LAPS
Podstawowe informacje
Local Administrator Password Solution (LAPS) to narzędzie używane do zarządzania systemem, w którym hasła administratora, które są unikalne, losowe i często zmieniane, są stosowane do komputerów dołączonych do domeny. Te hasła są przechowywane bezpiecznie w Active Directory i są dostępne tylko dla użytkowników, którzy otrzymali uprawnienia poprzez listy kontroli dostępu (ACL). Bezpieczeństwo transmisji hasła z klienta do serwera jest zapewnione przez użycie Kerberos w wersji 5 i Advanced Encryption Standard (AES).
W obiektach komputerów domeny, wdrożenie LAPS skutkuje dodaniem dwóch nowych atrybutów: ms-mcs-AdmPwd
i ms-mcs-AdmPwdExpirationTime
. Te atrybuty przechowują odpowiednio hasło administratora w postaci zwykłego tekstu i jego czas wygaśnięcia.
Sprawdź, czy jest aktywowany
Dostęp do hasła LAPS
Możesz pobrać surową politykę LAPS z \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
, a następnie użyć Parse-PolFile
z pakietu GPRegistryPolicyParser, aby przekonwertować ten plik na czytelną dla człowieka formę.
Co więcej, wbudowane polecenia PowerShell LAPS mogą być użyte, jeśli są zainstalowane na maszynie, do której mamy dostęp:
PowerView może również być używany do sprawdzenia kto może odczytać hasło i je odczytać:
LAPSToolkit
LAPSToolkit ułatwia wyliczanie LAPS za pomocą kilku funkcji.
Jedną z nich jest analiza ExtendedRights
dla wszystkich komputerów z włączonym LAPS. To pokaże grupy specjalnie upoważnione do odczytu haseł LAPS, które często są użytkownikami w chronionych grupach.
Konto, które dołączyło komputer do domeny, otrzymuje All Extended Rights
nad tym hostem, a to prawo daje temu kontu możliwość odczytu haseł. Wyliczenie może pokazać konto użytkownika, które może odczytać hasło LAPS na hoście. To może pomóc nam w docelowym wyborze konkretnych użytkowników AD, którzy mogą odczytać hasła LAPS.
Wyciek hasła LAPS za pomocą Crackmapexec
Jeśli nie ma dostępu do powershell, można nadużyć tego uprawnienia zdalnie za pomocą LDAP, korzystając z
Trwałość LAPS
Data wygaśnięcia
Gdy już masz uprawnienia administratora, możesz uzyskać hasła i zapobiec aktualizacji hasła na maszynie, ustawiając datę wygaśnięcia w przyszłości.
Hasło zostanie nadal zresetowane, jeśli administrator użyje polecenia Reset-AdmPwdPassword
; lub jeśli opcja Nie zezwalaj na dłuższy czas ważności hasła niż wymaga tego zasady jest włączona w GPO LAPS.
Tylnie drzwi
Oryginalny kod źródłowy LAPS można znaleźć tutaj, dlatego istnieje możliwość umieszczenia tylnych drzwi w kodzie (wewnątrz metody Get-AdmPwdPassword
w Main/AdmPwd.PS/Main.cs
na przykład), które w jakiś sposób wyprowadzą nowe hasła lub przechowają je gdzieś.
Następnie wystarczy skompilować nowe AdmPwd.PS.dll
i przesłać go na maszynę do C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(i zmienić czas modyfikacji).
Referencje
Last updated