tag:blogger.com,1999:blog-7559670815333258524.post171790240815824924..comments2023-08-17T08:41:18.698-07:00Comments on ge][: Безопасность в Active DirectoryEfimov Gennadyhttp://www.blogger.com/profile/10296915420622032844noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-7559670815333258524.post-64442964745402722932015-02-06T04:43:07.980-08:002015-02-06T04:43:07.980-08:00>>Единственное что замечено, контроллер доме...>>Единственное что замечено, контроллер домена очень трепетно относится к учетной записи Administrator (S-1-5-21-….-500), если добавить этот SID, то прав ни каких не будет<br /><br />Ну скорее всего это потому, что просто билтинный администратор по идее никто и звать его никак. сидхистори не тащит токены его мембероф групп, а явно он практически нигде и не прописанSvolotchnoreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-595489151321127832013-04-29T06:30:50.631-07:002013-04-29T06:30:50.631-07:00Hi my loved one! I wish to say that this article
...Hi my loved one! I wish to say that this article <br />is amazing, great written and come with approximately all <br />important infos. I would like to peer more posts like this .<br /><br /><br />My web site: <a href="http://www.moodyjews.net/author/FidelSewa" rel="nofollow">path of exile</a>Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-39933660675667499992011-09-07T06:29:36.676-07:002011-09-07T06:29:36.676-07:00поэтому я и говорю, что можно получить только косв...поэтому я и говорю, что можно получить только косвенный доступ (если неправильно развернут RoDC) через другие службы... <br />например, получить доступ к почтовой службе, а далее через руткиты куда угодно... или доступ к админскому компу :)<br /><br />я например знаю умельцев с прошлой работы, которые (у заказчика) недолго думая добавили Domain Users и Domain Computers в Allow.Efimov Gennadyhttps://www.blogger.com/profile/10296915420622032844noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-64889379177014408682011-09-07T05:58:23.188-07:002011-09-07T05:58:23.188-07:00По поводу RWDC в сайте с RODC. Допустим, мы модифи...По поводу RWDC в сайте с RODC. Допустим, мы модифицировали сид хистори на RODC как надо. Он сможет выписывать билеты для компов, к которым у него есть пароли. А вот билет на доступ модифицированной учетки к RWDC не даст, так как паролей к RWDC у него нету.Argonhttp://argon.pro/noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-7836348507088023142011-09-07T05:16:55.713-07:002011-09-07T05:16:55.713-07:00Наличие RWDC в сайте не обязательно, главное чтобы...Наличие RWDC в сайте не обязательно, главное чтобы учетка сервиса была реплицирована на RODC. То есть получается и учетка пользователя и учетка сервиса, к которому обращается пользователь.<br />Да, при репликации, RwDC (2008+) проверяет политики репликации паролей и не реплицирует на RoDC те учетные данные которые запрещены. В запреты попадают практически все полномочные группы.<br />Поэтому учетные данные админа или RwDC на RoDC не попадут. Но если например реплицируется что попало, то можно косвенно получить полномочия - через промежуточные звенья. Поэтому очень важно с особой осторожностью подходить к поликам репликации паролей, ну и вообще к планированию безопасности с RODC.<br /><br />по 1. Да, но можно пропатчить базу и он схавает.<br />по 2. Если не менять метаданные, то он не реплицирует с RwDC. Он будет думать, что ничего не произошло. А чтобы реплицировалось, нужно откатить метаданные назад (в прошлое), чтобы RwDC реплицировал изменения. Тут работает стандартный механизм репликации по атрибутам.<br /><br />Есть некоторая возможность репликации учетных данных с 2003 на RODC. Пока у меня проработка этого способа не получается. <br /><br />Все что написано в этой статье я проверял. Инструмент для патчинга базы к статье есть.Efimov Gennadyhttps://www.blogger.com/profile/10296915420622032844noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-78583387326699200132011-09-07T02:56:57.692-07:002011-09-07T02:56:57.692-07:00Очень интересно!
Я так понял, что если RODC сможе...Очень интересно!<br /><br />Я так понял, что если RODC сможет выписывать билеты на учетку с модифицированным SID хистори, и в том же сайте есть RW контроллеры домена, он примет такой билет, то АТАС.<br /><br />Но тут есть 2 сложности... <br /><br />1. RODC может проверять перед созданием билета по msDS-NeverRevealGroup.<br />2. Находясь в том же сайте, может реплицировать правильные значения (без прописанной группы) с RW контроллера до создания билета.<br /><br />Ну, а также обратной репликации с RODC на RWDC быть не должно.<br /><br /><br />Вот бы все это на практике прверить!Argonhttp://argon.pro/noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-3689226218563458442010-01-06T21:56:52.909-08:002010-01-06T21:56:52.909-08:00В следующей статье опишу как получить полномочия в...В следующей статье опишу как получить полномочия в лесу без изначального физического доступа к контроллеру домена.. стандартными средствами.. с минимальными полномочиями... :)Efimov Gennadyhttps://www.blogger.com/profile/10296915420622032844noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-37968805258171217152010-01-06T21:54:46.172-08:002010-01-06T21:54:46.172-08:00>>> Николай...
да, верно...
запускаем под...>>> Николай...<br />да, верно...<br />запускаем под .\localsystem процесс и с помощью раздела конфигурации получаем привилегии в лесу... :)Efimov Gennadyhttps://www.blogger.com/profile/10296915420622032844noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-61630899887935770052010-01-05T09:33:23.148-08:002010-01-05T09:33:23.148-08:00> для получения прав из не рутового домена
Есл...> для получения прав из не рутового домена<br /><br />Если в нерутовом домене есть права домен-админа, можно запускать программы от имени контроллера домена. А с ADSIEdit уже можно наворотить достаточно. Хоть схему подправить. У себя я это уже описывал.<br /><br />Поэтому права администратора домена не должны выдаваться вообще никому. Ну и не забываем про RODC в несекурных помещениях, хотя бы для локализации возможного поражения.Николайhttp://hyperweb.ru/noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-7423078424759554402010-01-01T10:13:21.799-08:002010-01-01T10:13:21.799-08:00>>> брич
fixed :)>>> брич<br />fixed :)Efimov Gennadyhttps://www.blogger.com/profile/10296915420622032844noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-878374742789846522010-01-01T10:12:47.779-08:002010-01-01T10:12:47.779-08:00>>> Николай...
для получения прав из не р...>>> Николай...<br />для получения прав из не рутового домена, честно говоря, кроме как социнженирии в голову ни чего не приходит...Efimov Gennadyhttps://www.blogger.com/profile/10296915420622032844noreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-24868713367393294252009-12-29T20:30:45.694-08:002009-12-29T20:30:45.694-08:00[09:27] <@breech> Следующий интересный индек...[09:27] <@breech> Следующий интересный индекс - NC_Acc_Type_Sid - NCDNT_col:Long,ATTj590126:Long,ATTr589970:LongBinary. Не трудно догадаться, что ATTr589970 это SID объекта<br />[09:27] <@breech> НЕТРУДНА пишецо слитноAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-7559670815333258524.post-82496487471031931482009-12-29T09:58:41.199-08:002009-12-29T09:58:41.199-08:00Всегда интересно читать о практической реализации ...Всегда интересно читать о практической реализации того, о чем размышлял теоретически.<br /><br />И теперь не надо тратить время на аналогичные исследования :)<br /><br />А утилиты в помощь злобному администратору субдомена не очень нужны, руками можно много чего наворотить. Проверял :)Николайhttp://hyperweb.ru/noreply@blogger.com