「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

統整名詞

• Kerberos keys
  • 用來驗證 Kerberos 身分驗證
  • Kerberos key --> 取得 Kerberos Tricket
  • 加密演算法
    • AES 256 key
      • 演算法: AES256-CTS-HMAC-SHA1-96
    • AES 128 key
      • 演算法: AES128-CTS-HMAC-SHA1-96
    • DES key
      • 演算法: DES-CBC-MD5
    • RC4 key
      • 演算法: RC4-HMAC
  • 攻擊 tool
    • secretsdump.py
    • secretsdump.py '[domain]/[username]@[IP]' -just-dc-user [DCuser]
  • 攻擊手法：Use Alternate Authentication Material: Pass the Hash
    • 透過被偷走的 hash，直接使用進行身分驗證
    • 繞過需要明文密碼的身分驗證步驟
    • 防禦方式
      • 降低跨網域、系統密碼相同
      • 更新 Windows(KB287199)
      • UAC 限制
        • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
• UserAccountControl
  • User object 的特別屬性
  • 有很多 flag
    • SCRIPT - 將會執行登入指令碼
    • ACCOUNTDISABLE - 使用者帳號已被停用。
    • HOMEDIR_REQUIRED - 主資料夾為必要項目。
    • PASSWD_NOTREQD - 不需要密碼。
    • PASSWD_CANT_CHANGE - 使用者無法變更密碼。
    • DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帳戶不需要 Kerberos 預先驗證才能登入。
    • NOT_DELEGATED - 設定此 flag 時，即使服務帳號設定為受信任的 Kerberos 委派，使用者的安全性內容也不會委派給服務。
    • TRUSTED_FOR_DELEGATION - 設定此旗標時，會信任執行服務的使用者或電腦帳戶，以進行 Kerberos 委派。
    • TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 代表帳號已啟用委派。
      • 這是區分安全性的設定
      • 啟用-應受到嚴密控制
      • 此設定可讓在帳戶下執行的服務假設使用者端的身分識別，並以該使用者身分向網路上的其他遠端伺服器進行驗證。
• 針對 User 屬性，在紅隊演練或滲透測試中要注意：
  • Description：使用者敘述，有些人會把密碼寫在敘述中，也會提及權限。
  • AdminCount
    • 可參考屬性，該使用者或群組是否被　AdminSDHolder 保護
    • ACL 變更為系統更安全的值
  • MemberOf
    • 群組　Members 屬性生成
  • Primary-Group-ID
    • 網域使用者主要群組的 RID （不會出現在MemberOf）
    • RID: 相對識別碼
  • Service-Principal-Name
    • 電腦中服務實例相互驗證主機名稱清單
    • 使用者的服務
  • ms-DS-Allowed-To-Delegate-To attribute
    • 包含　SPN 清單
    • 可獲取約束委派的 Ticket