Gestion RODC

Description

Le principal de sécurité source se trouve dans l'attribut « ManagedBy » du contrôleur de domaine cible en lecture seule (RODC), ce qui signifie que la source dispose de droits d'administration sur le contrôleur RODC cible.

Remarque : d'autres types d'objets Active Directory utilisent le même attribut « ManagedBy » à titre d'information uniquement, et ne donnent aucun droit administratif au gestionnaire déclaré. Par conséquent, cette relation n'existe que pour les nœuds cibles de type RODC.

Les contrôleurs RODC sont moins sensibles que les contrôleurs de domaine inscriptibles plus courants, mais ils restent une cible important pour les attaquants, car ils peuvent voler les identifiants des contrôleurs RODC pour leur permettre d'accéder à d'autres systèmes. Cela dépend du niveau de durcissement de la configuration du contrôleur RODC ; par exemple, du nombre d'objets avec des secrets qu'il peut synchroniser.

Exploitation

La méthode d'exploitation est identique à celle de la relation « AdminTo ».

Les attaquants qui compromettent le principal de sécurité source peuvent utiliser son identité pour se connecter à distance et exécuter des commandes sur le contrôleur RODC cible avec des droits d'administration. Ils peuvent exploiter les protocoles natifs disponibles tels que Server Message Block (SMB) avec partages administratifs, Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI), Remote Procedure Call (RPC), Windows Remote Management (WinRM), etc.

Les attaquants peuvent utiliser des outils natifs d'administration à distance tels que PsExec, des services, des tâches planifiées, Invoke-Command, etc., ou des outils de piratage spécialisés tels que wmiexec, smbexec, Invoke-DCOM, SharpRDP, etc.

L'objectif final de l'attaque peut être soit de compromettre le RODC cible, soit d'utiliser des outils de récupération des informations d'identification tels que mimikatz pour obtenir davantage d'identifiants et de secrets et ainsi accéder à d'autres machines.

Remédiation

Si le principal de sécurité source n'est pas un administrateur légitime du contrôleur RODC cible, vous devez le remplacer par un administrateur approprié.

Notez que les administrateurs de domaine n'administrent généralement pas les contrôleurs RODC, d'où le paramètre dédié « géré par ». En effet, les contrôleurs RODC ont un niveau d'approbation inférieur, et les administrateurs de domaine à privilèges élevés ne doivent pas exposer leurs identifiants en s'authentifiant dessus.

Par conséquent, vous devez sélectionner un administrateur de « niveau intermédiaire » approprié pour les RODC, conformément à vos règles RODC Active Directory ; par exemple, l'administrateur informatique de la succursale locale où ils se trouvent.

Pour modifier l'attribut « ManagedBy » :

  1. Dans « Utilisateurs et ordinateurs Active Directory », sélectionnez l'onglet RODC > Propriétés > « ManagedBy ».

  2. Cliquez sur Modifier.

Vous pouvez également exécuter la commande suivante dans PowerShell :

Copier 
 Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)

Voir aussi