靈異現象 - 此工作站和主要網域間的信任關係失敗

圖片來源: MIS的背影

故事開始

小新自從上次順利解決了檔案伺服器不能用 IP 連線的狀況，
坐在隔壁區的 RD 偷偷的來詢問小新一些問題，
原來是 RD 在做公司功能開發需要串接 AD 上的資料，
所以用了一台 VM 加入 AD， 但發現 VM 在一陣子之後就會出現
「此工作站和主要網域間的信任關係失敗」
每次都要請 IT 部門刪除電腦後重新加入 AD，實在是很麻煩。

所以特別請菜鳥 IT 小新幫忙看看是什麼原因

靈異現象

經過小新一番測試，發現了以下條件才會有靈異現象：

1. VM 必須做還原才有問題
2. 會有這個問題的 VM 都是加入有 AD 的

真實情況

小新第一件事當然去查這個錯誤訊息的解決方案，
但 Google 第一頁不外乎都是要你從網域移除這台電腦重新加入網域，像是微軟的文章就是這樣寫。

但如果真的照做就完全沒有意義了，小新很想要找出真正的原因
經過仔細看這些方式和大家找到的錯誤發生原因不外乎：

1. 電腦升級或是不明原因導致電腦 SID 更換
2. VM 還原/太久沒開導致 AD 認不出

那這次的問題看起來是第二種，那是什麼東西導致 AD 認不出來電腦呢?
原因就是預設每 7 天 AD 網域的電腦密碼，電腦密碼最多存活 30 天 (參考連結)，所以這就是原因！

所以每次還原 VM 的時候電腦密碼也一起還原了，但網域控制站認為你的密碼已經到期了！
或已經不是這組密碼了，也就導致信任失敗出現「此工作站和主要網域間的信任關係失敗」

資安點

在 Active Directory 網域中電腦密碼最多存活 30 天，你可能會想那我把這個改長一點或是關掉就好了吧？

但這個設計是有道理的，讓我們先來看看微軟的解釋，

Significantly increasing the password change interval (or disabling password changes) gives an attacker more time to undertake a brute-force password-guessing attack against one of the machine accounts.

微軟表示避免被暴力破解，但我覺得有其他的解釋
畢竟預設 computer account 密碼是 120 characters 的長度，根本不太有人能暴力破解成功。
實際上他要避免的是駭客在 AD 電腦中持久化攻擊，這時候我們就必須去理解 Silver Ticket

Credit: hackndo

從上圖第一步我們可以知道駭客要竊取 Service Account Password ，
而在網域中的 Computer Account 本身也是一種 Service Account ，
所以回到我們上面所提到的，為什麼微軟要固定更換電腦密碼？
因為只要駭客獲得過 Computer Account Password ，如果密碼一直都有效的情況下，
駭客就能一直透過 Silver Ticket 這種攻擊合法控制電腦，偽造身分重複進入電腦。

寫到這邊順便工商一下自己在 HITCON Training 的課程
適合正在閱讀這篇，想要學更深的人：

• 學習 AD 完整知識
• 了解 AD 安全問題並讓 AD 更加安全

歡迎報名 HITCON Training- 「還陽禁術：逆天改命，改善你的 Active Directory 體質」

HITCON Training 報名連結：
https://hitcon.kktix.cc/events/hitcon-training-2021

參考資料

• https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
• https://blog.pmail.idv.tw/?p=18862
• https://en.hackndo.com/kerberos-silver-golden-tickets/