DCSync

Beschreibung

DCSync ist eine legitime Active Directory-Funktion, die von Domänencontrollern nur für die Replikation von Änderungen verwendet wird, die aber auch von illegitimen Sicherheitsprinzipalen genutzt werden kann.

Der Sicherheitsprinzipal der Quelle kann mithilfe der DCSync-Funktion sensible Geheimnisse (Passwort-Hashes, Kerberos-Schlüssel usw.) von der Zieldomäne anfordern, was letztlich zu einer vollständigen Kompromittierung der Domäne führt.

Um Geheimnisse abzurufen, sind zwei Sicherheitsberechtigungen erforderlich: „Verzeichnisänderungen replizieren” (DS-Replication-Get-Changes) und „Alle Verzeichnisänderungen replizieren” (DS-Replication-Get-Changes-All). Die Beziehung kommt nur zustande, wenn Sie der Quelle beide Berechtigungen entweder direkt oder durch verschachtelte Gruppenmitgliedschaft erteilen.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, können mit speziellen Hacker-Tools wie mimikatz oder impacket Geheimnisse abrufen.

  • Golden Ticket: Ergibt sich aus der Beschaffung des Passwort-Hashs des „krbtgt”-Kontos, der es ermöglicht, eine Kerberos-TGT zu fälschen und sich als eine beliebige Person auf einem beliebigen Computer/Dienst auszugeben. Insbesondere werden dadurch Administratorrechte auf jedem Computer in der Domäne gewährt.

  • Silver Ticket: Ergibt sich aus der Beschaffung des Passwort-Hashs eines Computer/Dienst-Kontos, der es ermöglicht, ein Kerberos-Dienstticket zu fälschen und sich als eine beliebige Person auf dem angegebenen Computer/Dienst auszugeben.

Behebung

Legitime Sicherheitsprinzipale, die standardmäßig zur Nutzung von DCSync zugelassen sind:

  • Administratoren

  • Domänenadministratoren

  • Unternehmensadministratoren

  • SYSTEM

Darüber hinaus lässt die Microsoft Entra ID Connect-Konfiguration zu, dass das Dienstkonto DCSync für die Passwort-Hash-Synchronisierung (MSOL_...) nutzen kann.

Zudem ist es möglich, Dienstkonten für bestimmte Sicherheitstools zu ermitteln, vor allem für Lösungen zur Passwortprüfung. Vergewissern Sie sich bei den Verantwortlichen, dass sie legitim sind.

Für Sicherheitsprinzipale der Quelle, die DCSync nicht ausführen müssen, müssen Sie diese Berechtigung entfernen.

So ändern Sie die Sicherheitsbeschreibung der Zieldomäne:

  1. Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf den Domänennamen und wählen Sie „Eigenschaften” > „Sicherheit”.

  2. Entfernen Sie die Berechtigungen „Verzeichnisänderungen replizieren“ und „Alle Verzeichnisänderungen replizieren“ für unzulässige Sicherheitsprinzipale.

Hinweis: DCSync-Beziehungen können durch Berechtigungen aus verschachtelten Gruppenmitgliedschaften entstehen. Je nach Situation müssen Sie also die Gruppen selbst oder nur einige ihrer Mitglieder entfernen.

Siehe auch