DCSync
说明
DCSync 是域控制器仅用于复制更改的合法 Active Directory 功能,但非法安全主体也可以使用该功能。
源安全主体可以使用 DCSync 功能请求目标域的敏感机密(密码哈希、Kerberos 密钥等),最终导致域遭到全面破坏。
提取密码需要两个安全权限,即“Replicating Directory Changes”(DS Replication Get Changes) 和“Replicating Directory Changes All”(DS Replication Get Changes All)。仅当直接或通过嵌套组成员身份将这些权限同时授予源时,才会出现该关系。
渗透利用
危害源安全主体的攻击者可使用 mimikatz 或 impacket 等专用黑客工具获取密码。
-
黄金票据:通过获取“krbtgt”帐户的密码哈希可以伪造 Kerberos TGT,并允许在任何计算机/服务上假冒任何人。这将特别授予域中任何计算机的管理权限。
-
白银票据:通过获取计算机/服务帐户的密码哈希可以伪造 Kerberos TGT,并允许在指定计算机/服务上假冒任何人。
修复
默认情况下,可以利用 DCSync 的合法安全主体是:
-
管理员
-
域管理员
-
企业管理员
-
系统
此外,Microsoft Entra ID Connect 配置允许其密码哈希同步服务帐户 (MSOL_...) 以利用 DCSync。
最后,可以发现某些安全工具的服务帐户,尤其是密码审核解决方案。与负责人员一同验证其合法性。
对于无执行 DCSync 的合理需求的源安全主体,必须删除此权限。
若要修改目标域的安全描述符,请执行以下操作:
-
在“Active Directory 用户和计算机”中,右键点击域名,然后选择“属性”>“安全性”。
-
删除非法安全主体的“复制目录变更”和“复制目录变更 - 全部”权限。
另请参阅