Так ли легко взломать доменную учетную запись с правами админа?

Question

[Евдоким]

Интересует как бы два вопроса:
1. Ноутбук находится в домене. Может ли пользователь этого ноутбука каким-либо средствами получить права локального админа, чтобы на этом ноутбуке менять настройки и т.д. ? Ноутбук в домене.
2. Может ли обычный доменный пользователь, имеющий доменную учётку с правами "Пользователь домена", каким-либо хитрым путём повысить её роль до "Администратора домена"?

Answer 1

[Дмитрий Шицков]

1. Очень легко
   
2. Полагаю, что только в случае если на ноутбуке данного пользователя осуществлялся когда-либо вход с учёткой доменного администратора или при наличии явных незакрытых уязвимостей на ваших серверах или ПК, на которых осуществлялся вход с учёткой доменного администратора.
   

Отсюда вытекает рекомендация - никогда не входить на какие-либо ПК под учёткой администратора домена! В идеале - вовсе не использовать данный тип учётных записей где-либо вне самого сервера DC.

Comments

[Antonio Solo]

Полагаю, что только в случае если на ноутбуке данного пользователя осуществлялся когда-либо вход с учёткой доменного администратора или при наличии явных незакрытых уязвимостей на ваших серверах или ПК, на которых осуществлялся вход с учёткой доменного администратора.

мне кажется что ничего это не даст.

Вход на ноутбук осуществляется с авторизацией на сервере, и даже если локально вам удастся получить права пользователя (который является администратором домена) то вне ноутбука вам это ничего не даст.

Единственно что на ноуте возможно какое-то внедрение вредоносного ПО в аккаунт админа домена, которое он в теории может скачать/запустить.

[Дмитрий Шицков]

Antonio Solo, получив админский доступ на ноуте, где был вход администратора домена, я получу доступ к его ntlm хешу. И это только один из популярных методов что-то поломать в доменной сети

[Вадим Чопоров]

Antonio Solo, вам кажется)
Авторизация в домене происходит посредством керберос - т.е. вам выдается билетик на получение билетика на доступы к различным ресурсам домена на основе вашего логина и хеша пароля, которые вы вводите локально. При этом эти логины и хеши в винде хранятся локально для десяти последних залогинившихся пользователей. Конечно они не лежат в открытом виде, они лежат в секретном хранилище лсаса - но, как вы догадываетесь, при наличии прав локального админа, поломать можно все независимо от системы. Ну и дальше развивайте вектор атаки)

Answer 2

[Дмитрий]

Если имеется физический доступ, то получить локального админа - дело техники (возможно трудозатратно, но реально)

Comments

[Ziptar]

возможно трудозатратно

Для win7 - меньше пяти минут при наличии установочного образа (по факту любого загрузчика или непосредственного доступа к системному диску)

Answer 3

[Вадим Чопоров]

Господа, можно подробней про "легко" для локального админа? Если бук корпоративный - в нем обычно биос/уефи запаролен, загрузка с любых съемных устройств запрещена.

Comments

[Ziptar]

Разбираем бук, вынимаем батарейку - пароли тю-тю.
Или вынимаем накопитель, подключаем к другому ПК... а дальше от метода "взлома" зависит - их предостаточно.

[stratosmi]

Если бук корпоративный - в нем обычно биос/уефи запаролен, загрузка с любых съемных устройств запрещена.

Если у вас такая серьезная контора - то не боитесь ли увольнения за самовольство?

[Вадим Чопоров]

stratosmi, ммм - вы про получение локального админа? Лок биоса на корп устройствах - это по дефолту в корп среде, сидящей на железе должно быть.

Константин Антонов, во первых, добраться до батарейки во многих буках и сбросить биос - это далеко не самое тривиальное действие, даже для рукастых сотрудников. Во вторых - буки на гарантии практически всегда, т.е. разбор = вы приобрели личный девайс за свой счет, если вы еще с нами, то минус премия на квартал.) Не думаю, что человек в здравом уме будет демонтировать выданный корпоративный ноут (если конечно вы не шпиен конкурента и у вас задача "во что бы то ни стало")) ). Потому этот вариант я не беру в расчет (хотя возможно спрашивающий и хочет защититься от шпиена, а не просто избавить себя от головной боли из-за шаловливых ручек продвинутых юзеров).

[Ziptar]

Вадим Чопоров, административное - отдельно, техническое - отдельно. Автор спрашивал про техническое.

[CityCat4]

Если бук корпоративный - в нем обычно биос/уефи запаролен

Это в вашей конторе может быть "обычно". Экстраполяция своего опыта на глобалку - очень опасное занятие. Обычно он как раз не запаролен и не заблокирован. Кроме того, у многих ноутов еще и режим рекавери есть - который как раз и предназначен для случаев, когда Вы например залочили биос и пароль забыли. Рекавери обычно кнопкой включается при загрузке :)

[АртемЪ]

Вадим Чопоров,

Не думаю, что человек в здравом уме будет демонтировать выданный корпоративный ноут (если конечно вы не шпиен конкурента и у вас задача "во что бы то ни стало")) )

Ну тут вообще идет речь про получение локального админа - это наглое самовольное вмешательство в сеть организации.
Ни один адекватный человек не будет этого делать без достаточных причин - например скопировать конфиденциальную информацию, поставить трояна, удалить важную информацию, и.т.д.

Поэтому если ломать не особо надо - никто и не будет этого делать.
А если реально надо - разобрать бук не проблема.

[Вадим Чопоров]

АртемЪ, CityCat4, согласен, что если "для дела" - то разобрать бук не проблема. Если в организациях даже биос не паролят - то, при наличии прав локал админа - получение доменного еще меньшая проблема. По сути, получение доменного админа - напрямую связано с получением локального в подавляющем большинстве вариантов получения контроля в организации, а в ответах на пост рассказыввают о том, что локального легко получить - а доменного сложно. Хотя весь ответ - контроль локальных - прямой путь защиты доменного админа.

Answer 4

[Saboteur]

1. Легко. Локальный админ это вообще легко. Но вот при подключении к домену, ваш ноут может подтянуть настройки из домен через global policy и они могут перезаписаться опять, поверх того, что вы поменяли. Понятно что это зависит от того, что админы домена намутили.
2. сложно/невозможно. Зависит больше от социальной инженерии.