LAPS
Basiese Inligting
Local Administrator Password Solution (LAPS) is 'n instrument wat gebruik word vir die bestuur van 'n stelsel waar administrateurs wagwoorde, wat uniek, willekeurig en gereeld verander is, toegepas word op domein-gekoppelde rekenaars. Hierdie wagwoorde word veilig binne Active Directory gestoor en is slegs toeganklik vir gebruikers wat toestemming gekry het deur middel van Toegangsbeheerlyste (ACL's). Die veiligheid van die wagwoord-oordragte van die kliënt na die bediener word verseker deur die gebruik van Kerberos-weergawe 5 en Advanced Encryption Standard (AES).
In die domein se rekenaarvoorwerpe, lei die implementering van LAPS tot die byvoeging van twee nuwe eienskappe: ms-mcs-AdmPwd
en ms-mcs-AdmPwdExpirationTime
. Hierdie eienskappe stoor onderskeidelik die plain-text-administrateurwagwoord en die vervaldatum daarvan.
Kontroleer of geaktiveer is
LAPS Wagwoord Toegang
Jy kan die rofweg LAPS beleid aflaai vanaf \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
en dan die Parse-PolFile
van die GPRegistryPolicyParser pakkie kan gebruik word om hierdie lêer na 'n mens-leesbare formaat te omskep.
Verder kan die inheemse LAPS PowerShell cmdlets gebruik word as hulle op 'n masjien geïnstalleer is waarop ons toegang het:
PowerView kan ook gebruik word om uit te vind wie die wagwoord kan lees en dit kan lees:
LAPSToolkit
Die LAPSToolkit fasiliteer die opname van LAPS met verskeie funksies. Een daarvan is die ontleding van ExtendedRights
vir alle rekenaars met LAPS wat geaktiveer is. Dit sal groepe spesifiek wys wat gedelegeer is om LAPS-wagwoorde te lees, wat dikwels gebruikers in beskermde groepe is. 'n Rekening wat 'n rekenaar by 'n domein gevoeg het, ontvang Alle Uitgebreide Regte
oor daardie gasheer, en hierdie reg gee die rekening die vermoë om wagwoorde te lees. Opname kan 'n gebruikersrekening wys wat die LAPS-wagwoord op 'n gasheer kan lees. Dit kan ons help om spesifieke AD-gebruikers te teiken wat LAPS-wagwoorde kan lees.
Dumping LAPS-wagwoorde met Crackmapexec
Indien daar geen toegang tot 'n Powershell is nie, kan jy hierdie voorreg afstandbeheer misbruik deur LDAP te gebruik.
LAPS Volharding
Vervaldatum
Sodra admin, is dit moontlik om die wagwoorde te bekom en te voorkom dat 'n masjien sy wagwoord opdateer deur die vervaldatum in die toekoms in te stel.
Die wagwoord sal steeds herstel word as 'n admin die Reset-AdmPwdPassword
cmdlet gebruik; of as Moenie toelaat dat die wagwoordvervaltyd langer as vereis deur beleid geaktiveer is in die LAPS GPO.
Agterdeur
Die oorspronklike bronkode vir LAPS kan gevind word hier, daarom is dit moontlik om 'n agterdeur in die kode te plaas (binne die Get-AdmPwdPassword
metode in Main/AdmPwd.PS/Main.cs
byvoorbeeld) wat op een of ander manier nuwe wagwoorde eksfiltreer ofêrens stoor.
Kompilieer dan net die nuwe AdmPwd.PS.dll
en laai dit op na die masjien in C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(en verander die wysigingstyd).
Verwysings
Last updated