LAPS
Osnovne informacije
Local Administrator Password Solution (LAPS) je alat koji se koristi za upravljanje sistemom gde se administrator lozinke, koje su jedinstvene, slučajno generisane i često menjane, primenjuju na računare pridružene domenu. Ove lozinke se čuvaju bezbedno unutar Active Directory-ja i pristup imaju samo korisnici kojima je dozvoljen pristup putem Access Control Lists (ACLs). Bezbednost prenosa lozinke sa klijenta na server je obezbeđena korišćenjem Kerberos verzije 5 i Advanced Encryption Standard (AES).
U objektima računara domena, implementacija LAPS-a rezultira dodavanjem dva nova atributa: ms-mcs-AdmPwd
i ms-mcs-AdmPwdExpirationTime
. Ovi atributi čuvaju plain-text administrator lozinku i vreme njenog isteka, redom.
Proverite da li je aktiviran
Pristup lozinki LAPS
Mogli biste preuzeti sirovu LAPS politiku sa \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
a zatim koristiti Parse-PolFile
iz paketa GPRegistryPolicyParser koji se može koristiti za konvertovanje ovog fajla u ljudski čitljiv format.
Osim toga, nativne LAPS PowerShell cmdlets mogu se koristiti ako su instalirani na mašini do koje imamo pristup:
PowerView takođe može biti korišćen da sazna ko može pročitati lozinku i pročita je:
LAPSToolkit
LAPSToolkit olakšava enumeraciju LAPS-a sa nekoliko funkcija. Jedna od njih je parsiranje ExtendedRights
za sve računare sa omogućenim LAPS-om. Ovo će prikazati grupe koje su specifično delegirane za čitanje LAPS lozinki, koje su često korisnici u zaštićenim grupama. Nalog koji je pridružio računar domenu dobija Sva proširena prava
nad tim računarom, a ovo pravo daje nalogu mogućnost da čita lozinke. Enumeracija može pokazati korisnički nalog koji može čitati LAPS lozinku na računaru. Ovo nam može pomoći da ciljamo određene AD korisnike koji mogu čitati LAPS lozinke.
Izbacivanje LAPS lozinki pomoću Crackmapexec-a
Ako nemate pristup powershell-u, možete zloupotrebiti ovu privilegiju udaljeno putem LDAP-a korišćenjem
LAPS Persistencija
Datum isteka
Kada ste admin, moguće je dobiti lozinke i sprečiti mašinu da ažurira svoju lozinku tako što ćete postaviti datum isteka u budućnost.
Lozinka će se i dalje resetovati ako je administrator koristi Reset-AdmPwdPassword
cmdlet; ili ako je omogućeno Ne dozvoli vreme isteka lozinke duže od onog što je potrebno prema politici u LAPS GPO.
Zadnja vrata
Originalni izvorni kod za LAPS može se pronaći ovde, stoga je moguće ubaciti zadnja vrata u kod (unutar metode Get-AdmPwdPassword
u Main/AdmPwd.PS/Main.cs
na primer) koja će na neki način izfiltrirati nove lozinke ili ih negde sačuvati.
Zatim, samo kompajlirajte novi AdmPwd.PS.dll
i otpremite ga na mašinu u C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(i promenite vreme modifikacije).
Reference
Last updated