В предишната статия описахме процедурата за нулиране на паролата на стандартен акаунт на администратор на домейн Active Directory (акаунт на администратор). Този сценарий работи отлично в "стандартната" среда на Active Directory, но в някои области този трик може да не работи, защото при внедряването бяха използвани най-добрите практики на Microsoft за осигуряване на AD инфраструктура. В реални AD домейни могат да се използват следните стратегии за защита на акаунта на администратора на домейн:
- Преименувайте стандартен акаунт Active Directory Administrator
- Създайте акаунт за стръв. Акаунтът, въпреки че има името Администратор, но няма повишени права. Освен това, с помощта на политиките за одит, можете да конфигурирате службите за сигурност, за да ви уведомяват за упълномощаване с помощта на този акаунт
- Деактивиране на акаунта на администратора и предоставяне на права на администратор на домейн на друга учетка.
В тази статия ще се опитаме да анализираме решенията на тези стратегии, които ви позволяват да откривате в AD всички акаунти с права на администратор на домейн.
И така, в предишната статия показахме как, създавайки системна услуга на контролер на домейн, можете да нулирате паролата домейн-администратор. Тази команда при зареждане на DC ще нулира паролата на акаунта на администратора на домейн (администратор на домейн) на P @ ssw0rd.
sc създаване ResetADPass binPath = "% ComSpec% / k нетен администратор на потребител P @ ssw0rd" start = auto
Какво трябва да направя, ако не мога да вляза в този акаунт? Най-вероятно при разгръщането на домейна той е бил защитен по един от горните методи.
Монтирайте разединена база данни на Active Directory
Нека се опитаме да извлечем информация за реални администратори на домейни от базата данни на AD. За да направите това, стартирайте в режим DSRM, в който базата данни на Active Directory (ntds.dit) е в състояние на инвалид. Трябва да монтираме локално тази база данни, за да получим допълнителен достъп до информацията, съхранявана в нея.
Изпълнете два командни реда: в първия ще стартираме процеса dsamain.exe, във втория ще въведем интерактивни команди.
съвет. Когато работите върху Server Core, вторият команден ред може да бъде отворен, като стартирате командата в оригиналния cmd:
стартирайте cmd
Преди да стартирате помощната програма dsamain.exe, уверете се, че другите услуги и процеси в момента не използват порт 389. Можете да направите това с командата:
netstat -ano | findstr: 389
В случай, че екипът не върна нищо - всичко е наред, продължете напред (ако сте се върнали, трябва да намерите и деактивирате намерения процес).
Помощната програма dsamain.exe ви позволява да монтирате базата данни на AD и да изпълнявате различни LDAP заявки към нея (всъщност тя ви позволява да организирате самостоятелен LDAP сървър). Помощната програма започва със следните параметри:
- DBPath - задава пътя към файла ntds.dit.
- allowNonAdminAccess - Позволява LDAP заявки към базата данни на AD в локален акаунт (по подразбиране достъпът е разрешен само за членове на групите домейни и корпоративни администратори).
- ldapPort - ви позволява да посочите LDAP порта. Ще използваме стандартния LDAP порт - 389.
Монтирайте AD базата с командата:
dsamain -dbpath C: \ Windows \ NTDS \ ntds.dit -allowNonAdminAccess -ldapPort 389
Уверете се, че процесът dsamain.exe работи и слуша на порт 389. За да направите това, на втория команден ред, изпълнете командата:
netstat -ano | findstr: 389TCP 0.0.0.0 мнението89 0.0.0.0:07 СПИСЪК 614
TCP [::]: 389 [::]: 0 СПИСЪК 614
TCP 0.0.0.0 мнения89 *: * 614
TCP [::]: 389 *: * 614
Получаваме процеса с идентификатор на процес 614 за слушане на TCP порт 389.
Проверете дали процесът с PID 604 е нашият dsamain.exe процес:
tasklist / fi "pid eq 614" / fo listИме на изображението: dsamain.exe
PID: 614
Име на сесията: Конзола
Сесия №: 2
Използване на Mem: 11,316 K
Сега, когато базата на AD е монтирана, можем да получим достъп до нея с помощта на помощните програми ds * (dsget, dsquery и т.н.). Нека разгледаме и трите опции за скриване на акаунт на администратор на домейн..
Преименуван акаунт на администратор на домейн
Как мога да определя дали стандартният акаунт на администратор на Active Directory е преименуван?
Стандартният администратор AD има добре известен SID, чийто формат е съответно S-1-5-21- [id на домейна] -500, така че просто трябва да намерим обект с такъв SID в домейна. Във втория команден ред изпълнете командата:
dsquery потребител -s localhost | dsget user -s localhost -samid -sid | findstr / c: "- 500"itpro S-1-5-21-2292496274-2043586872-6449473370-500
В този случай може да се види, че администраторският акаунт е преименуван на itpro.
Можете също да зададете паролата за този акаунт, като използвате специалната услуга:
sc създайте ResetPW binPath = "% ComSpec% / k нетен потребител itpro P @ ssw0rd" start = auto
Сега можете да деактивирате базата данни на AD (спрете процеса на dsamain.exe с Ctrl + C). Уверете се, че командата върна низ
Услугите на домейна на Active Directory бяха спрени успешноФалшива AD Admin акаунт
Как да определим, че стандартният администратор Active Directory няма необходимите права? Много е просто. Познавайки DN (отличава се име) на администраторския акаунт, можем да получим списък от групи, в които се състои:
dsget потребител "CN = Администратор, CN = Потребители, DC = winitpro, DC = bg" -s localhost -memberof -expand„CN = Потребители на домейни, CN = Потребители, DC = winitpro, DC = ru“
"CN = потребители, CN = вграден, DC = winitpro, DC = ru"
Както можете да видите, този акаунт не е член на групата на администратори на домейни и не е подходящ за нашите цели. Следващата техника ще ви помогне да намерите "истински" администратори.
Алтернативен администратор на домейни
Нека се опитаме да разберем как да получим списък с акаунти, които имат права на администратор на домейн. За начало, нека се опитаме да рекурсивно изброяваме всички членове на групата Администратори (включително членове на групите Домейни и Корпоративни администратори).
dsquery group -s localhost -samid "администратори" | dsget group -s localhost -members -expand"CN = администратори на домейни, CN = потребители, DC = winitpro, DC = ru"
„CN = Администратори на предприятието, CN = Потребители, DC = winitpro, DC = ru“
"CN = администратор, CN = потребители, DC = winitpro, DC = ru"
"CN = itpro, CN = потребители, DC = winitpro, DC = ru"
Както можете да видите, администраторските и itpro акаунти имат администраторски права. Проверете състоянието на акаунта на администратора:
dsget потребител "CN = Администратор, CN = Потребители, DC = winitpro, DC = bg" -s localhost -samid -sid -disabledСамид Сид инвалид
Администратор S-1-5-21-2092397264-2003686862-3249677370-500 да
Както можете да видите, той е деактивиран.
Сега проверете състоянието на профила в itpro:
dsget потребител "CN = itpro, CN = потребители, DC = winitpro, DC = ru" -s localhost -samid -sid -disabledСамид Сид инвалид
itpro S-1-5-21-2092397264-2003686862-3249677370-1107 бр
dsget успя
Този акаунт е активен. Проверете в кои групи се състои:
dsget потребител "CN = itpro, CN = потребители, DC = winitpro, DC = bg" -s localhost -memberof -expand„CN = Собственици на създатели на групови правила, CN = Потребители, DC = winitpro, DC = ru“
"CN = администратори на домейни, CN = потребители, DC = winitpro, DC = ru"
„CN = Администратори на предприятието, CN = Потребители, DC = winitpro, DC = ru“
"CN = Администратори на схеми, CN = Потребители, DC = winitpro, DC = ru"
„CN = Потребители на домейни, CN = Потребители, DC = winitpro, DC = ru“
"CN = отказана RODC група за репликация на парола, CN = потребители, DC = winitpro, DC = bg"
"CN = Администратори, CN = Builtin, DC = winitpro, DC = bg"
"CN = потребители, CN = вграден, DC = winitpro, DC = ru"
Чудесно, тя има права на администратор на домейн! Остава да нулирате паролата на акаунта със samid - itpro. Отново това може да стане с помощта на услугата:
sc създайте ResetPW binPath = "% ComSpec% / k нетен потребител itpro PA $ w0rd94" start = auto
Не забравяйте да демонтирате базата данни на AD и да рестартирате сървъра.
