### Установка пароля локального администратора
Я рассмотрю вариант централизованной смены пароля локального администратора на автоматизированных рабочих местах, при помощи создания GPO на DC 2008 и покажу её уязвимости.
Сразу отмечу, что реализовать именно такую смену пароля на нашем стенде не получиться, но об этом позже.
Зачем? Когда у вас в инфраструктуре более 100 компьютеров, то перед администратором стоит очень не простая задача, сменить пароль в сжатые/адекватные сроки на всех устройствах. А как мы помним, хороший админ это ленивый админ, по этому он пользуется благами GPO.
Для теста я буду использовать наш стенд, а именно WinSrv16-1En и Win10.
1. Введем АРМ Win 10 в домен cyber-ed.local
2. На сервере создаем конейнер "Computer Users" и перетаскиваем/перемещаем в него наш PC1
Это необходимо для гибкой настройки групповой политики, или проще говоря что бы назначить групповую политику только на определенные компютеры пользователей.
3. На сервере открываем оснастку управления GPO, которая расположена по пути: Control Panel\All Control Panel Items\Administrative Tools
4. В оснастке мы видим наше дерево (как в AD), переходим в контейнер "Computer Users"
5. нажатием ПКМ (правой кнопкой мыши) на контейнере "Computer Users" и выбираем первый пункт меню "Create a GPO in this domain, and Link it here..."
6. В открывшемся окне вводим имя нашей GPO, например "Change_password_local_adm" и жмем "ОК"
После нажатия "ОК" мы видим созданную GPO
7. Перейдем в настройку GPO. Нажимает ПКМ по созданной политики и выбираем "Edit..."
Видим следующее
8. Переходим по следующему пути Computer Users/Preference/Control Panel Settings/Local User and Groups
9. Создаем нового пользователя. Нажимаем ПКМ на Local User and Groups -- New -- Local User
Видим следующее окно
10. Заполняем поля формы
Обратите внимание, что в 2016 домене поля Password недоступны, т.к. это не безопасно и по факту, когда администратор это увидит, он пойдет другим путем, его я рассмотрю ниже, но представим, что у нас 2008 домен, нам эти поля доступны и продолжим!
11. Нажимаем Apply и ОК
12. Включаем нашу рабочую станцию Win10 и авторизируемся под доменным пользователем, к примеру под пользователем Olga, у которого нет прав администратора
13. Для верности обновим политики на АРМ. Откроем CMD и введем команду gpupdate /force
А есть ли у нас уверенность в том, что политика отработала? надо бы проверить. Легко! В CMD вводим команду "gpresult /scope computer /R".
Ой.... "Кажется что-то пошло не так..." А на самом деле нет, все так и должно быть, прав то у пользователя нет, так с чего же домен нам должен выдать всю информацию по компьютеру? правильно, не должен. Так что же делать, проверить то надо? А давайте запустим CMD от Администратора и введем учетные данные ADMPetr и посмотрим, что у нас получится.
Опа опа! тут то мы видим, что политика применилась.
А теперь вы спросите, и чем же это поможет злоумышленнику?
А давайте посмотрим на политику со стороны пользователя?
14. В строке поиска вводим \\cyber-ed.local\ (Вы же еще помните, что мы работаем под пользователем Olga, у которой нет прав админа?)
И мы сразу видим, что домен опознан и нам предлагают две папки NETLOGON и SYSVOL, заходим в папку SYSVOL
Проваливаемся в ярлык syber-ed.local
Внути мы видим две папки Policies и Scripts. Про папку Scripts я расскажу ниже, а вот папка Policies нам уже говорит о многом!, в ней лежат все скрипты, которое к нам, как к пользователю или компьютеру применились.
Хочу обратить ваше внимание на то, что наша инфраструктура была развернута 12.10.2022, а у меня уже 4 GPO, а мы же помним, с чего мы начали? У вас 100+ компьютеров и большая организация, а еще вы ленивый админ, по этому приложу пример со своей рабочей инфраструктуры (для примера)
403 политики??????О_о лень она такая...
И что? Не руками же искать то, что нам надо?
Конечно нет, мы же знаем, что мы ищем? Нам нужен файл "Groups.xml"
Открываем его и видим код политики
А что собственно мы видим? А мы видим имя пользователя "Administrator" и в поле cpassword пароль, НО! вспомните п.10, мы не смогли там ввести пароль, по этому тут он пустой, если бы у нас был домен 2008 мы бы увидели пароль в зашифрованном виде, к примеру вот так
Hash пароля у нас, далее дело техники, мы его дешифруем... А как, я покажу ниже, когда будем рассматривать второй вариант, у нас ведь домен 2016, а задачу по смене пароля мы так и не решили... а ручками работать так не хочется, лень-двигатель прогресса...
Разочаровавшись, что ничего не получилось мы полшли молить айтишных богов о помощи и "курить" мануал/форумы по настройке GPO в домене и пришли к выводу, что нас спасет СКРИПТ!
Погуглив в интернете мы находим множество решений по написанию скрипта о смене пароля локального администратора, но нам надо придумать, как заставить отработать этот скрипт на всех компьютерах, после непродолжительных раздумий мы решаем созать GPO, и добавить этот скрипт в автозагрузку.
Сразу хочу отметить, что мы можем в скрипте задать пароль в открытом или в закрытом виде, но, как вы поймете далее, ни один, ни второй вариант не безопасны.
Наши действия.
1. На сервере открываем оснастку управления GPO, которая расположена по пути: Control Panel\All Control Panel Items\Administrative Tools
2. Переходим в настройки Default Domain Policy нажатием ПКМ и выбрав "Edit...""
3. В открывшемся окне переходим Computer Configuration -- Policies -- Windows settings -- Scripts (startup/Shutdown) -- Startup
Мы заранее подготовили скрипт и сохранили его на рабочем столе с расширением .vbs, в моем случае скрипт получился такой
Пароль 123
Продолжаем...
4. В открывшемся окне перенесем скрипт в специальную директорию и добавим его в автозагрузку. Нажимаем на кнопку "Show File"
переносим туда созданный скрипт (самые внимательные из вас уже поняли, что это точка невозврата...)
Закрываем окно и нажимаем кноппку "Add..."
В оккрывшемся окне нажимаем кнопку "Browse..."
Добавляем скрипт
Готово. Закрываем все диалоговые окна нажатием "ОК"
Перезагружаем Win10
Делать gpupdate /force не будем, все действия аналогичны верхнему примеру, перейдем сразу к поиску нашего скрипта.
5. На компьютере, в строке поиска вводим \\cyber-ed.local\ и переходим сразу в политики
И снова перед нами наши политики.
Дело за малым, найти скрипт) Проще всего искать поиском по формату .vbs
А вот и он
Открываем и смотрим, что же там внутри
А внутри пароль в открытом виде.
Он может быть и в зашиврованном виде, но благодаря тому, что пароли в Microsft шифруются по алгоритму AES 32, а сам Microsoft благополучно выложил ключи дешифровки на своем сайте,
то мы с уверенностью можем сказать, что мы сможем дешифровать пароль.
Кому интересно, можете проверить наличие файликов .vbs и groups.xml в своей инфраструкткре, возможно вы найдете там много интересного)
Sign in with Wallet
Connect another wallet