DSRM Credentials
DSRM 資格情報
各 DC 内には ローカル管理者 アカウントがあります。このマシンで管理者権限を持っていると、mimikatz を使用して ローカル管理者のハッシュをダンプ できます。その後、レジストリを変更してこのパスワードを アクティブ化 し、このローカル管理者ユーザーにリモートアクセスできます。 まず、DC内の ローカル管理者 ユーザーの ハッシュ を ダンプ する必要があります:
次に、そのアカウントが機能するかどうかを確認し、レジストリキーの値が「0」であるか存在しない場合は、それを「2」に設定する必要があります:
次に、PTHを使用してC$の内容をリストしたり、シェルを取得したりすることができます。注意すべきは、そのハッシュを使用してメモリ内で新しいPowerShellセッションを作成する場合(PTHの場合)、使用される「ドメイン」はDCマシンの名前だけであることです。
対策
イベントID 4657 -
HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior
の作成/変更の監査
詳細はこちら:https://adsecurity.org/?p=1714 および https://adsecurity.org/?p=1785
Last updated