Учетные записи пользователей и групп: что такое имя?

Опубликовано: 7 Апреля, 2023

Введение

Когда вы пытаетесь отследить пользователя или группу, может возникнуть путаница в отношении того, на что вы на самом деле смотрите. В недавнем аудите было множество доменов, настраиваемых групп (не очень хорошо названных) и, конечно же, членство в группах, что сильно сбивало с толку. Чтобы отследить каждую учетную запись, нам пришлось расшифровать соглашение об именах, а затем определить, была ли учетная запись пользователем или группой. Наконец, зная все это, мы могли определить общую область доступа и, следовательно, узнать, кто имел доступ к какому ресурсу. Достижение этого момента было немного запутанным, так как не все работали с Windows в течение 20 лет! Эта статья поможет вам понять, как расшифровать синтаксис пользователей и групп, который отображается в отчетах и графических интерфейсах по всему предприятию.

Пользователи и группы по умолчанию

При установке сервера и создании Active Directory также создаются пользователи и группы по умолчанию. Конечно, учетные записи, созданные на сервере, являются локальными пользователями и группами, а учетные записи, созданные в Active Directory (на контроллерах домена), являются учетными записями домена.

Эти учетные записи являются ключевыми во время оценки, поскольку они могут помочь вам быстро проанализировать доступ, а не отслеживать, является ли учетная запись пользователем или группой. Например, если вы видите учетную запись в списке управления доступом с именем «Администраторы домена», вы можете довольно быстро оценить, что это группа по умолчанию для домена, предназначенная для управления всем доменом. Аналогичным образом, если вы найдете пользователя с именем Guest, вы можете быть уверены, что это локальный или доменный пользователь, созданный по умолчанию.

Конечно, вы не уверены на 100 %, что какое-либо имя пользователя или группы по умолчанию было изменено, поэтому вы выполняете другие проверки имени и SID. Каждая учетная запись по умолчанию имеет «хорошо известный SID», который позволяет ОС и вам отслеживать эти специальные учетные записи, даже если имя изменено. Здесь вы можете получить SID для учетных записей Windows Server 2008 R2 Active Directory.

Это локальная учетная запись или учетная запись домена?

Первым шагом в нашей расшифровке пользователей и групп является определение того, является ли учетная запись локальной учетной записью или учетной записью домена. Это важно, поскольку каждая учетная запись будет храниться в отдельной базе данных (локальной базе данных SAM или Active Directory). Знание того, к какой базе данных или отчету (если у вас есть список учетных записей базы данных) получить доступ, будет ключом к определению того, является ли учетная запись пользователем или группой.

Учетные записи домена довольно легко обнаружить, поскольку с ними будет связано доменное имя. Помните, что каждый домен Active Directory имеет два имени: имя NetBIOS и имя DNS. DNS-имя будет легко определить, потому что оно будет похоже на то, что вы видите в Интернете. Вы можете увидеть DNS-имя, такое как derekmelber.com, auditingwindowsexpert.com и т. д.

Домены также имеют имя NetBIOS, которое имеет ограничение в 15 символов и обычно не включает специальные символы. Эти имена будут включать такие имена, как DEREKMELBER, CORP, ROOT и т. д.

Имя NetBIOS и DNS для одного и того же домена не обязательно должны быть каким-либо образом связаны! Таким образом, вам понадобится список каждого домена с обоими именами, чтобы вы могли быстро найти учетные записи, которые вы найдете в списках контроля доступа.

Учетные записи домена обычно имеют имя NetBIOS, отображаемое перед именем учетной записи, с «» между ними. Итак, следующие учетные записи домена:

ДЕРЕКМЕЛЬБЕРАдминистраторы домена

ROOTАдминистраторы предприятия

CORPDNSAdmins

ДЕРЕКМЕЛЬБЕРderk

Вы можете увидеть несколько таких учетных записей домена на рисунке 1.

Изображение 10488
Рисунок 1: Учетные записи домена имеют имя домена, указанное в имени учетной записи.

Чтобы получить список доменных имен (как NetBIOS, так и DNS) для каждого домена, вам просто нужно запустить команду «set» на одном контроллере домена для каждого домена. Результат будет выглядеть так, как показано на рисунке 2.

Изображение 10489
Рис. 2. Команда SET показывает NetBIOS- и DNS-имя домена.

На рис. 2 видно, что USERDNSDOMAIN — это имя DNS, а USERDOMAIN — это имя NetBIOS.

Таким образом, если у вас есть запись, в которой имя домена указано перед именем учетной записи, вы сможете проверить список учетных записей домена для учетной записи.

Есть еще одна учетная запись, которую вы найдете в своих списках, которая будет учетной записью домена. Эти учетные записи имеют слово BUILTIN перед именем учетной записи и будут только учетными записями по умолчанию. На рис. 3 показано, как это может выглядеть в отчете.

Изображение 10490
Рисунок 3: ВСТРОЕННЫЕ учетные записи — это учетные записи домена, которые являются учетными записями по умолчанию.

Локальными учетными записями будут все другие учетные записи, которые вы найдете, и, как правило, они также будут иметь разные форматы. Первый тип формата для локальной учетной записи — это формат, в котором за именем сервера следует символ «», а затем — имя учетной записи. На рис. 4 показано, как это может выглядеть.

Изображение 10491
Рисунок 4. В локальных учетных записях сначала указывается имя сервера, а затем имя учетной записи.

В этом случае имя сервера — derekmelber7, а имена учетных записей — «Администраторы» и «Пользователи». Поскольку имя сервера в этом случае так близко к доменному имени выше, важно получить список доменных имен, поэтому вы знаете, что все, что не является доменным именем, должно быть именем сервера.

Другой формат, который вы можете увидеть, это тот, который имеет «.», а затем имя учетной записи. Обычно это ссылка на локальные системные учетные записи. На рис. 5 показано, как это может выглядеть.

Изображение 10492
Рисунок 5: Учетные записи локальной системы также могут иметь «.» для ссылки на них.

Это пользователь или группа?

Теперь, когда мы знаем, является ли учетная запись локальной или доменной, мы можем перейти к правильной базе данных или списку, чтобы убедиться, что мы знаем, является ли это пользователем или группой. Не зная этого, было бы очень сложно определить, куда идти и является ли учетная запись пользователем или группой.

Допустим, у вас есть учетная запись с именем DEREKMELBERADMINS_ACCTS. Конечно, мы знаем, что это учетная запись домена, основываясь на наших выводах SET и расшифровке имени. Мы перейдем к выходу нашего домена для групп и найдем имя ADMINS_ACCTS. Если имя не отображается в этом списке, вы можете предположить, что это пользователь. Быстрый поиск в списке пользователей для домена был бы хорошей двойной проверкой, но наша расшифровка определила, что это пользователь.

Если учетная запись является группой, вам нужно будет перечислить членов группы и для каждого члена выполнить одни и те же итерационные запросы как для группы, так и для списка пользователей. Группы часто вложены в другие группы... много раз глубиной от двух до четырех! Наберитесь терпения и следуйте схеме, чтобы получить членов всех групп.

Резюме

Расшифровка учетных записей в списках контроля доступа и других списках доступа может занять много времени. Используя эти советы и рекомендации, вы можете быстро проанализировать, является ли учетная запись локальной или доменной, а также пользователем или группой. Без этих советов вы можете часами пытаться выполнить поиск, когда быстрый взгляд на них даст вам направление.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023