Utilizări cheie ale DSRM:

1. Restaurare a Active Directory:

Când baza de date Active Directory se corupe, administratorii pot porni DSRM pentru a restaura baza de date dintr-o copie de rezervă, ceea ce este esențial pentru recuperarea în urma unor defecțiuni catastrofale care afectează serviciile de director.

2. Recuperarea parolei:

Dacă parola administratorului Active Directory este uitată sau compromisă, DSRM poate fi utilizat pentru a reseta parola. Administratorii se conectează utilizând parola DSRM pentru a reseta datele de autentificare ale administratorului Active Directory.

3. Repararea bazei de date:

DSRM permite administratorilor să ruleze instrumente precum ntdsutil pentru a efectua verificări de integritate și reparații ale bazei de date. Acest mod facilitează întreținerea offline a bazei de date Active Directory fără a afecta capacitatea controlerului de domeniu de a răspunde solicitărilor clienților.

4. Restaurare autoritară:

În scenarii în care trebuie restaurate obiecte specifice sau unități organizaționale(OU), administratorii pot efectua o restaurare autoritară.

5. Recuperarea stării sistemului:

DSRM este utilizat pentru a efectua recuperări ale stării sistemului, esențiale atunci când întreaga stare a sistemului(inclusiv baza de date Active Directory, registrul și fișierele de sistem) trebuie restaurată la un moment anterior.

6. Depanare și diagnosticare:

Administratorii pot utiliza DSRM pentru a depana și diagnostica problemele legate de Active Directory care nu pot fi rezolvate în timp ce serviciile de director sunt în funcțiune. Aceasta include izolarea problemelor și efectuarea patch-urilor sau actualizărilor necesare.

• De ce este importantă parola DSRM?

Se cunoaște faptul că fiecare controler de domeniu are un cont de administrator local, care este definit în asistentul de promovare de la server la controler de domeniu.

Această parolă este ușa din spate a Active Directory și poate fi utilizată pentru a restaura copii de rezervă și pentru a efectua sarcini de întreținere offline, dar poate fi utilizată și în mod greșit pentru a provoca daune, cum ar fi modificarea directă a conținutului bazei de date AD.

De când Windows Server 2008 a introdus posibilitatea de a porni și opri Active Directory ca un serviciu Windows normal, a devenit din ce în ce mai neobișnuit să se pornească în modul DSRM, acesta fiind utilizat doar pentru a restaura o copie de rezervă Active Directory.

Deci, deoarece pornirea în DSRM nu este atât de obișnuită pe cât era în Windows Server 2003, uneori administratorii de sistem uită să schimbe parola DSRM în mod regulat sau, pur și simplu, nu le pasă și setează aceeași parolă pentru toate controlerele de domeniu și, mai rău decât atât, setează o parolă cunoscută de toată lumea.

Windows Server 2008 a introdus, de asemenea, posibilitatea de a modifica comportamentul de conectare DSRM, ceea ce înseamnă că acum vă puteți conecta utilizând contul DSRM de administrator local într-un DC, fără a fi necesară repornirea în DSRM.

Pentru a putea face acest lucru, trebuie să creați valoarea de registru REG_DWORD DSRMAdminLogonBehavior, care se află în HKLM\System\CurrentControlSet\Control\Lsa, și să setați valoarea acesteia la 1 sau 2, după cum se arată mai jos:

Valoare = 0 – Se efectuează conectarea la DC numai cu un cont de domeniu, ceea ce necesită ca un alt DC să fie disponibil pentru a răspunde la solicitare, sau utilizați contul de administrator DSRM numai dacă DC este pornit în modul DSRM; aceasta este setarea implicită.

Valoare = 1 – Se efectuează conectarea la DC cu un cont de domeniu sau cu contul DSRM, numai când serviciul AD este oprit.

Valoare = 2 – Se efectuează conectarea la DC cu contul DSRM, indiferent dacă serviciul AD este oprit sau pornit(nu este ok să fie setat perpetuu pe 2).

• Cum ar putea fi utilizat acest lucru de către un atacator?

Să presupunem acum că, pentru a simplifica lucrurile, în calitate de administrator de sistem, ați modificat comportamentul de conectare DSRM la valoarea 2 pentru toate controlerele de domeniu.Este ok, nu? La urma urmei, acum puteți executa sarcini fără a reporni DC în DSRM și nu mai este nevoie să opriți serviciile AD.

Răspuns scurt: Nu este ok. Deoarece acesta este un cont de administrator local valid și poate fi utilizat pentru autentificarea în rețea(nu uitați că ați activat registrul la 2, acum puteți face acest lucru), un atacator nu trebuie să cunoască parola DSRM reală, ci doar hash-ul parolei pentru a se putea autentifica la DC utilizând metoda Pass-the-Hash.

Odată ce are acces la controlerul de domeniu ca administrator local, ar putea face niște chestii interesante, cum ar fi:

– Să restarteze DomainController-ul din DSRM cu bcdedit și respectiv să afecteze baza de date a AD-ului.

– Să seteze valoarea DSRMAdminLogonBehavior la 1 și să oprească serviciile de AD și respectiv să își permită conectarea doar din consola DSRM.

Dar cea mai interesantă parte este că atacatorul ar putea afla hash-ul parolei oricărui cont de domeniu, inclusiv al celor cu acces privilegiat la întreaga ierarhie din AD și/sau domeniu.

Ce este și mai grav în cazul contului DSRM este faptul că acest cont nu este inclus în politica de schimbare a parolei domeniului, astfel încât, chiar dacă toate parolele conturilor din domeniu ar fi fost schimbate, atacatorul ar continua să aibă acces la întreaga ierarhie(forest)/domeniu cu privilegii ridicate.

• Cum se poate atenua această vulnerabilitate?

1. Nu modificați comportamentul standard al DSRM în controlerele de domeniu(valoare = 0). Cheia de registru DSRMAdminLogonBehavior nu ar trebui să existe când navigați în HKLM\System\CurrentControlSet\Control\Lsa.

2. Definiți o parolă DSRM unică pentru fiecare controler de domeniu din întreaga ierarhie(forest) și schimbați-o regulat.

• Cum se schimbă parola DSRM?

1. Deschideți Command Prompt ca și administrator.

2. Apoi rulați următoarele comenzi:

ntdsutil

set dsrm password

reset password on server <Aici Se Trece Numele DC-ului>

quit

quit

Singura modalitate de a vă asigura că aveți un mediu sigur este setarea unei parole DSRM unică pentru fiecare controler de domeniu din ierarhie/forest și să o schimbați periodic. De asemenea, asigurați-vă că cheia de registru DSRMAdminLogonBehavior nu este setată la 2.