LAPS
Basic Information
Local Administrator Password Solution (LAPS) ni chombo kinachotumika kwa usimamizi wa mfumo ambapo nywila za msimamizi, ambazo ni za kipekee, zilizopangwa kwa nasibu, na hubadilishwa mara kwa mara, zinatumika kwa kompyuta zilizounganishwa kwenye eneo. Nywila hizi zinahifadhiwa kwa usalama ndani ya Active Directory na zinapatikana tu kwa watumiaji ambao wamepewa ruhusa kupitia Orodha za Udhibiti wa Ufikiaji (ACLs). Usalama wa uhamasishaji wa nywila kutoka kwa mteja hadi seva unahakikishwa kwa kutumia Kerberos toleo la 5 na Kiwango cha Ulinzi wa Juu (AES).
Katika vitu vya kompyuta vya eneo, utekelezaji wa LAPS unapelekea kuongeza sifa mbili mpya: ms-mcs-AdmPwd
na ms-mcs-AdmPwdExpirationTime
. Sifa hizi zinahifadhi nywila ya msimamizi ya maandiko na wakati wake wa kuisha, mtawalia.
Check if activated
LAPS Password Access
You could download the raw LAPS policy from \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
and then use Parse-PolFile
from the GPRegistryPolicyParser package can be used to convert this file into human-readable format.
Moreover, the native LAPS PowerShell cmdlets can be used if they're installed on a machine we have access to:
PowerView inaweza pia kutumika kugundua nani anaweza kusoma nenosiri na kulisoma:
LAPSToolkit
The LAPSToolkit inarahisisha kuorodhesha LAPS hii kwa kutumia kazi kadhaa.
Moja ni kuchambua ExtendedRights
kwa kompyuta zote zenye LAPS imewezeshwa. Hii itaonyesha makundi yaliyotengwa mahsusi kusoma nywila za LAPS, ambayo mara nyingi ni watumiaji katika makundi yaliyolindwa.
Akaunti ambayo ime jiunga na kompyuta kwenye kanda inapata All Extended Rights
juu ya mwenyeji huo, na haki hii inampa akaunti uwezo wa kusoma nywila. Kuorodhesha kunaweza kuonyesha akaunti ya mtumiaji ambayo inaweza kusoma nywila ya LAPS kwenye mwenyeji. Hii inaweza kutusaidia kulenga watumiaji maalum wa AD ambao wanaweza kusoma nywila za LAPS.
Kutoa Nywila za LAPS Kwa Kutumia Crackmapexec
Ikiwa hakuna ufikiaji wa powershell unaweza kutumia haki hii kwa mbali kupitia LDAP kwa kutumia
This will dump all the passwords that the user can read, allowing you to get a better foothold with a different user.
LAPS Persistence
Tarehe ya Kuisha
Once admin, it's possible to obtain the passwords and prevent a machine from updating its password by setting the expiration date into the future.
Nenosiri bado litarejeshwa ikiwa admin atatumia Reset-AdmPwdPassword
cmdlet; au ikiwa Usiruhusu muda wa kuisha kwa nenosiri kuwa mrefu zaidi ya inavyohitajika na sera imewezeshwa katika LAPS GPO.
Backdoor
Msimbo wa asili wa LAPS unaweza kupatikana hapa, kwa hivyo inawezekana kuweka backdoor katika msimbo (ndani ya Get-AdmPwdPassword
njia katika Main/AdmPwd.PS/Main.cs
kwa mfano) ambayo kwa namna fulani itafanya kuhamasisha nenosiri mpya au kuyahifadhi mahali fulani.
Kisha, tu kompilisha AdmPwd.PS.dll
mpya na uipakie kwenye mashine katika C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
(na ubadilishe muda wa mabadiliko).
References
Last updated