RODC 管理
说明
源安全主体可在目标只读域控制器 (RODC) 的“ManagedBy”属性中找到。这意味着源对目标 RODC 具有管理权限。
RODC 的敏感程度低于更常见的可写入域控制器,但对于攻击者而言,此类控制器仍然是极具价值的目标,因为它们可以从 RODC 窃取凭据,以便进一步攻击其他系统。这取决于 RODC 配置中的强化级别,例如,具有可同步密钥的对象的数量。
渗透利用
渗透利用方法与“AdminTo”关系相同。
危害源安全主体的攻击者可使用其身份进行远程连接,并使用管理权限在目标 RODC 上执行命令。它们可利用可用的本机协议,例如具有管理共享的服务器消息块 (SMB)、远程桌面协议 (RDP)、Windows Management Instrumentation (WMI)、远程过程调用 (RPC)、Windows 远程管理 (WinRM) 等。
攻击者可使用本机远程管理工具,如 PsExec、services、scheduled Tasks、Invoke-Command 等,或专门的黑客工具,如 wmiexec、smbexec、Invoke-DCOM、SharpRDP 等。
攻击的最终目标既可以是危害目标 RODC,也可以是使用凭据转储工具(例如 mimikatz)获取更多凭据和密码,以便攻击其他计算机。
修复
如果源安全主体不是目标只读域控制器 (RODC) 的合法管理员,则必须将其替换为适当的管理员。
请注意,域管理员通常不会管理 RODC,因此请使用专用的“管理者”设置。这是因为 RODC 的信任级别较低,而高权限的域管理员不应通过对其进行身份验证来暴露其凭据。
因此,必须根据 Active Directory RODC 规则为 RODC 选择适当的“中级”管理员,例如,为其所在组织的本地分支选择 IT 管理员。
若要更改“ManagedBy”属性,请执行以下操作:
-
在“Active Directory 用户和计算机”中,选择“RODC”>“属性”>“ManagedBy”选项卡。
-
点击“更改”。
也可以在 PowerShell 中运行以下命令:
Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)另请参阅: