ConfigMgr icon indicating copy to clipboard operation
ConfigMgr copied to clipboard

Published 20 hours ago verified publisher icon windows-admins

Grouper2 Output

Open Ebag333 opened this issue 5 years ago • 1 comments 


COMMANDO Sat 04/13/2019  5:46:45.80
C:\Tools\Grouper2>Grouper2.exe -g

Switching output to pretty mode. Nice.

Running as user: CORP\LabAdmin

All online checks will be performed in the context of this user.

Trying to figure out what AD domain we're working with.

Current AD Domain is: corp.contoso.com

Targeting SYSVOL at: \\corp.contoso.com\sysvol\corp.contoso.com\

I found all these directories in SYSVOL...
#########################################
\\corp.contoso.com\sysvol\corp.contoso.com\DfsrPrivate
\\corp.contoso.com\sysvol\corp.contoso.com\Policies
\\corp.contoso.com\sysvol\corp.contoso.com\scripts
#########################################
... and I'm going to find all the goodies I can in all of them.

6 GPOs to process.

Starting processing GPOs with 10 threads.
6/6 GPOs processed. 100% complete.

Processing SYSVOL script dirs.

Errors in processing GPOs:
{
  "\\\\corp.contoso.com\\sysvol\\corp.contoso.com\\Policies\\PolicyDefinitions": "System.IndexOutOfRangeException: Index was outside the bounds of the array.\r\n   at Grouper2.Grouper2.<>c__DisplayClass0_1.<Main>b__0()"
}


  .,-:::::/::::::..      ..     ...   ::::::::::::..,::::::::::::..  ,;'``;.                                                                                                                                                                    
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                         
  Default Domain Policy                                                                                                  
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                        
  GPO Properties                                                                                                         
  ##############                                                                                                         
  ┌──────────────────┬──────────────────────────────────────────────────────────────────────────────────────────┐        
  │Display Name      │Default Domain Policy                                                                     │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │UID               │{31B2F340-016D-11D2-945F-00C04FB984F9}                                                    │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤          
  │Distinguished Name│CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=corp,DC=contoso,DC=com │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │Created           │11/27/2018 1:16:55 AM                                                                     │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │GPO Status        │Enabled                                                                                   │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │ACLs              │┌─────┬─────────────────────────────────────────┐                                         │        
  │                  ││2    │┌─────┬────────────────────────────────┐ │                                         │        
  │                  ││     ││SID  │AU                              │ │                                         │        
  │                  ││     │├─────┼────────────────────────────────┤ │                                         │        
  │                  ││     ││Name │NT AUTHORITY\Authenticated Users│ │                                         │        
  │                  ││     │├─────┼────────────────────────────────┤ │                                         │        
  │                  ││     ││Type │Allow                           │ │                                         │        
  │                  ││     │├─────┼────────────────────────────────┤ │                                         │        
  │                  ││     ││Flags│CONTAINER_INHERIT               │ │                                         │        
  │                  ││     │└─────┴────────────────────────────────┘ │                                         │        
  │                  │├─────┼─────────────────────────────────────────┤                                         │        
  │                  ││9    │┌──────┬────────────────────────────────┐│                                         │        
  │                  ││     ││SID   │AU                              ││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Name  │NT AUTHORITY\Authenticated Users││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Type  │Allow                           ││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Rights│Extended Rights                 ││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Flags │CONTAINER_INHERIT               ││                                         │        
  │                  ││     │└──────┴────────────────────────────────┘│                                         │        
  │                  │└─────┴─────────────────────────────────────────┘                                         │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │gpoPath           │\\corp.contoso.com\sysvol\corp.contoso.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}│        
  └──────────────────┴──────────────────────────────────────────────────────────────────────────────────────────┘        
  Findings in Machine Policy                                                                                             
  ##########################                                                                                             
  Registry Values                                                                                                        
  ~~~~~~~~~~~~~~~                                                                                                        
  ┌─────────────────────────────────────────────────────┬─────┐                                                          
  │Key                                                  │Value│                                                          
  ├─────────────────────────────────────────────────────┼─────┤                                                          
  │MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash│1    │                                                          
  └─────────────────────────────────────────────────────┴─────┘                                                          
  System Access                                                                                                          
  ~~~~~~~~~~~~~                                                                                                          
  ┌────────────────────────────────────────┬─────┐                                                                       
  │Invalid password attempts before lockout│0    │                                                                       
  └────────────────────────────────────────┴─────┘                                                                       
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                        
  Default Domain Controllers Policy                                                                                      
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                        
  GPO Properties                                                                                                         
  ##############                                                                                                         
  ┌──────────────────┬──────────────────────────────────────────────────────────────────────────────────────────┐        
  │Display Name      │Default Domain Controllers Policy                                                         │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │UID               │{6AC1786C-016F-11D2-945F-00C04fB984F9}                                                    │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │Distinguished Name│CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=corp,DC=contoso,DC=com │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │Created           │11/27/2018 1:16:55 AM                                                                     │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │GPO Status        │Enabled                                                                                   │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │ACLs              │┌─────┬─────────────────────────────────────────┐                                         │        
  │                  ││2    │┌─────┬────────────────────────────────┐ │                                         │        
  │                  ││     ││SID  │AU                              │ │                                         │        
  │                  ││     │├─────┼────────────────────────────────┤ │                                         │        
  │                  ││     ││Name │NT AUTHORITY\Authenticated Users│ │                                         │        
  │                  ││     │├─────┼────────────────────────────────┤ │                                         │        
  │                  ││     ││Type │Allow                           │ │                                         │        
  │                  ││     │├─────┼────────────────────────────────┤ │                                         │        
  │                  ││     ││Flags│CONTAINER_INHERIT               │ │                                         │        
  │                  ││     │└─────┴────────────────────────────────┘ │                                         │        
  │                  │├─────┼─────────────────────────────────────────┤                                         │        
  │                  ││9    │┌──────┬────────────────────────────────┐│                                         │        
  │                  ││     ││SID   │AU                              ││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Name  │NT AUTHORITY\Authenticated Users││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Type  │Allow                           ││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Rights│Extended Rights                 ││                                         │        
  │                  ││     │├──────┼────────────────────────────────┤│                                         │        
  │                  ││     ││Flags │CONTAINER_INHERIT               ││                                         │        
  │                  ││     │└──────┴────────────────────────────────┘│                                         │        
  │                  │└─────┴─────────────────────────────────────────┘                                         │        
  ├──────────────────┼──────────────────────────────────────────────────────────────────────────────────────────┤        
  │gpoPath           │\\corp.contoso.com\sysvol\corp.contoso.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}│        
  └──────────────────┴──────────────────────────────────────────────────────────────────────────────────────────┘        
  Findings in Machine Policy                                                                                             
  ##########################                                                                                             
  OS Privileges                                                                                                          
  ~~~~~~~~~~~~~                                                                                                          
  ┌────────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────┐ 
  │SeAssignPrimaryToken│┌────────────────────┬───────────────────────────────────────────────────┐                     │ 
  │Privilege           ││S-1-5-80-344959196- │Failed to resolve SID.                             │                     │ 
  │                    ││2060754871-         │                                                   │                     │ 
  │                    ││2302487193-         │                                                   │                     │ 
  │                    ││2804545603-         │                                                   │                     │ 
  │                    ││1466107430          │                                                   │                     │ 
  │                    │├────────────────────┼───────────────────────────────────────────────────┤                     │ 
  │                    ││S-1-5-20            │NT AUTHORITY\NETWORK SERVICE                       │                     │ 
  │                    │├────────────────────┼───────────────────────────────────────────────────┤                     │ 
  │                    ││S-1-5-19            │NT AUTHORITY\LOCAL SERVICE                         │                     │ 
  │                    │├────────────────────┼───────────────────────────────────────────────────┤                     │ 
  │                    ││S-1-5-80-3880718306-│Failed to resolve SID.                             │                     │ 
  │                    ││3832830129-         │                                                   │                     │ 
  │                    ││1677859214-         │                                                   │                     │ 
  │                    ││2598158968-         │                                                   │                     │ 
  │                    ││1052248003          │                                                   │                     │ 
  │                    │├────────────────────┼───────────────────────────────────────────────────┤                     │ 
  │                    ││Description         │Required to assign the primary token of a process. │                     │ 
  │                    │└────────────────────┴───────────────────────────────────────────────────┘                     │ 
  ├────────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ 
  │SeBackupPrivilege   │┌────────────┬───────────────────────────────────────────────────────────────────────────────┐ │ 
  │                    ││S-1-5-32-549│Server Operators                                                               │ │ 
  │                    │├────────────┼───────────────────────────────────────────────────────────────────────────────┤ │ 
  │                    ││S-1-5-32-551│BUILTIN\Backup Operators                                                       │ │ 
  │                    │├────────────┼───────────────────────────────────────────────────────────────────────────────┤ │ 
  │                    ││Description │This privilege causes the system to grant all read access control to any file. │ │ 
  │                    │└────────────┴───────────────────────────────────────────────────────────────────────────────┘ │ 
  ├────────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ 
  │SeLoadDriverPrivileg│┌────────────┬────────────────────────────────────────────┐                                    │ 
  │e                   ││S-1-5-32-550│Print Operators                             │                                    │ 
  │                    │├────────────┼────────────────────────────────────────────┤                                    │ 
  │                    ││Description │Required to load or unload a device driver. │                                    │ 
  │                    │└────────────┴────────────────────────────────────────────┘                                    │ 
  ├────────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ 
  │SeMachineAccountPriv│┌───────────┬────────────────────────────────────────────────────┐                             │ 
  │ilege               ││S-1-5-11   │NT AUTHORITY\Authenticated Users                    │                             │ 
  │                    │├───────────┼────────────────────────────────────────────────────┤                             │ 
  │                    ││Description│Required to create computer accounts in the domain. │                             │ 
  │                    │└───────────┴────────────────────────────────────────────────────┘                             │ 
  ├────────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ 
  │SeNetworkLogonRight │┌────────────┬───────────────────────────────────────────────────────────────┐                 │ 
  │                    ││S-1-5-32-554│BUILTIN\Pre-Windows 2000 Compatible Access                     │                 │ 
  │                    │├────────────┼───────────────────────────────────────────────────────────────┤                 │ 
  │                    ││S-1-5-11    │NT AUTHORITY\Authenticated Users                               │                 │ 
  │                    │├────────────┼───────────────────────────────────────────────────────────────┤                 │ 
  │                    ││S-1-1-0     │Everyone                                                       │                 │ 
  │                    │├────────────┼───────────────────────────────────────────────────────────────┤                 │ 
  │                    ││Description │Required for an account to log on using the network logon type.│                 │ 
  │                    │└────────────┴───────────────────────────────────────────────────────────────┘                 │ 
  ├────────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ 
  │SeRestorePrivilege  │┌────────────┬────────────────────────────────────────────────────────────────────────────────┐│ 
  │                    ││S-1-5-32-549│Server Operators                                                                ││ 
  │                    │├────────────┼────────────────────────────────────────────────────────────────────────────────┤│ 
  │                    ││S-1-5-32-551│BUILTIN\Backup Operators                                                        ││ 
  │                    │├────────────┼────────────────────────────────────────────────────────────────────────────────┤│ 
  │                    ││Description │This privilege causes the system to grant all write access control to any file. ││ 
  │                    │└────────────┴────────────────────────────────────────────────────────────────────────────────┘│  └────────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────┘ 
  Registry Values                                                                                                        
  ~~~~~~~~~~~~~~~                                                                                                        
  ┌────────────────────────────────────────────────────────────┬─────┐                                                   
  │Key                                                         │Value│                                                   
  ├────────────────────────────────────────────────────────────┼─────┤                                                   
  │MACHINE\System\CurrentControlSet\Services\Netlogon\Parameter│1    │                                                   
  │s\RequireSignOrSeal                                         │     │                                                   
  ├────────────────────────────────────────────────────────────┼─────┤                                                   
  │MACHINE\System\CurrentControlSet\Services\LanManServer\Param│1    │                                                   
  │eters\RequireSecuritySignature                              │     │                                                   
  └────────────────────────────────────────────────────────────┴─────┘                                                   
  Grouper2 took 0:0:2:525 to run.

COMMANDO Sat 04/13/2019  5:46:54.49

Ebag333 avatar Apr 14 '19 23:04 Ebag333

Need to go through these and look for ways to harden.

Ebag333 avatar Apr 14 '19 23:04 Ebag333