👎🏾 🤐 ⛎ डिजिटल फोरेंसिक टिप्स और ट्रिक्स: घुसपैठ करने वाले समूह नीति में परिवर्तन का पता कैसे लगाएं 😝 ⛹🏿 🤓

सबसे पहले आइए याद करें कि एक बड़ी समूह नीति की पूर्ववर्ती स्थिति: स्थानीय - साइट - डोमेन - संगठन इकाई (LSDOU) । कम विशिष्ट स्तर से अधिक विशिष्ट तक। इसका अर्थ है कि स्थानीय GPO सेटिंग्स पहले लागू होंगी, फिर साइट-स्तर, डोमेन-स्तर आदि। और अंतिम लागू (OU GPO) सेटिंग्स के परिणामस्वरूप परिणामी प्रणाली पर सर्वोच्च वरीयता है। हालाँकि, यदि किसी डोमेन व्यवस्थापक ने उच्च-स्तरीय GPO (उदाहरण के लिए सक्षम / अक्षम डिफेंडर सेवा) में कुछ सेटिंग्स सेट नहीं की हैं, लेकिन स्थानीय-स्तर GPO पर समान सेटिंग्स कॉन्फ़िगर की गई हैं - तो अंतिम वाले लागू होंगे। हां, यहां तक कि मशीन एक डोमेन सदस्य है।

स्थानीय GPO फाइलें % systemroot% \ System32 \ GroupPolicy छिपे हुए फ़ोल्डर में स्थित हैं और निश्चित रूप से, इसमें दो स्कोप (सबफ़ोल्डर में स्थित) हैं: उपयोगकर्ता के लिए और कंप्यूटर के लिए। कोई भी उपयोगकर्ता (यहां मेरा मतलब "खराब आदमी" है), इस फ़ोल्डर (नों) तक पहुंच रखने के बाद, एक रजिस्ट्री.पोल फ़ाइल की प्रतिलिपि बना सकता है और स्थानीय जीपीओ सेटिंग्स की जांच / बदल सकता है। एक घुसपैठिया एक तीसरे भाग का उपयोग कर सकता है, जैसे कि रेजोलोल व्यूअर:

या वह अपनी मशीन में सभी% systemroot% \ System32 \ GroupPolicy सबफ़ोल्डर्स को कॉपी कर सकता है और इन सेटिंग्स को standart Group Policy Editor (gpedit.msc) स्नैप-इन के माध्यम से बदल सकता है:

सेटिंग बदलने के बाद घुसपैठिया इन फाइलों को हैक की गई मशीन पर वापस कॉपी कर सकता है और वर्तमान स्थानीय नीतियों को बदल सकता है। अगली बार जीपी अपडेट करने की प्रक्रिया पूरी होती है, स्थानीय लोगों सहित सभी नई जीपीओ सेटिंग्स लागू की जाएंगी। मेरे उदाहरण में विंडोज डिफेंडर सेवा बंद हो गई है:

खैर, डिजिटल फोरेंसिक विधियों का उपयोग करके घुसपैठियों के इन कार्यों का पता कैसे लगाया जाए? वास्तव में, यह एक बड़ी बात नहीं है अगर हमारे पास जांच के लिए एक हार्ड डिस्क क्लोन (छवि) है।

चलो प्लाजो के साथ ब्याज की छवि का विश्लेषण करें। आमतौर पर, अगर किसी के पास प्रशासनिक अधिकार कानूनी रूप से स्थानीय नीति में बदलाव करते हैं, तो वह इसे एक विंडोज़ विंडोज स्नैप-इन के साथ करता है। इसलिए, हम स्पष्ट रूप से अनुक्रमिक क्रियाओं का पता लगाएंगे: खुलें mmc.exe -> रजिस्ट्री तक पहुंचें। & comment.cmtx फाइलें:

साथ ही आप Microsoft Windows-GroupPolicy Operational.evtx लॉग फ़ाइल को इवेंट ID 4016 (Windows 10) के लिए उसी समय देख सकते हैं जब रजिस्ट्री बदल दी गई थी। नोट: जैसा कि मैंने खोजा था, केवल प्रशासनिक टेम्पलेट्स में परिवर्तन GPO लॉग में दर्ज किए जा रहे थे।

यदि कोई व्यक्ति कॉपी और बदलने के लिए स्थानीय नीति फ़ाइलों को खराब करता है, तो आप प्लासो में एक समान घटनाओं का पता लगाएंगे।

इस उदाहरण में मैंने सभी स्थानीय नीति फ़ाइलों को मैन्युअल रूप से% systemroot% \ System32 \ GroupPolicy फ़ोल्डर में कॉपी किया है (यह एक VMware वर्चुअल मशीन थी, इसलिए आप VMware-DnD फ़ोल्डर देख सकते हैं) और 10 मिनट के बाद मैंने gpupetate / बल निष्पादित किया है। आदेश। आप देखते हैं कि विंडोज डिफेंडर राज्य को ऑफ में बदल दिया गया था - क्योंकि यह विकल्प मैंने कॉपी करने से पहले स्थानीय नीति में बनाया था।

ठीक है, निष्कर्ष में - अगर कंप्यूटर पर कुछ अप्रत्याशित कॉन्फ़िगरेशन परिवर्तन पाए गए थे, तो यह जांचने की कोशिश करें कि क्या यह घुसपैठियों द्वारा संचालित स्थानीय नीति में बदलाव है या नहीं।

ध्यान देने के लिए फिर से धन्यवाद! मैं जल्द ही एक नए अच्छे सामान के साथ वापस आऊंगा!

डिजिटल फोरेंसिक टिप्स और ट्रिक्स: घुसपैठ करने वाले समूह नीति में परिवर्तन का पता कैसे लगाएं

More articles: