RODC 管理

説明

ターゲットの読み取り専用ドメインコントローラー (RODC) の「ManagedBy」属性に、ソースセキュリティプリンシパルが指定されています。これは、ソースがターゲットの RODC に対して管理者権限を持っていることを意味します。

RODC は、より一般的な書き込み可能のドメインコントローラーと比べて機密性は低いですが、RODC から認証情報を盗み、他のシステムにさらにピボットできるため、攻撃者にとって依然として重要な標的になります。これは、RODC がシークレットを持つオブジェクトをいくつ同期できるかなど、RODC の設定の強化レベルにより異なります。

悪用

悪用の方法は、「AdminTo」関係の場合と同じです。

ソースのセキュリティプリンシパルを侵害した攻撃者は、そのアクセス認証を使用してリモートで接続し、管理者権限でターゲットの RODC に対しコマンドを実行することができます。管理共有のある Server Message Block (SMB)、Remote Desktop Protocol (RDP)、Windows Management Instrumentation (WMI)、Remote Procedure Call (RPC)、Windows Remote Management (WinRM) など、利用可能なネイティブプロトコルを悪用する可能性があります。

攻撃者は、ネイティブのリモート管理ツール (PsExec、サービス、スケジュールされたタスク、Invoke-Command)、または特殊なハッカーツール (wmiexec、smbexec、Invoke-DCOM、SharpRDP) を使用する場合があります。

攻撃の最終目標は、ターゲットの RODC を侵害すること、または mimikatz などの認証情報ダンプツールを使用して、より多くの認証情報とシークレットを取得し、他のマシンの侵害に悪用することです。

修正方法

ソースセキュリティプリンシパルがターゲットの読み取り専用ドメインコントローラー (RODC) の正当な管理者でない場合は、適切な管理者に置き換える必要があります。

ドメイン管理者は通常 RODC を管理しないため、専用の「managed by」設定があります。これは、高い特権を持つドメイン管理者が、信頼レベルが低い RODC に認証を実行して、自分の認証情報を露呈しないようにするためです。

したがって、Active Directory RODC ルールに従って、RODC に対して適切な「中間レベル」の管理者を選択する必要があります (RODC が配置されている企業のローカル支社の IT 管理者など)。

「ManagedBy」属性を変更するには

1. 「Active Directory ユーザーとコンピューター」 で、[RODC] > [プロパティ] > [ManagedBy] タブを選択します。

2. [変更] をクリックします。

PowerShell で次のコマンドを実行することもできます。

 Set-ADComputer <rodc> -ManagedBy (Get-ADUser <rodc_admin>)

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• DACL の書き込み

• 所有者の書き込み