RODC-Verwaltung

Beschreibung

Der Sicherheitsprinzipal der Quelle ist im Attribut „ManagedBy“ des RODC (Read-Only Domain Controller) des Ziels zu finden. Dies bedeutet, dass die Quelle über Administratorrechte für den Ziel-RODC verfügt.

RODCs sind weniger sensibel als die häufigeren beschreibbaren Domänencontroller, aber sie sind immer noch ein hochwertiges Ziel für Angreifer, da sie Anmeldeinformationen von RODCs stehlen können, um dann auf andere Systeme zuzugreifen. Dies hängt vom Grad der Absicherung in der RODC-Konfiguration ab, wie zum Beispiel von der Anzahl der Objekte mit Geheimnissen, die synchronisiert werden können.

Ausnutzung

Die Methode der Ausnutzung ist die gleiche wie bei der „AdminTo”-Beziehung.

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, können dessen Identität nutzen, um eine Remote-Verbindung herzustellen und Befehle auf dem Ziel-RODC mit Administratorrechten auszuführen. Sie können verfügbare native Protokolle wie Server Message Block (SMB) mit administrativen Freigaben, Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI), Remote Procedure Call (RPC), Windows Remote Management (WinRM) usw. ausnutzen.

Angreifer können native Remoteverwaltungstools wie PsExec, Dienste, geplante Aufgaben, Invoke-Command usw. oder spezialisierte Hacker-Tools wie wmiexec, smbexec, Invoke-DCOM, SharpRDP usw. verwenden.

Das endgültige Ziel des Angriffs kann entweder die Kompromittierung des Ziel-RODCs sein oder die Verwendung von Tools zum Auslesen von Anmeldeinformationen wie Mimikatz, um weitere Anmeldeinformationen und Geheimnisse zu erhalten, die auf andere Rechner übertragen werden können.

Behebung

Wenn der Sicherheitsprinzipal der Quelle kein legitimer Administrator des RODC (Read-Only Domain Controller) des Ziels ist, müssen Sie ihn durch einen richtigen Administrator ersetzen.

Beachten Sie, dass Domänenadministratoren in der Regel keine RODCs verwalten, daher die spezielle Einstellung „verwaltet von”. Dies liegt daran, dass RODCs eine geringere Vertrauensstellung haben und Domänenadministratoren mit hohen Rechten ihre Anmeldeinformationen durch Authentifizierung auf ihnen preisgeben sollten.

Daher müssen Sie gemäß Ihren Active Directory-RODC-Regeln einen geeigneten Administrator der mittleren Ebene für RODCs auswählen, wie zum Beispiel den IT-Administrator der lokalen Niederlassung eines Unternehmens, in der sie sich befinden.

So ändern Sie das Attribut „ManagedBy”:

1. Wählen Sie in „Active Directory-Benutzer und -Computer” die Registerkarte RODC > Eigenschaften > ManagedBy.

2. Klicken Sie auf Ändern.

Sie können auch den folgenden Befehl in PowerShell ausführen:

 Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)

Siehe auch

• Schlüssel-Anmeldeinformation hinzufügen

• Mitglied hinzufügen

• Agieren zulässig

• Delegieren zulässig

• Gehört zu GPO

• DCSync

• „Agieren zulässig” gewähren

• Hat SID-Verlauf

• Implizite Übernahme

• GPO erben

• Verknüpftes GPO

• Mitglied von

• Besitzt

• Passwort zurücksetzen

• DACL schreiben

• Besitzer schreiben