Active Directory Canaries 部署与使用指南

Active Directory Canaries 部署与使用指南

1. 项目目录结构及介绍

本项目【AirbusProtect/AD-Canaries**位于GitHub上，旨在通过自动化脚本来部署主动防御机制以监测Active Directory（AD）环境中的枚举尝试。以下是其主要目录结构和关键组件简介：

.
├── ADCanaries.ps1         # 核心PowerShell脚本，用于部署、管理AD Canaries。
├── LICENSE                # 许可证文件，说明软件使用的权限范围。
├── README.md              # 项目的主要说明文档，提供快速入门和概览。
└── resources             # 可能包含额外的辅助文件或配置模板。

• ADCanaries.ps1 是这个项目的启动点，提供了多个参数来支持部署、管理和撤销AD Canaries对象的自动化操作。
• LICENSE 文件定义了如何合法地使用此代码库。
• README.md 提供项目概述，包括部署步骤、需求和重要警告。
• resources 目录可能存放配置模板、示例数据或其他资源文件，对实施过程进行支持。

2. 项目的启动文件介绍

ADCanaries.ps1

此脚本是部署和管理AD Canaries的核心。它支持以下几个关键命令：

• Populate: 使用提供的JSON配置文件填充默认的AD Canaries部署，并覆盖现有配置。
• Deploy: 根据JSON配置文件部署AD Canaries，并输出一个CSV文件，列出每个Canary的名称和GUID。
• Revert: 使用配置文件销毁已部署的AD Canaries。
• AuditSACLs: 列出已启用(ReadProperty|GenericAll)审核的AD对象，帮助评估DS访问失败审计情况。

使用这些命令时需结合具体参数，如 -Config, -ParentOU, -Owner, -CanaryContainer,等，确保正确的环境设置和权限控制。

3. 项目的配置文件介绍

虽然直接在GitHub仓库中没有显式提到一个特定的配置文件路径或模板，但根据脚本的使用方式，可以推断出配置管理主要依赖于JSON格式的配置文件。用户需要创建或修改这样的文件，以指定部署细节，如目标组织单位（OU）、所有者组、Canary对象的属性等。一个典型的配置文件应当包含至少以下信息：

• ParentOU: 指定Canaries对象将被部署到的父OU路径。
• Owner: 设置拥有Canary对象的用户或组名。
• CanaryContainer: 定义Canary对象的容器命名。
• 其他可能的具体Canary对象设置，比如类型(group, pKICertificateTemplate)和安全属性等。

为了正确部署AD Canaries，应详细阅读脚本内注释或项目文档，以理解每项配置的意义和正确值的设定。配置文件的有效性和精确性对于部署的成功至关重要。

请注意，由于安全考虑，部署AD Canaries要求具备AD管理员权限，并且建议在生产环境中部署前，仔细审查脚本并进行全面测试。此外，了解AD对象的审计策略和安全最佳实践也是成功实施的关键部分。