Hacerse pasar por una computadora en un dominio de Windows

7

He estado tratando de comprender cómo se identifican las computadoras y se les otorga acceso a un dominio de Windows. Más específicamente, me he estado preguntando si cualquier mecanismo involucrado realmente evita falsificar la identidad de una computadora y, si es así, ¿cómo?

Suponiendo que uno tiene acceso completo a una computadora que ya está en el dominio, estoy pensando que cualquier información en la que se base el controlador de dominio para la identificación podría replicarse en otra computadora.

(Según tengo entendido, lo que identifica a una computadora en un dominio es un secreto compartido de LSA. De acuerdo con este blog de Technet , los secretos compartidos de LSA se pueden descifrar y extraer.)

De acuerdo con esta respuesta a una pregunta sobre Error del servidor acerca de volver a unir una computadora borrada a un dominio que solía estar encendido, y aquí en Seguridad de la información, este sobre temas similares, no es posible para que una computadora asuma incluso una identidad existente en un dominio de Windows.

Si esto es cierto, me gustaría saber el principio de este mecanismo de prevención. Las respuestas dadas en los enlaces anteriores para mí no contienen suficiente información.

Si las afirmaciones anteriores son falsas, y de hecho es posible falsificar la identidad de una computadora en el dominio dadas las circunstancias correctas, me gustaría, en resumen, saber qué pasos estarían involucrados.

Gracias de antemano por cualquier esfuerzo para ayudarme.

    
pregunta Oskar Lindberg 01.03.2016 - 12:33
fuente

1 respuesta

6

Cuando la estación de trabajo se une al dominio, ocurre lo siguiente:

  • La estación de trabajo crea una contraseña aleatoria, le pide al controlador de dominio que cree una cuenta de máquina y la asocie con esta contraseña. La cuenta de usuario debe tener el permiso "Agregar máquina al dominio", los administradores de dominio tienen este permiso.
  • Ya que Windows no usa nombres internamente, pero usa SID para cualquier cuenta, la estación de trabajo sid (se puede verificar con psgetsid ) se almacena en el dominio con la contraseña asociada (la contraseña se almacena en unicodepwd como cualquier contraseña de usuario, vea enlace )
  • La máquina almacena la contraseña en HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\$MACHINE.ACC . Solo NT AUTHORITY\SYSTEM tiene acceso a esta colmena. Incluso el administrador local no tiene (no es un permiso de registro, es algo codificado en Windows, estoy seguro).

  • La DC y la estación de trabajo cambian la contraseña periódicamente. Es gracioso, pero la contraseña antigua se almacenó allí también ( oldVal subclave). El pase se puede restablecer manualmente: enlace

Este proceso se describe aquí:   enlace

Dado que todas las contraseñas de las cuentas se almacenan en HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets y solo NT AUTHORITY\SYSTEM tiene acceso a esta sección, la persona del artículo usó powershell para personificar su proceso en esta cuenta. Puedes hacer lo mismo con psexec -i -s cmd.exe , y ellos lanzan regedit desde allí. Abra $MACHINE.ACC y verifique que CurrVal .

Esta sección también almacena información sobre los permisos de seguridad que tiene cada cuenta, y todo esto es parte de la Política de seguridad local (consulte enlace ) administrado por lsass.exe .

Por lo tanto, para una PC falsa deberías al menos poder:

  • Inicia sesión en él
  • Poder ejecutar código como NT AUTHORITY\SYSTEM (ser administrador local y usar una herramienta como psexec )
  • lee su contraseña de $MACHINE.ACC
  • Lee su sid (con psgetsid )

Y en otra máquina

  • Cambie su nombre y SID (se puede usar sysprep , pero no estoy seguro si puede configurar sid o si se elige al azar, consulte enlace )

  • Establezca su contraseña para $MACHINE.ACC

No estoy seguro de si es suficiente para falsificar PC o no, pero incluso esto no parece muy fácil: al menos necesitas permisos de administrador local en otra PC para hacerse pasar por el sistema, y una buena TI nunca debería darte esto acceso.

    
respondido por el user996142 01.03.2016 - 20:44
fuente

Lea otras preguntas en las etiquetas