Пошук облікових записів адміністратора в Active Directory, Windows для системних адміністраторів

У попередній статті ми описали процедуру скидання пароля стандартного облікового запису адміністратора домену Active Directory (облікового запису administrator). Даний сценарій відмінно працює в «стандартному» середовищі Active Directory, однак у деяких доменах подібний трюк може не спрацювати, тому що це не так. при їх розгортанні були використані best practice Microsoft із забезпечення безпеки інфраструктури AD. У реальних доменах AD для захисту облікового запису адміністратора домену можуть застосовуватись такі стратегії:

У цій статті ми спробуємо розібрати методики обходу цих стратегій, що дозволяють виявити в AD всі облікові записи з правами адміністратора домену.

Отже, у попередній статті ми показували, як за допомогою створення системного сервісу на контролері домену можна скинути пароль домен-адміна. Ця команда під час завантаження DC скине пароль доменного облікового запису administrator (адміністратора домену) на P@ssw0rd.

Монтуємо відключену базу Active Directory

Спробуємо витягти з бази AD інформацію про реальних адміністраторів домену. Для цього потрібно завантажитись у DSRM режимі, в якому база Active Directory (ntds.dit) знаходиться у відключеному стані. Нам необхідно локально змонтувати цю базу, щоб надалі отримати можливість доступу до інформації, що зберігається в ній.

Запустіть два командні рядки: у першому ми запустимо процес dsamain.exe, у другому будемо вводити інтерактивні команди.

Рада. Під час роботи на Server Core другий командний рядок можна відкрити, виконавши у вихідній cmd команду:

Перед запуском утиліти dsamain.exe, переконаємося, що інші сервіси та процеси зараз не використовують порт 389. Зробити це можна командою:

Якщо команда нічого не повернула – все ОК, йдемо далі (якщо повернула потрібно знайти і відключити знайдений процес).

Утиліта dsamain.exe дозволяє змонтувати базу AD і виконувати різні запити LDAP (по суті дозволяє організувати автономний LDAP сервер). Утиліта запускається з наступними параметрами:

  • dbpath – задає шлях до файлу ntds.dit.
  • allowNonAdminAccess – дозволяє здійснювати LDAP запити до бази AD під локальним обліковим записом (за умовчанням доступ дозволено лише членам груп Domain Admins та Enterprise Admins).
  • ldapPort – дозволяє вказати порт LDAP. Ми будемо використовувати стандартний LDAP порт – 389.

Змонтуємо базу AD командою:

Упевнимося, що процес dsamain.exe запущено та слухає 389 порт. Для цього у другому командному рядку виконайте команду:

TCP [::]:389 [::]:0 LISTENING 614

TCP 0.0.0.0:389 *:* 614

Отримуємо, що процес з Process ID 614 слухає на порту TCP 389. Перевіримо, що процес з PID 604 і є наш процес dsamain.exe:

Session Name: Console

Mem Usage: 11,316 K

адміністратора

Тепер, коли база AD змонтована, ми можемо звертатися до неї за допомогою утиліт ds* (dsget, dsquery тощо). Розберемо всі три варіанти приховування облікового запису адміністратора домену.

Тепер можна розмонтувати базу AD (зупинити процес dsamain.exe комбінацією Ctrl+C). Переконайтеся, що команда повернула рядок

Як визначити, що стандартний Administrator Active Directory не має необхідних прав? Це дуже просто. Знаючи DN (distinguished name) облікового запису administrator, ми можемо одержати список груп, в яких він складається:

Альтернативний адміністратор домену

Спробуємо розібратисяЯк отримати список облікових записів, які мають права адміністратора домену? Спочатку спробуємо рекурсивно вивести всіх членів групи Administrators (у тому числі членів груп Domain Admins і Enterprise Admins).

Як ви бачите, адміністраторські права мають облікові записи Administrator і itpro. Перевіримо статус облікового запису Administrator:

Administrator S-1-5-21-2092397264-2003686862-3249677370-500 yes

Як ви бачите, її відключено.

Перевіримо тепер статус обліку itpro:

itpro S-1-5-21-2092397264-2003686862-3249677370-1107 no

"CN=Denied RODC Password Replication Group,CN=Users,DC=winitpro,DC=ru"

Чудово, вона має права адміністратора домену! Залишилося скинути пароль облікового запису з samid - itpro. Знову ж таки, зробити це можна за допомогою служби:

Не забудьте відмонтувати базу AD та перезавантажте сервер.