RODC 管理

說明

來源安全主體位於目標唯讀網域控制器 (RODC) 的「ManagedBy」屬性中。這表示來源對目標 RODC 具有管理權限。

注意:其他 Active Directory 物件類型僅出於告知目的使用相同的「ManagedBy」屬性,不會向宣告的管理員提供任何管理權限。因此,只有 RODC 類型的目標節點存在此關係。

RODC 的敏感度低於較常見的可寫入網域控制器,所以對攻擊者而言它們仍然是極具價值的目標,因為攻擊者可以在竊取 RODC 的憑證後進一步對其他系統進行樞紐攻擊。這取決於 RODC 設定中的強化等級,例如可同步化的包含密碼的物件數量。

刺探利用

刺探利用方法與「AdminTo」關係相同。

入侵來源安全主體的攻擊者可刺探利用其身分從遠端連線,並以系統管理權限在目標 RODC 上執行命令。他們可以刺探利用可用的原生通訊協定,例如具有管理共用的伺服器訊息區 (SMB)、遠端桌面通訊協定 (RDP)、Windows Management Instrumentation (WMI)、遠端程序呼叫 (RPC)、Windows 遠端管理 (WinRM) 等。

攻擊者可使用本機遠端管理工具 (例如 PsExec、服務、排程任務、Invoke-Command 等),或使用專門的駭客工具 (例如 wmiexec、smbexec、Invoke-DCOM、SharpRDP 等)。

攻擊的最終目標可以是入侵目標 RODC,也可以是使用憑證傾印工具 (例如 mimikatz) 來取得更多憑證和密碼,以便對其他電腦進行樞紐攻擊。

修復

如果來源安全主體不是目標唯讀網域控制器 (RODC) 的合法管理員,您必須將其替換為適當的管理員。

請注意,網域管理員通常不管理 RODC,因此是專用的「管理者」設定。這是因為 RODC 的信任等級較低,並且具有高權限的網域管理員不應透過驗證而洩漏其憑證。

因此,您必須根據 Active Directory RODC 規則,為 RODC 選擇適當的「中層」管理員,例如屬於組織當地分部的 IT 管理員。

如要變更「ManagedBy」屬性:

  1. 在「Active Directory 使用者和電腦」中,選取「RODC」>「屬性」>「ManagedBy」索引標籤。

  2. 按一下「更改」。

您也可以在 PowerShell 中執行下列命令:

複製
 Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)

另請參閱