SEC-T: Active Directory bagdøre og forsvar

Hej Claus,

Ja, tidligere passwords ligger også i NTDS.dit. Jeg har været lidt inde på emnet her: http://www.version2.dk/blog/saadan-piller-en-hacker-ntdsdit-fra-hinanden-57117

"ntds_decode" har dog ikke mulighed for at trække historiske passwords ud, men vha. f.eks. libesdb og ntdsxtract er det muligt på en *nix maskine.

Der ligger ikke info om hvornår de tidligere passwords blev lagt i databasen, kun de givne hash-værdier (LM/NT).

Jeg TROR ikke, at AD gemmer tidligere passwords, med mindre password politikken dikterer det. De fleste har det sat til, så jeg er ikke stødt på det IRL. Samtidig TROR jeg ikke, at AD clearer historiske passwords, hvis GPOen f.eks. ændres. Der er lidt at teste for et nysgerrigt sind - med tilstrækkelig tid :)

Hej Jakob

Tanke der slog mig, når nu Windows AD kan håndhæve en password historik, så må de tidligere Passwords også være gemt i AD'et et sted. Antallet af Passwords der gemmes er det så baseret på gpo indstillingen eller uafhængig heraf, logisk set bør det være afhængigt af gpo, men implementering er ikke altid logiske. For hvert at disse tidligere passwords, gemmes der så også andet, fx oplysninger om hvornår det blev sat.

Er det noget du har tænkt over eller ved noget om?

Hej Claus,

Når man laver backup af NTDS.dit med NTDSUTIL, så sker der en hel del i event loggen, også som standard. Så man kan "opdage" det - hvis man kigger efter det.

De logs man skal holde øje med er "Directory Service" (Source: "NTDS ISAM" eller "Microsoft-Windows-ActiveDirectory_DomainService", hhv. ID: 2001 + 1917) og "Application" (Source: ESENT, ID: 102, 103, 105, 216, 300, 302, 325, 326, 327, 2001, 2003, 2005 + 2006). Formentlig ikke en komplet liste, men så har du da en ide om, hvad der skal kigges efter.

Ift. "tyveri" af NTDS.dit er der dog rigtig mange andre ting man skal holde øje med - herunder System State backups, men det kan også gøres med f.eks. Shadow Copy, ligesom det kan udføres så det er "usynligt" for Windows event loggen, hvis man f.eks. kopierer via VM-host eller storage enheder (såfremt DC'ere er virtuelle). Her må man så have andre logs til rådighed.

Delegation logges også, men der er IMHO ikke mange, der kan gennemskue de log entries i praksis. Jeg har flere gange tænkt at udvikle et tool (PowerShell script), som kan sammenligne aktuel tilstand med "default" installation, som må regnes for sikker. Jeg har nemlig ikke fundet noget, der kan gøre det - endnu. Det samme tool skulle kigge på adminSDholder objektet, men jeg har desværre ikke så meget tid til den slags pt.

mvh /Jakob

Hej Jakob

Som standard, logges det så, når der laves en backup af ntds.dit? Hvis nej, kan det så enables?

vedr. delegation: Findes der er en god måde at detektere at der er lavet delegation? Jeg antager at sikkerheden i en standard/ny installation er god nok (hvilket måske er en fejl).

Tak, fixed!

Der bliver indsat www.version2.dk/blog foran linket.

Fix:http://bit.ly/SECT2015