Строго говоря, нет, В теории необходимо только зарегистрировать событие отладки в несистемном администраторе (если, поскольку Вы не упомянули, Вам нужны другие системные учетные записи, чтобы иметь прямой доступ к памяти к другим компьютерам).
Я однако не соглашаюсь с идеей данной статьи (И хотя ее предвзятость, я часто не соглашаюсь с БЕЗ совета относительно любого количества тем).
Именно так я могу суммировать бумагу всем, кто может считать это, кто не уже знаком с нападением, Она идет что-то как. "Можно захватить GUID и/или Маркеры доступа из памяти или сеть и использовать их хешированное значение, никогда не зная старого пароля". Они продолжают тот распространенные способы сделать, это из ограниченной учетной записи включает катастрофический отказ сервиса, который использует учетные данные SMB/NetBIOS, затем сразу пытающиеся зарегистрировать CREATE_PROCESS_DEBUG_EVENT и вуаля - Мгновенный доступ к соответствующей пользовательской доле SMB.
Для тех из Вас, кто использует хеши, Это - вероятно, довольно очевидное нападение и является, конечно, не новым.
Моя проблема с этим - Почему? Почему взломщик прошел бы всю стычку захвата через память для хеша после катастрофического отказа (по-видимому), критического по отношению к системе сервиса. Если IPS не инициирован теперь - уверенный NOC.
Существуют сотни более легких путей, Отравления ARP, Ложного управления BPDU, перенаправления области OSPF, даже с помощью информации об исходном маршруте, Все фантастические способы прервать информация о SMB или MS-CHAP. Также, уязвимости расширения полномочий составляют дюжину десять центов на NT, Захват маркеров доступа из определенного приложения комично легок.
В конечном счете, От того, где я стою, Вы - путь более обеспеченное использование чего-то как Kerberos или RADIUS, При условии, что вид инфраструктуры не доступен - NTLMv2, который имеет более сложные алгоритмы Проблемы/Ответа, которые не могут быть man-in-the-middled без привилегированного ведома.
Что ж, в конце концов мы не смогли этого понять и закончили тем, что заставили кого-то проехать 9 часов, чтобы получить последние известные резервные копии: p
Совсем не весело. Мораль рассказа: 1.) всегда иметь более 1 DC 2.) Постоянно поддерживайте состояние системы и проверяйте!
Вы ошиблись захватить роли. Вы фактически уничтожили все DC, которые раньше были держателями ролей. Захватывая роли, вы говорите, что эти серверы больше не доступны и не будут доступны. Вам нужно будет очистить метаданные для всех контроллеров домена, которые ранее были держателями ролей FSMO, а затем заново сделать эти серверы. Я бы использовал другие имена, а затем повторно добавил их в качестве контроллеров домена после повторного использования.
Прочтите "Захват ролей FSMO" раздел в KB 25504
Вы также захотите посмотреть KB 216498 , чтобы узнать, как удалить метаданные.
Поздравляю, теперь вы находитесь в режиме аварийного восстановления.