DCSync
說明
DCSync 是 Active Directory 的一項合法功能,網域控制器僅將其用於複製變更,但非法的安全主體也可以使用它。
來源安全主體可使用 DCSync 功能從目標網域要求敏感密碼 (密碼雜湊、Kerberos 金鑰等),最終導致網域遭到完全入侵。
如要擷取密碼,需要兩個安全性權限:「複製目錄變更」(DS-Replication-Get-Changes) 和「複製全部目錄變更」(DS-Replication-Get-Changes-All)。只有當您直接或透過巢狀群組成員資格將這兩個權限都提供給來源時,才會發生此關係。
利用
入侵來源安全主體的攻擊者可使用專用的駭客工具 (如 mimikatz 或 impacket) 擷取密碼。
-
Golden ticket:取得「krbtgt」帳戶的密碼雜湊後的結果,這讓攻擊者可以偽造 Kerberos TGT,並在任何電腦/服務上冒充任何人。特別是,這會賦予攻擊者對網域中任何電腦的管理權限。
-
Silver ticket:取得電腦/服務帳戶的密碼雜湊後的結果,這讓攻擊者可以偽造 Kerberos 服務工單,並在任何電腦/服務上冒充任何人。
修復
預設允許利用 DCSync 的合法安全主體為:
-
管理員
-
網域管理員
-
企業管理員
-
系統
此外,Microsoft Entra ID Connect 設定允許其密碼雜湊同步服務帳戶 (MSOL_...) 使用 DCSync。
最後,可以發現特定安全性工具的服務帳戶,特別是密碼稽核解決方案。向負責人驗證其合法性。
對於沒有執行 DCSync 的合法需要的來源安全主體,您必須移除此權限。
如要修改目標網域的安全性描述元:
-
在「Active Directory 使用者和電腦」中,右鍵按一下網域名稱,然後選取「屬性」>「安全性」。
-
移除非法安全主體的「複製目錄變更」和「複製全部目錄變更」權限。
另請參閱