Как безопасно подключаться с контроллера домена к рабочим станциям через Powershell?

Question

[Григорий Бондаренко]

Имеется парк компьютеров Windows 10, объединённых в домен при помощи Active Directory. Контроллер домена крутится на Windows Server 2012 R2. Для администрирования рабочих станций иногда приходится подключаться к ним, открывая сеанс командной строки. Для этого я на контроллере домена запускаю утилиту PsExec с ключом -s и командой "cmd". Но у этой схемы есть проблемы с кириллицей, поэтому нужно разобраться с удалённой сессией PowerShell.
Сейчас я нормально подключаюсь к тестовой машине с учётной записью администратора домена:

PS C:\Users\DomainAdmin> Enter-PSSession -ComputerName test.mydomain.local
[test]: PS C:\Users\DomainAdmin\Documents> whoami
mydomain\DomainAdmin

Но это никуда не годится с точки зрения безопасности, поэтому пробуем использовать учётку локального администратора рабочей станции:

PS C:\Users\DomainAdmin> Enter-PSSession -ComputerName test.mydomain.local -Credential "test.mydomain.local\admin"
Enter-PSSession : Сбой подключения к удаленному серверу test.mydomain.local. Сообщение об ошибке: WinRM не удается обработать запрос. При использовании проверки подлинн
ости Kerberos возникла следующая ошибка с кодом ошибки 0x80090311: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.  
 Возможные причины:
  - Указаны неверные имя пользователя или пароль.
  - Используется проверка подлинности Kerberos без указания способа проверки подлинности и имени пользователя.
  - Kerberos принимает имена пользователей домена, но не принимает имена локальных пользователей.
  - Имя субъекта-службы (SPN) для имени и порта удаленного компьютера не существует.
  - Клиентский и удаленный компьютеры находятся в разных доменах, между которыми отсутствует доверительное отношение.
 После проверки указанных выше проблем попробуйте выполнить следующее:
  - Просмотрите в средстве "Просмотр событий" события, относящиеся к проверке подлинности.
  - Измените способ проверки подлинности, добавьте конечный компьютер в конфигурацию TrustedHosts для WinRM либо воспользуйтесь транспортом HTTPS.
 Помните о том, что компьютеры в списке TrustedHosts могут не проходить проверку подлинности.
   - Для получения дополнительных сведений о конфигурации WinRM выполните следующую команду: winrm help config. Подробности см. в разделе справки "about_Remote_Troublesh
ooting".
строка:1 знак:1
+ Enter-PSSession -ComputerName test.mydomain.local -Credential "test.mydomain.l ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (test.mydomain.local:String) [Enter-PSSession], PSRemotingTransportException
    + FullyQualifiedErrorId : CreateRemoteRunspaceFailed

Чтобы устранить ошибку 0x80090311, добавляем рабочую станцию в список доверенных хостов:

PS C:\Users\DomainAdmin> Set-Item -Path WSMan:\localhost\Client\TrustedHosts -Value 'test.mydomain.local'

И пытаемся снова, но получаем другую ошибку:

PS C:\Users\DomainAdmin> Enter-PSSession -ComputerName test.mydomain.local -Credential "test.mydomain.local\admin"
Enter-PSSession : Сбой подключения к удаленному серверу test.mydomain.local. Сообщение об ошибке: Отказано в доступе. Подробности см. в разделе справки "about_Remote_Tr
oubleshooting".
строка:1 знак:1
+ Enter-PSSession -ComputerName test.mydomain.local -Credential "test.mydomain.l ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (test.mydomain.local:String) [Enter-PSSession], PSRemotingTransportException
    + FullyQualifiedErrorId : CreateRemoteRunspaceFailed

Как решить проблему, коллеги, подскажите?

Comments

[Роман Безруков]

Но это никуда не годится с точки зрения безопасности

Вы подключаетесь к доменному ПК с учетными данными администратора домена - что не так?

[Sergey Ryzhkin]

-Credential "test.mydomain.local\admin"

А разве это не означает что вы пытаетесь подключиться с доменной учеткой admin ?
Если вы хотите подключаться в учетки локального администратора, то и указывайте "ИмяПК\Администратор" без указания домена.

[Григорий Бондаренко]

Sergey Ryzhkin, я так тоже пробовал - результат идентичный.

[Григорий Бондаренко]

Роман Безруков, если целевая рабочая станция заражена (случайно или намеренно), то при открытии сессии доменного администратора на такой машине, зловред получит полный доступ ко всем компьютерам в домене.

[Роман Безруков]

Григорий Бондаренко, больше на паранойю смахивает :) ну да ладно...
А Вам точно нужна интерактивная PS-сессия с удаленным компьютером?
Вы пробовали вместо Enter-PSSession использовать Invoke-Command?

Answer 1

[Григорий Бондаренко]

Похоже, что открытие удалённой сессии от имени доменного администратора - безопасно, т. к. на удалённую машину не передаются учётные данные. Так работает Kerberos, а Powershell использует именно этот механизм аутентификации. Ну и проверка в лоб это подтверждает: если в удалённой сессии попытаться прочитать какую-нибудь сетевую папку, то мы получим ошибку.
https://docs.microsoft.com/en-us/answers/questions...

Comments

[MaxKozlov]

если в удалённой сессии попытаться прочитать какую-нибудь сетевую папку, то мы получим ошибку.

Это не "проверка в лоб", а обычный "double hop" про который не писал только ленивый

и при определённых условиях это double hop обходится на 2012+.

https://docs.microsoft.com/ru-ru/archive/blogs/ash...

а вот что в этом случае с тикетами в памяти - я не знаю

[Григорий Бондаренко]

MaxKozlov, не знал, спасибо за наводку! Но я просмотрел статью по Вашей ссылке: все способы, которые там перечислены, требуют либо CredSSP, либо пароль, либо выполнение специальной настройки на контроллере домена. А вот способа разрешить "двойной прыжок" на самой рабочей станции, не зная пароль, я не увидел. Поправьте меня, если ошибаюсь.

[MaxKozlov]

Григорий Бондаренко, тут вопрос сильно глубже.
Ваш первоначальный вопрос о том, "как подключиться к рабочей станции под недоменной учёткой", ответ о том "насколько страшно подключаться к раб. станциям под доменным админом."

Керберос при работе паролей не использует, только для получения первоначального тикета от DC, причём тикеты там нескольких видов.

Так что на самом деле вас должен волновать вопрос, какие следы остаются на раб. станции после подключения к ней под доменным админом (тикеты kerberos, например, или открытые сессии) и может ли хакер, перехватив их, использовать для дальнейшего проникновения куда-либо.
Скорее всего нет, так как по умолчанию тикеты там на соединение хост-хост. Но бывает всякое, о чём и ссылка. Что там в этом случае я не знаю, так что в общем, я бы повторил рекомендацию Mnemonic0, не подключаться никуда с DC.
И вообще не заходить туда. Так, на всякий случай. всё администрирование можно вести удалённо

Answer 2

[Максим Гришин]

Если подключаетесь сами - все ОК. Если хотите скриптом - запилите УЗ, не имеющую прав домен-админа, но имеющую права локального админа на целевых ПК, и подключайтесь с её помощью. Доменную, раз уж у вас есть домен.

Comments

[Григорий Бондаренко]

Схема, которую Вы предлагаете - уязвима и мало чем отличается от использования учётки доменного администратора. При Вашей схеме злоумышленник получит доступ ко всем рабочим станциям следующим образом:
1. Вскрыв свой рабочий ноутбук, он подключит накопитель к личному устройству и "пропатчит" системные файлы, включая powershell.exe;
2. В один прекрасный день админ запустит удалённую powershell-сессию под "УЗ, не имеющую прав домен-админа, но имеющую права локального админа на целевых ПК";
3. Заражённый на локальной машине powershell.exe получит админский доступ ко всем ПК по сети и сможет сделать с ними всё что угодно.
По-этому, у меня на всех рабочих станциях пароли локальных администраторов - разные. Если утечёт один из них - пострадает только один ПК.
Должен быть способ открыть удалённую powershell-сессию под локальным админом.

Answer 3

[MaxKozlov]

Если под локальным админом вы имеете ввиду локального юзера, который создан именно а компе, а не в домене, попробуйте использовать имя пользователя без домена - "admin" и авторизацию negotiate, а не kerberos, по умолчанию

Answer 4

[Mnemonic0]

Не подключайтесь с DC к пользовательским ПК. Никогда, никак.
Не используйте одну учётную запись для входа на все ПК.
Лучший вариант - использование LAPS.

Если же по вашей ошибке. Logon To для пользователя test.mydomain.local\admin - указать не только ПК к которому подключаетесь, но и ПК с которого подключаетесь.