LAPS
Podstawowe informacje
Local Administrator Password Solution (LAPS) to narzędzie używane do zarządzania systemem, w którym hasła administratorów, które są unikalne, losowe i często zmieniane, są stosowane do komputerów dołączonych do domeny. Te hasła są bezpiecznie przechowywane w Active Directory i są dostępne tylko dla użytkowników, którzy otrzymali pozwolenie za pośrednictwem list kontroli dostępu (ACL). Bezpieczeństwo transmisji haseł z klienta do serwera zapewnia użycie Kerberos wersja 5 oraz Advanced Encryption Standard (AES).
W obiektach komputerów w domenie wdrożenie LAPS skutkuje dodaniem dwóch nowych atrybutów: ms-mcs-AdmPwd
oraz ms-mcs-AdmPwdExpirationTime
. Atrybuty te przechowują hasło administratora w postaci jawnej oraz czas jego wygaśnięcia, odpowiednio.
Sprawdź, czy jest aktywowane
LAPS Password Access
Możesz pobrać surową politykę LAPS z \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
, a następnie użyć Parse-PolFile
z pakietu GPRegistryPolicyParser, aby przekonwertować ten plik na format czytelny dla człowieka.
Ponadto, natywne cmdlety PowerShell LAPS mogą być używane, jeśli są zainstalowane na maszynie, do której mamy dostęp:
PowerView może być również używany do ustalenia kto może odczytać hasło i je odczytać:
LAPSToolkit
The LAPSToolkit ułatwia enumerację LAPS za pomocą kilku funkcji.
Jedną z nich jest analizowanie ExtendedRights
dla wszystkich komputerów z włączonym LAPS. To pokaże grupy specjalnie delegowane do odczytu haseł LAPS, które często są użytkownikami w chronionych grupach.
Konto, które dołączyło komputer do domeny, otrzymuje All Extended Rights
nad tym hostem, a to prawo daje konta możliwość odczytu haseł. Enumeracja może pokazać konto użytkownika, które może odczytać hasło LAPS na hoście. To może pomóc nam skierować się na konkretnych użytkowników AD, którzy mogą odczytać hasła LAPS.
Dumping LAPS Passwords With Crackmapexec
Jeśli nie ma dostępu do powershell, możesz nadużyć tego uprawnienia zdalnie przez LDAP, używając
To będzie zrzut wszystkich haseł, które użytkownik może odczytać, co pozwoli ci uzyskać lepszą pozycję z innym użytkownikiem.
LAPS Utrzymywanie
Data wygaśnięcia
Będąc administratorem, możliwe jest uzyskanie haseł i zapobieganie maszynie w aktualizacji swojego hasła poprzez ustawienie daty wygaśnięcia w przyszłość.
Hasło nadal zostanie zresetowane, jeśli administrator użyje polecenia Reset-AdmPwdPassword
; lub jeśli w LAPS GPO jest włączona opcja Nie pozwalaj na czas wygaśnięcia hasła dłuższy niż wymagany przez politykę.
Backdoor
Oryginalny kod źródłowy dla LAPS można znaleźć tutaj, dlatego możliwe jest umieszczenie backdoora w kodzie (w metodzie Get-AdmPwdPassword
w Main/AdmPwd.PS/Main.cs
, na przykład), który w jakiś sposób wyeksfiltruje nowe hasła lub przechowa je gdzie indziej.
Następnie wystarczy skompilować nowy AdmPwd.PS.dll
i przesłać go na maszynę do C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(i zmienić czas modyfikacji).
References
Last updated