受信任的林/域的真正风险是什么?

信息安全 活动目录
2021-08-12 13:45:59

我正在尝试识别由于 Active Directory 中的域/林信任而发生的特定攻击向量。微软在他们的知识库文章域信任中,“关于信任的注意事项”部分写道:

林中任何域的域管理员都有可能获得所有权并修改 Active Directory 的配置容器中的任何信息。这些更改将可用并复制到林中的所有域控制器。

但没有具体说明如何。Security Considerations for Trusts中,Microsoft 列出了两个更具体的问题:

  • 此处此处已禁用 SID 过滤(我知道您可以在外部信任上禁用它?);
  • 启用 SID 历史记录。

是否有任何其他特定于域信任的攻击?例如,SMB 重放攻击并非特定于信任。此外,如何实现对配置 OU 的写入以及您可以从其他域写入什么?

1个回答

您可以枚举用户

您可以枚举计算机

您可以查询 DNS 以获取有趣的信息

如果您的域现在位于受信任域的搜索域中,您可以使用短名称替换(自动发现)等来尝试欺骗客户端系统不安全地访问您的资源并突然进入社会工程环境。

如果您与第三方合作,这通常是一个非常糟糕的主意。这就是为什么您拥有使用 SAML 的联合系统(例如 ADFS)。

其它你可能感兴趣的问题
上一篇密码保险库 - 企业 下一篇NVidia 更新服务在系统上创建本地帐户。有谁知道用户密码?