}
?(4)可以使用一下命令查看指定的GPO的权限
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!