本文將會(huì)講授在獲取到域控權(quán)限后如何操作DSRM暗碼同步將域管權(quán)限耐久化。 不是科普文,空話不多說。情況說明:
域控:Windows Server 2008 R2
域內(nèi)主機(jī):Windows XP
這里利用系統(tǒng)安裝域時(shí)內(nèi)置的用于Kerberos驗(yàn)證的普通域賬戶krbtgt。
PS:Windows Server 2008 需要安裝KB961320補(bǔ)丁才支持DSRM暗碼同步,Windows Server 2003不支持DSRM暗碼同步。
同步之后利用法國(guó)佬神器(mimikatz)查察krbtgt用戶和SAM中Administrator的NTLM值。如下圖所示,可以看到兩個(gè)賬戶的NTLM值溝通,說明晰實(shí)同步樂成了。
修改注冊(cè)表 HKLMSystemCurrentControlSetControlLsa 路徑下的 DSRMAdminLogonBehavior 的值為2。
PS:系統(tǒng)默認(rèn)不存在DSRMAdminLogonBehavior,請(qǐng)手動(dòng)添加。
在域內(nèi)的任意主機(jī)中,啟動(dòng)法國(guó)佬神器,執(zhí)行
Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20
會(huì)彈出一個(gè)CMD,如下圖中右下角的CMD,此CMD有權(quán)限會(huì)見域控。左下角的CMD是直接Ctrl+R啟動(dòng)的當(dāng)?shù)谻MD,,可以看到并無權(quán)限會(huì)見域控。
DSRM賬戶是域控的當(dāng)?shù)卮螯c(diǎn)員賬戶,并非域的打點(diǎn)員帳戶。所以DSRM暗碼同步之后并不會(huì)影響域的打點(diǎn)員帳戶。別的,在下一次舉辦DSRM暗碼同步之前,NTLM的值一直有效。所覺得了擔(dān)保權(quán)限的耐久化,尤其在跨國(guó)域或上百上千個(gè)域的大型內(nèi)網(wǎng)中,最虧得事件查察器的安詳事件中篩選事件ID為4794的事件日志,來判定域管是否常常舉辦DSRM暗碼同步操縱。