Active Directory信息收集与安全分析指南

"该资源是关于Active Directory信息收集的手册，涵盖了各种命令行工具和技术，用于在Windows域环境中获取和分析关键信息。" 在Active Directory（AD）环境中，信息收集对于系统管理员、安全专家和审计人员来说至关重要。这本手册详细介绍了如何利用不同命令来收集与AD相关的重要数据。以下是一些主要的知识点： 1. **常用命令**： - `Netuse`: 显示网络连接，包括共享资源和连接状态。 - `Netview`: 列出网络上的所有计算机或特定计算机的共享资源。 - `Tasklist /v`: 显示运行在远程或本地计算机上的所有进程及其详细信息。 - `Ipconfig /all`: 提供网络配置信息，包括IP地址、子网掩码、DNS服务器等。 2. **域用户和组管理**： - `Netgroup /domain`: 可以获取域内的所有用户组列表，例如`domainadmins`和`enterpriseadmins`，这些都是具有高级权限的组。 - `Netlocalgroup administrators /domain`: 获取域内置的administrators组成员，包括`enterpriseadmins`和`domainadmins`。 - `Netgroup "domaincontrollers" /domain`: 列出域中的所有域控制器。 - `Netgroup "domaincomputers" /domain`: 获取所有加入域的计算机列表。 - `Netuser /domain` 和 `Netuser someuser /domain`: 分别列出所有域用户和指定用户的详细信息。 - `Netaccounts /domain`: 查看域的密码策略设置，如最小密码长度、锁定策略等。 3. **域信任关系**： - `Nltest /domain_trusts`: 用于获取域之间的信任关系，这对于理解AD的结构和安全性至关重要。 4. **服务主体名称（SPN）扫描**： - `setspn -T target.com -Q */*`: 扫描目标域中的所有SPN，SPN关联到服务和主机，是Kerberos身份验证的关键组成部分。 5. **定位域控制器和域管理员**： - 当主机的DNS是域内DNS时，通过`nslookup`查询DNS记录可以找到域控制器。 - 监听特定端口（如88, 389, 53）可帮助识别活动的域控制器。 - 使用PowerShell模块如`PowerPick`，可以定位到域管理员登录的机器，例如`Find-DomainUserLocation`和`Invoke-EventHunter`，它们可以帮助查看用户活动和日志事件。 6. **数据搜集**： - 基础信息收集包括共享资源的列表，如`netshare`、`wmic share get`命令可以获取本地或远程计算机的共享信息。 - 搜索域内与文件相关的计算机，可以利用`wmic node:COMPUTER_NAME shareget`等命令查找特定类型的资源。 这些工具和方法帮助管理员和安全专业人员了解AD环境，发现潜在的安全风险，进行合规性检查，并优化网络资源的管理和监控。了解并熟练运用这些命令，对于管理和保护AD环境是十分必要的。