本文将会讲授在获取到域控权限后如何操作DSRM暗码同步将域管权限耐久化。 不是科普文,空话不多说。情况说明:
域控:Windows Server 2008 R2
域内主机:Windows XP
这里利用系统安装域时内置的用于Kerberos验证的普通域账户krbtgt。
PS:Windows Server 2008 需要安装KB961320补丁才支持DSRM暗码同步,Windows Server 2003不支持DSRM暗码同步。
同步之后利用法国佬神器(mimikatz)查察krbtgt用户和SAM中Administrator的NTLM值。如下图所示,可以看到两个账户的NTLM值沟通,说明晰实同步乐成了。
修改注册表 HKLMSystemCurrentControlSetControlLsa 路径下的 DSRMAdminLogonBehavior 的值为2。
PS:系统默认不存在DSRMAdminLogonBehavior,请手动添加。
在域内的任意主机中,启动法国佬神器,执行
Privilege::debug
sekurlsa::pth /domain:WIN2K8-DC /user:Administrator /ntlm:bb559cd28c0148b7396426a80e820e20
会弹出一个CMD,如下图中右下角的CMD,此CMD有权限会见域控。左下角的CMD是直接Ctrl+R启动的当地CMD,,可以看到并无权限会见域控。
DSRM账户是域控的当地打点员账户,并非域的打点员帐户。所以DSRM暗码同步之后并不会影响域的打点员帐户。别的,在下一次举办DSRM暗码同步之前,NTLM的值一直有效。所觉得了担保权限的耐久化,尤其在跨国域或上百上千个域的大型内网中,最亏得事件查察器的安详事件中筛选事件ID为4794的事件日志,来判定域管是否常常举办DSRM暗码同步操纵。
