Итак, все мы знаем о хитрых пользователях с UID=0 в unix, которых может быть больше одного.
Давайте посмотрим, как то же самое (а на самом деле еще более ужасное) организовано в инфраструктуре Windows. Разумеется, мы будем говорить не о локальных учетных записях Windows, а об Active Directory, т. е.
поговорим об администраторе домена.
Или, того хуже, об администраторе предприятия.
Итак, вот истина номер один: объекты в активном каталоге имеют атрибуты и разрешения.
Истина номер два: эти атрибуты можно изменить.
Как легко понять, мы МОЖЕМ создать учетную запись с фантастическими правами, к которым НИКТО не будет иметь доступа.
Однако он сможет авторизоваться, заблокировать, разблокировать, изменить свои атрибуты и атрибуты незнакомых людей.
В худшем случае это будет пользователь с магическим SID-*500, удалить которого сама Windows не дает. (Для этого его необходимо переименовать, а на его место поставить другого пользователя с ником Администратор и с полными правами).
Таким образом, мы получим формально чистый, белый, пушистый домен, внутри которого живет большой, толстый.
гм.
даже не знаю кто.
Ну и пусть его называют северным пушным зверем.
Следующие шаги: 1) Создайте учетную запись или переименуйте администратора.
Назовите это очень.
странным.
Например, ExchangeLegacyReciver. Обычная биржа имеет ExchangeLegacyInterop, поэтому понять, о чем мы здесь говорим, будет очень и очень сложно.
2) Дайте ему подходящее имя.
Например, приемник устаревших подключений Exchange. 3) Дайте ему пароль, укажите «пароль не имеет срока действия» и т. д. 4) Включите ее во все необходимые группы.
В реальности для управления доменом достаточно присоединиться к Пользователям удаленного рабочего стола (или другой группе, указанной в свойствах tcp-RDP) и Администратору предприятия.
Менее Дальше начинается волшебство: 1) Войдите, используя эту учетную запись.
2) Запустить рекламу* (если вы не знаете, что там вместо звездочки, она вам не нужна.
Для тех, кто знает и понимает о чем речь, просьба не отвечать на вопросы школьных хакеров о отсутствующая часть) 3) Ищем себя в нужном OU. Первым делом заходим в свойства и меняем владельца на какой-нибудь другой аккаунт с достаточными правами (чтобы в случае ошибки можно было изменить или удалить) 4) Снимите флажок с наследования и скопируйте атрибуты.
И.
Ну вы поняли.
Убираем все ненужное.
Удаление СИСТЕМЫ у тех, у кого есть права, приведет к странной ситуации: даже аккаунт не сможет менять свои атрибуты через оснастки, однако может редактировать их через рекламу*; Добавляем себе полные права.
5) Создайте новый системный контейнер в ou=Program data. 5) Переместите объект (щелкните правой кнопкой мыши, переместите), например, в Program Data. Это место никогда и никому не видно.
Те.
ваш объект будет существовать «где-то», где его можно будет увидеть только через рекламу* или аналогичные утилиты.
Альтернативно, просто переместите его в корень домена.
6) Проверяем права после переезда (их любят добавлять) 7) проделайте трюк с разрешениями для контейнера.
Это не позволит посторонним не только менять атрибуты или читать их, но и видеть сам факт существования.
Имейте в виду, что за всё это одна ошибка и вы больше не являетесь своим собственным владельцем без права на взыскание.
На самом деле, можно сказать, почти все.
Вы можете (проверив правильность логина и т.п.
) сменить владельца пользователя на себя.
Точка, цепочка замкнута.
Потом только восстанавливать из резервной копии.
Самое смешное, что другие пользователи с полными правами даже не увидят вас в активной директории.
Даже в рекламе*.
Тогда останется только секьюритизировать главное - это членство в группах (один неверный шаг и ты мёртв, восстанавливай из резервной копии).
Так: 1) Переименовать группу (через рекламу) во что-нибудь свое.
Например, встроенный принципал безопасности.
2) Создайте администратора предприятия.
Мы включаем его во встроенный принципал безопасности.
3) Переместите встроенный принципал безопасности в программу data\system. 4) аналогичное «волшебство» делаем ему с правами.
5) ПРИБЫЛЬ??? БУДЕТ ВИДНО.
Увы.
Мне не удалось полностью скрыть членство (хотя можно создать цепочку.
).
Однако при попытке удалить вас из участников группы появится ошибка: нет такого объекта на сервере.
В которой: 1) админы предприятия и домена по-прежнему имеют право на существование.
Группа есть, права у нее правильные, домен работает как положено (правда, установку обмена не проверял).
2) Есть аккаунт, который НЕВОЗМОЖНО увидеть.
Ни за что.
Ни от рекламы*, ни от чего-либо еще (виден странный контейнер, но не более того).
3) Членство в группе не отображается для этой учетной записи.
Еще один уровень скрытности — попытаться изменить группу и тип пользователя на что-то другое (например, на компьютер).
Я не уверен, что такое возможно, и что это будет адекватно воспринято компьютерами в сети.
P.S. Прошу прощения, писал сумбурно, так как искал решения проблем.
Завтра, если будет время, обновлю виртуалку от 2008 и проверю ее там по полной.
Теги: #active каталог #Active Directory #бэкдор #информационная безопасность
-
Машинное Обучение В Ит-Мониторинге
19 Oct, 24 -
Перемещайтесь С Умом
19 Oct, 24 -
Ядерное Материаловедение: Ifmif/Eveda
19 Oct, 24 -
Mytap Rdsfront& #1
19 Oct, 24
