RODC 管理
說明
來源安全主體位於目標唯讀網域控制器 (RODC) 的「ManagedBy」屬性中。這表示來源對目標 RODC 具有管理權限。
RODC 的敏感度低於較常見的可寫入網域控制器,所以對攻擊者而言它們仍然是極具價值的目標,因為攻擊者可以在竊取 RODC 的憑證後進一步對其他系統進行樞紐攻擊。這取決於 RODC 設定中的強化等級,例如可同步化的包含密碼的物件數量。
刺探利用
刺探利用方法與「AdminTo」關係相同。
入侵來源安全主體的攻擊者可刺探利用其身分從遠端連線,並以系統管理權限在目標 RODC 上執行命令。他們可以刺探利用可用的原生通訊協定,例如具有管理共用的伺服器訊息區 (SMB)、遠端桌面通訊協定 (RDP)、Windows Management Instrumentation (WMI)、遠端程序呼叫 (RPC)、Windows 遠端管理 (WinRM) 等。
攻擊者可使用本機遠端管理工具 (例如 PsExec、服務、排程任務、Invoke-Command 等),或使用專門的駭客工具 (例如 wmiexec、smbexec、Invoke-DCOM、SharpRDP 等)。
攻擊的最終目標可以是入侵目標 RODC,也可以是使用憑證傾印工具 (例如 mimikatz) 來取得更多憑證和密碼,以便對其他電腦進行樞紐攻擊。
修復
如果來源安全主體不是目標唯讀網域控制器 (RODC) 的合法管理員,您必須將其替換為適當的管理員。
請注意,網域管理員通常不管理 RODC,因此是專用的「管理者」設定。這是因為 RODC 的信任等級較低,並且具有高特權的網域管理員不應透過驗證而洩漏其憑證。
因此,您必須根據 Active Directory RODC 規則,為 RODC 選擇適當的「中層」管理員,例如屬於組織當地分部的 IT 管理員。
如要變更「ManagedBy」屬性:
-
在「Active Directory 使用者和電腦」中,選取「RODC」>「屬性」>「ManagedBy」索引標籤。
-
按一下「更改」。
您也可以在 PowerShell 中執行下列命令:
Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)另請參閱