Exchange-AD-Privesc修复脚本详解如何快速检测和修复Exchange部署中的Active Directory安全漏洞【免费下载链接】Exchange-AD-PrivescExchange privilege escalations to Active Directory项目地址: https://gitcode.com/gh_mirrors/ex/Exchange-AD-Privesc在Microsoft Exchange部署过程中Active Directory安全配置往往容易被忽视导致严重的权限提升漏洞。Exchange-AD-Privesc项目专门针对这些Exchange部署中的Active Directory安全漏洞提供了专业的检测和修复解决方案。本文将详细介绍这些关键漏洞的原理、风险以及如何使用项目提供的修复脚本快速保护您的AD环境。 Exchange部署中的AD安全风险Exchange服务器在企业环境中通常是高价值目标相比域控制器它们往往安全配置较弱。Exchange部署会向Active Directory添加大量属性和类创建安全组并修改关键AD对象的DACL自主访问控制列表。这些修改可能带来严重的安全隐患。主要漏洞类型Exchange-AD-Privesc项目主要关注三类关键漏洞Domain Object DACL权限提升漏洞DNSAdmins组DACL权限提升漏洞Public-Information属性集包含SPN问题这些漏洞允许攻击者从Exchange权限组提升到域管理员权限完全控制整个Active Directory域。 漏洞影响分析Domain Object漏洞详解这是最危险的漏洞之一当Exchange 2010/2013/2016在共享权限或RBAC拆分权限模式下部署时Exchange Windows Permissions安全组会在域对象上获得两个缺少INHERIT_ONLY标志的ACE。从图中可以看到Exchange Windows Permissions组在域对象上拥有WriteDACL权限这个权限本应只应用于子对象但由于缺少INHERIT_ONLY标志实际上应用到了域对象本身。安全后果任何拥有Exchange Windows Permissions SID的账户都可以修改域对象的DACL为自己添加DCSync权限从而获取域内所有账户的Kerberos密钥和哈希值。DNSAdmins组漏洞在Exchange 2016的最新部署中Exchange Windows Permissions和Exchange Trusted Subsystem安全组在DNSAdmins组上获得了三个控制ACE。安全后果任何Organization Management组成员都可以通过Exchange Windows Permissions间接控制DNSAdmins组进而通过DNS服务加载恶意DLL在域控制器上执行SYSTEM权限代码。️ 快速检测和修复指南检测环境是否受影响Exchange-AD-Privesc项目提供了两个核心修复脚本DomainObject修复脚本Fix-DomainObjectDACL.ps1DNSAdmins修复脚本Fix-DNSAdmins-DACL.ps1检测Domain Object漏洞运行以下命令检测环境是否存在Domain Object漏洞.\Fix-DomainObjectDACL.ps1 -Check脚本会自动检查域对象DACL中是否存在两个有问题的ACE。如果发现漏洞会显示The two faulty ACEs were found. Exchange Windows Permissions can control the domain object.检测DNSAdmins漏洞运行以下命令检测DNSAdmins组漏洞.\Fix-DNSAdmins-DACL.ps1 -Check脚本会检查DNSAdmins组DACL中是否存在三个有问题的ACE。一键修复漏洞修复Domain Object漏洞使用Domain Admins权限运行修复命令.\Fix-DomainObjectDACL.ps1 -Fix脚本会自动备份当前域对象DACL到文件为两个有问题的ACE设置InheritOnly标志验证修复结果修复DNSAdmins漏洞使用Domain Admins权限运行修复命令.\Fix-DNSAdmins-DACL.ps1 -Fix脚本会备份DNSAdmins组DACL禁用DACL继承并删除三个有问题的ACE确保DNSAdmins组安全 修复脚本工作原理DomainObject修复脚本详解脚本的核心逻辑是通过PowerShell的Active Directory模块操作DACL检测阶段查找特定ACE$faultyACE $domainObjectAcl.Access | Where-Object { $_.IdentityReference -match \\Exchange Windows Permissions -and $_.ActiveDirectoryRights -match WriteDacl -and $_.PropagationFlags -match None }修复阶段修改ACE标志$inheritanceType [System.DirectoryServices.ActiveDirectorySecurityInheritance]Descendents $ace0 new-object System.DirectoryServices.ActiveDirectoryAccessRule ...备份机制每次修复前自动备份DACL到文件格式为domainObjectDACL_YYYYMMDDThhmmssZ_Fix.txtDNSAdmins修复脚本特点DNSAdmins修复脚本采用不同的策略直接断开DACL继承删除有问题的ACE保持其他必要权限不变 手动修复方法备用方案如果无法使用脚本可以通过以下方式手动修复使用LDP工具修复Domain Object漏洞以域管理员身份运行LDP.exe连接到域控制器导航到域对象如DCexample,DCcom查看安全描述符找到Exchange Windows Permissions的两个ACE勾选Inherit only复选框应用修改使用Active Directory用户和计算机打开Active Directory用户和计算机启用高级功能视图右键点击域名选择属性进入安全选项卡点击高级找到Exchange Windows Permissions条目编辑权限确保仅将这些权限应用到此容器中的对象和/或容器被选中⚠️ 重要注意事项权限要求检测操作普通用户权限即可修复操作需要Domain Admins权限还原操作需要Domain Admins权限谨慎使用备份和恢复两个脚本都提供完整的备份机制修复前自动备份当前DACL提供-Restore参数恢复原始状态备份文件包含时间戳便于审计兼容性考虑脚本适用于Exchange 2010/2013/2016需要PowerShell Active Directory模块建议在测试环境验证后再在生产环境使用 最佳实践建议1. 定期安全审计建议每季度运行一次检测脚本确保环境安全状态。2. Exchange更新后验证每次Exchange累积更新后重新运行检测脚本确认安全配置。3. 权限最小化原则遵循最小权限原则定期审查Exchange相关安全组的成员资格。4. 监控异常活动监控对域对象和DNSAdmins组的DACL修改活动。5. 文档化修复过程记录每次修复的时间、操作人员和备份文件位置。 相关技术文档项目提供了详细的技术文档Domain Object漏洞详解DNSAdmins漏洞分析Public-Information属性集问题Alt-Security-Identities问题 总结Exchange-AD-Privesc项目为企业安全团队提供了强大的工具来检测和修复Exchange部署中的Active Directory安全漏洞。通过使用这些修复脚本您可以✅快速识别Exchange部署引入的AD安全风险✅一键修复关键权限提升漏洞✅保持合规满足安全审计要求✅预防攻击阻止域管理员权限被窃取记住安全是一个持续的过程。定期使用这些工具进行检测及时应用安全更新并遵循最小权限原则才能确保您的Exchange和Active Directory环境安全可靠。立即行动下载Exchange-AD-Privesc脚本开始保护您的Active Directory环境吧【免费下载链接】Exchange-AD-PrivescExchange privilege escalations to Active Directory项目地址: https://gitcode.com/gh_mirrors/ex/Exchange-AD-Privesc创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
