LAPS
Temel Bilgiler
Local Administrator Password Solution (LAPS), benzersiz, rastgele ve sık sık değiştirilen yönetici şifrelerinin alan katılımlı bilgisayarlara uygulandığı bir sistemi yönetmek için kullanılan bir araçtır. Bu şifreler, Active Directory içinde güvenli bir şekilde saklanır ve yalnızca Erişim Kontrol Listeleri (ACL'ler) aracılığıyla izin verilmiş kullanıcılara erişilebilir. İstemciden sunucuya şifre iletimlerinin güvenliği, Kerberos sürüm 5 ve Gelişmiş Şifreleme Standardı (AES) kullanılarak sağlanır.
Alan bilgisayar nesnelerinde, LAPS'ın uygulanması, ms-mcs-AdmPwd
ve ms-mcs-AdmPwdExpirationTime
adında iki yeni niteliğin eklenmesine yol açar. Bu nitelikler, sırasıyla düz metin yönetici şifresini ve şifrenin sona erme zamanını saklar.
Aktif olup olmadığını kontrol et
LAPS Parola Erişimi
Ham LAPS politikasını \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol
adresinden indirebilir ve ardından GPRegistryPolicyParser paketinden Parse-PolFile
kullanarak bu dosyayı insan tarafından okunabilir bir formata dönüştürebilirsiniz.
Ayrıca, erişim sağladığımız bir makinede yüklüyse yerel LAPS PowerShell cmdlet'leri de kullanılabilir:
PowerView ayrıca şifrenin kimler tarafından okunabileceğini ve okunmasını bulmak için de kullanılabilir:
LAPSToolkit
The LAPSToolkit LAPS'in birkaç işlevle sayımını kolaylaştırır.
Bunlardan biri, LAPS etkin olan tüm bilgisayarlar için ExtendedRights
'ı ayrıştırmaktır. Bu, genellikle korunan gruplardaki kullanıcılar olan LAPS şifrelerini okumak için özel olarak yetkilendirilmiş grupları
gösterecektir.
Bir hesap, bir bilgisayarı bir domaine katıldığında, o ana bilgisayar üzerinde Tüm Genişletilmiş Haklar
alır ve bu hak, hesaba şifreleri okuma yeteneği verir. Sayım, bir ana bilgisayarda LAPS şifresini okuyabilen bir kullanıcı hesabını gösterebilir. Bu, LAPS şifrelerini okuyabilen belirli AD kullanıcılarını hedeflememize yardımcı olabilir.
Dumping LAPS Passwords With Crackmapexec
Eğer bir powershell erişiminiz yoksa, bu yetkiyi LDAP üzerinden uzaktan kötüye kullanabilirsiniz.
Bu, kullanıcının okuyabileceği tüm şifreleri dökecek ve farklı bir kullanıcı ile daha iyi bir yer edinmenizi sağlayacaktır.
** LAPS Şifresi Kullanma **
LAPS Sürekliliği
Son Kullanma Tarihi
Bir yönetici olduğunda, şifreleri elde etmek ve bir makinenin şifresini güncellemesini engellemek için son kullanma tarihini geleceğe ayarlamak mümkündür.
Şifre, bir admin Reset-AdmPwdPassword
cmdlet'ini kullanırsa veya LAPS GPO'sunda Şifre süresinin politika gereksinimlerinden daha uzun olmasına izin verme seçeneği etkinse yine de sıfırlanacaktır.
Arka Kapı
LAPS'ın orijinal kaynak kodu burada bulunabilir, bu nedenle kodda (örneğin Main/AdmPwd.PS/Main.cs
içindeki Get-AdmPwdPassword
yönteminde) bir arka kapı koymak mümkündür; bu, bir şekilde yeni şifreleri dışarı sızdıracak veya bir yere depolayacaktır.
Sonra, yeni AdmPwd.PS.dll
dosyasını derleyin ve bunu C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll
konumuna yükleyin (ve değiştirme zamanını değiştirin).
Referanslar
Last updated