DCSync
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, які працюють на найбільш продвинутих інструментах спільноти у світі. Отримайте доступ сьогодні:
DCSync
Дозвіл DCSync передбачає наявність таких дозволів для самого домену: DS-Replication-Get-Changes, Replicating Directory Changes All та Replicating Directory Changes In Filtered Set.
Важливі примітки щодо DCSync:
Атака DCSync імітує поведінку контролера домену та запитує інших контролерів домену реплікувати інформацію за допомогою служби віддаленого протоколу реплікації каталогів (MS-DRSR). Оскільки MS-DRSR є дійсною та необхідною функцією Active Directory, його не можна вимкнути або відключити.
За замовчуванням тільки групи Domain Admins, Enterprise Admins, Administrators та Domain Controllers мають необхідні привілеї.
Якщо паролі облікових записів зберігаються з оборотним шифруванням, в Mimikatz є опція для повернення пароля у чистому тексті
Перелік
Перевірте, хто має ці дозволи, використовуючи powerview
:
Зловживання локально
Зловживання віддалено
-just-dc
генерує 3 файли:
один з хешами NTLM
один з ключами Kerberos
один з паролями відкритого тексту з NTDS для будь-яких облікових записів, встановлених з увімкненим оберненим шифруванням. Ви можете отримати користувачів з оберненим шифруванням за допомогою
Постійність
Якщо ви є адміністратором домену, ви можете надати ці дозволи будь-якому користувачеві за допомогою powerview
:
Потім ви можете перевірити, чи користувачу правильно надано 3 привілеї, шукаючи їх у виводі (ви повинні бачити назви привілеїв у полі "ObjectType"):
Заходи до захисту
Подія безпеки ID 4662 (Політика аудиту для об'єкта повинна бути увімкнена) - Була виконана операція з об'єктом
Подія безпеки ID 5136 (Політика аудиту для об'єкта повинна бути увімкнена) - Об'єкт служби каталогів був змінений
Подія безпеки ID 4670 (Політика аудиту для об'єкта повинна бути увімкнена) - Дозволи на об'єкт були змінені
AD ACL Scanner - Створюйте та порівнюйте звіти про ACL. https://github.com/canix1/ADACLScanner
Посилання
Використовуйте Trickest для легкої побудови та автоматизації робочих процесів за допомогою найбільш продвинутих інструментів спільноти у світі. Отримайте доступ сьогодні:
Last updated