0x00 Windows 企业局域网环境介绍 1、活动目录 活动目录Active Directory是一种能够集中管理用户、系统和策略的技术,活动目录的一个重要概念就是域。...Active Directory 存储有关网络上对象的信息,并让管理员和用户可以更容易地使用这些信息。...3、域控制器 域控制器Domain Controller顾名思义就是一个对域里的用户和系统进行身份验证的一个系统。 4、本地用户 本地用户Local User就是系统上的一个标准用户。...当我们想在 Windows 命令行下指定一个本地的用户时,可以通过输入 .\本地用户名或者 计算机名\本地用户名来指定本地的用户账户,其中.表示计算机名。...5、域用户 域用户Domain User是指域控制器下的用户,如果想指定域用户,可以输入域名\域用户名 6、本地管理员 本地管理员Local Administrator即是指在本地系统有管理权限的用户。
我们知道,在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。...其实本地用户 SYSTEM 就对应于域内的机器用户,在域内的用户名就是机器名加,比如 WIN7,他的机器名是 WIN7,那么他在域内登录的用户名就是WIN7。...值得注意的是,调用该函数的用户需要具备机器A的本地管理员权限。但是该 API 需要在远程主机上有管理员权限。...如果指定的是用户名而不是机器名,psloggedon.exe 会搜索网上邻居中的所有计算机,并显示该用户是否已经登录。该工具的某些功能可能需要管理员权限。...Invoke-UserHunter:搜索域管理员当前在线登录的主机,并验证当前用户是否具有对这些主机的本地管理员访问权限。
使用组策略首选项配置组策略批量修改用户本地管理员密码 开始 - >管理工具 - >组策略管理 - >在这个域中创建GPO 设置 - 右键 - 编辑 - 用户配置 - 首选项 - 控制面板设置 - 本地用户和组...大多数Active Directory管理员使用用户帐户登录到其工作站,然后使用RunAs(将其管理凭据放置在本地工作站上)或RDP连接到服务器运行Mimikatz读取密码,收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了...该文件还包含所有域用户和计算机帐户的密码哈希值。...p=2716 策略对象在持久化及横向渗透中的应用 https://www.anquanke.com/post/id/86531 组策略概述 组策略使管理员能够管理Active Directory中的计算机和用户...SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。SYSVOL包含登录脚本,组策略数据以及其他域控制器中需要使用的全域数据。
此外,攻击者通常也不难从拥有工作站的用户权限升级到拥有本地管理员权限。这种升级可以通过利用系统上未修补的权限升级漏洞或更频繁地在 SYSVOL 中查找本地管理员密码(例如组策略首选项)来发生。...SYSVOL 是 Active Directory 中所有经过身份验证的用户都具有读取权限的域范围共享。...此外, 注意:当针对 Windows 系统托管的服务时,此攻击不会成功,因为这些服务映射到 Active Directory 中的计算机帐户,该帐户具有关联的 128 字符密码,不会很快被破解。...使用用户帐户登录计算机并通过在 RDP 凭据窗口中键入域管理员凭据打开与服务器的 RDP 会话,会将域管理员凭据暴露给在系统上运行键盘记录器的任何人(这可能是先前危害用户的攻击者帐户和/或计算机) 如果有服务部署到在具有域管理员权限的服务帐户的上下文下运行的所有工作站或所有服务器...重新验证具有 Active Directory 管理员权限的每个帐户,以验证是否确实需要(或只是需要)完整的 AD 管理员权限。从与人类相关的帐户开始,然后专注于服务帐户。
问题 企业环境中计算机上本地帐户的真正问题是“本地”一词用词不当。如果网络上的 50 台计算机的本地管理员帐户为“Administrator”,密码为“P@55w0rd1!”,首先这是一个可怕的密码。...Microsoft 本地管理员密码解决方案 (LAPS) 概述 Microsoft 本地管理员密码解决方案 ( LAPS )为 Active Directory 中的每台计算机提供自动化的本地管理员帐户管理...允许计算机在 Active Directory 中更新自己的密码数据,域管理员可以授予授权用户或组(例如工作站帮助台管理员)读取权限。...部署 LAPS 后,经批准的用户可以通过多种方法查看计算机本地管理员密码: PowerShell: Get-AdmPwdPassword -ComputerName Active Directory...有四个主要的 LAPS 配置设置: 密码设置 - 配置密码长度和复杂性。 配置是否有默认管理员帐户 (RID 500) 以外的帐户。 启用此选项可防止本地管理员密码早于域密码策略(设置为已启用)。
于是我发现了有个东西叫做LAPS 0x02 LAPS是什么 Microsoft 本地管理员密码解决方案 (LAPS为) Active Directory 中的每台计算机提供自动本地管理员帐户管理。...简单点来说,很多管理员都喜欢用一个密码,那么我一个pth到域控那ntds拿下了,所以LAPS就为每台机器的本地管理员用户设置不同的随机的密码来解决这个问题,LAPS会把每台计算机的本地管理员账户存储在Active...Directory中,然后通过计算机相应的属性进行保护,计算机可以在 Active Directory 中更新自己的密码数据,并且域管理员可以向授权用户或组授予读取访问权限。...LAPS其实可以理解为一条GPO,它会隔一段时间去执行一些操作: •检查密码是否过期•当密码过期或者说过期前生成一个新的密码•通过密码策略来验证新密码•向Active Directory发送密码,并且把计算机的属性发送过去一起存储...设置计算机这个OU的电脑对上面两个扩展拥有读写权限 Set-AdmPwdComputerSelfPermission -OrgUnit 计算机 然后设置允许读取“计算机”这个OU上的管理员账号和密码的用户组
本文将探讨如何通过PowerShell和其他Windows工具管理用户账户,包括查看和设置密码策略、检查用户状态,以及导出和导入安全策略。...这些管理任务对于系统管理员尤其重要,可以帮助他们维护网络环境的安全性和一致性。 1. 查看和设置密码策略 在Windows中,密码策略可以确保用户账户的密码强度和安全性。...这些策略包括密码长度、复杂性要求以及密码更换周期等。Windows提供了几种方法来查看和设置这些策略: 本地密码策略:使用secpol.msc可以在本地机器上查看和设置密码策略。...这可以通过Active Directory的PowerShell模块实现,使用Get-ADFineGrainedPasswordPolicy和New-ADFineGrainedPasswordPolicy...检查本地用户的状态 使用PowerShell的Get-LocalUser命令,管理员可以查看本地用户的状态,包括账户是否启用、是否过期等信息。
如果管理员没有清理的话,那么会在机器上有一个unattend.xml的文件,这个文件包含苏哦有在安装过程中的配置,包括一些本地用户的配置,以及管理员账号的密码。...通过组策略修改密码,若攻击者获得一台机器的本地管理员密码,就相当于获取整个域中所有机器的本地管理员密码 GPP最有用的特征,是在某些场景存储和使用凭据,包括以下: 映射驱动(Drives.xml)创建本地用户数据源...创建组策略 gpmc.msc进入组策略管理 计算机配置->首选项->控制面板设置->本地用户和组,新建一个本地用户 将域中每个计算机本地的Administrator用户名改为test_hacker,...仅在应用尝试更改我的计算机时通知我:这是UAC的默认设置.当本地Windows要求使用高级别的权限时,不会通知用户.但是,第三方程序要求使用高级别的权限时,会提示本地用户 仅在应用尝试更改计算机时通知我...(不降低桌面的亮度):与上一条设置的要求相同,但是在提示用户时不降低用户的亮度 从不通知:当用户为系统管理员时,所有程序都会以最高权限运行.
我一直对允许以下攻击的攻击保持警惕: 从本地(on-prem)设备/用户上下文横向移动到 Azure Azure Active Directory (AAD) 租户内的权限提升 从 Azure AD 横向移动到本地...当 Windows 设备已混合加入 Azure 租户和本地 Active Directory 域时,这种滥用成为可能。...正如计算机可以“加入”到本地 Active Directory 域(以及这样做的所有后果),计算机也可以“加入”到 Azure Active Directory 域。...如果组织正在使用混合 Azure AD 加入来管理本地 Windows 系统,则控制“全局管理员”或“Intune 管理员”主体的攻击者可以作为 SYSTEM 用户在这些本地设备上执行任意 PowerShell...这是迄今为止我们发现的第一个攻击向量,它允许将对 Azure 租户的控制转变为在本地域内执行代码,而无需重置本地用户密码。
管理员帐户为用户提供了对本地服务器上的文件、目录、服务和其他资源的完全访问权限。管理员帐户可用于创建本地用户,并分配用户权限和访问控制权限。管理员还可以通过简单地更改用户权限和权限来随时控制本地资源。...图形化界面新建域用户 域管理员可以打开Active Directory用户和计算机管理框来创建用户。 如图所示,直接在Users容器右键——>新建——>用户即可。...我们在Active Directory用户和计算机中找到该用户,右键属性,查看该用户的更多属性。...如图所示,打开“Active Directory用户和计算机”,找到域名,右键——>查找。 如图所示,名称这里点击要搜索的用户名,然后点击“开始查找”。 即可找到该用户。...如图所示,打开“Active Directory用户和计算机”,找到域名,右键——>查找。
为方便对所有机器进行操作,网络管理员会使用域策略进行统一的配置和管理,那么所有机器的本地管理员密码就是一样的,黑客就是利用这一点。 ?...1.常见的组策略首选项: 映射驱动器 创建本地用户 数据源 打印机配置 创建/更新服务 计划任务 2 组策略首选项提取分析 1.创建组策略,批量修改域中机器的本地管理员密码 ?...SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的域范围共享 SYSVOL是指存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。...用户配置—-控制面板设置—-本地用户和组—新建-本地用户中添加一个脚本登录。 ? ? 可以看到域控制器行创建了本地组策略的文件: ?...六、 针对组策略首选项提取的防御措施 1.设置共享文件夹SYSVOL的访问权限 2.将包含组策略密码的XMl文件从SYSVOl目录中删除 3.不要把密码放在所有域用户都有权访问的文件中 4.如果需要更改域中机器的本地管理员密码
因为这些查询命令本质上都是通过LDAP协议去域控制器上查询的,查询时候需要经过权限认证, 只有域用户才有这个权限,所以本地用户是无法运行以下命令的(system 权限用户除外。...2、常用域管理员定位工具 假设已经在Windows域中取得了普通用户权限,希望在域内横向移动,想知道域内用户登录 的位置、他是否是任何系统中的本地管理员、他所归属的组、他是否有权访问文件共享等。...4、pveFindADUser pveFindADUser.exe 可用于查找 Active Directory 用户登录的位置,枚举域用户,以及查找在 特定计算机上登录的用户,包括本地用户、通过RDP...运行该工具的计算机需要具有.NET Framework 2.0,并且需要具有管理员权限。...如果指定了用户名(DOMAIN\Username),则显示具有此用户账户作为上次登录的计算机,根据网络的策略,可能会隐藏最后一个登录用户名,且该工具可能无法得到该用户名。
有三种主要的配置文件类型: 本地用户配置文件。在用户第一次登录到计算机上时被创建,这个本地用户配置文件被储存在计算机的本地硬盘驱动器上。...任何对本地用户配置文件所作的更改都只对发生改变的计算机产生作用。 漫游用户配置文件。一个本地配置文件的副本被复制及储存在网络上的一个服务器共享上。...漫游用户配置文件要求这台计算机是Windows NT域或Active Directory的一个成员。 强制用户配置文件。是一种特殊类型的配置文件,使用它管理员可为用户指定特殊的设置。...第七步:在windows server 2008R2中,在任务栏中点击“开始”,选择“管理工具”,找到“Active Directory用户和计算机”后点击进入。...点击域输入域名(例如test.com) 输入在windows server2008中创建的测试”用户时的用户名和密码。 系统登录时,点击“切换用户”。
4.为每台PC本地管理员设置随机密码 在少部分企业中,通过计算机开机脚本,为每台计算机设置随机密码,并通过其他方法配合禁止有本地管理员权限的用户去更改本地账号密码,此种方式与直接禁用本地管理员账号优缺点并不太大差异...5.使用LAPS统一管理计算机本地管理员密码 Microsoft本地管理员密码解决方案(LAPS,Local Administrator Password Solution)为Active Directory...LAPS将每台计算机的本地管理员帐户的密码存储在Active Directory中,并在计算机的相应Active Directory对象的安全属性中进行保护。...允许计算机在Active Directory中更新其自己的密码数据,并且域管理员可以向授权用户或组(如工作站服务台管理员)授予读取权限。...LAPS解决方案的核心是GPO客户端扩展(CSE),它执行以下任务,并可以在GPO更新期间执行以下操作: 检查本地Administrator帐户的密码是否已过期。
Ť / user ---伪造的用户名 / groups(可选)---用户所属的组RID(第一组是主组)。添加用户或计算机帐户RID以接收相同的访问权限。...这降低攻击者通过横向扩展,获取域管理员的账户,获得访问域控制器的Active Directory的ntds.dit的权限。...具有较高AD权限的服务帐户应重点确保其具有长而复杂的密码。确保定期更改所有服务帐户密码(每年至少更改一次)。...如果可能,请使用组管理的服务帐户,这些帐户具有随机的复杂密码(> 100个字符),并由Active Directory自动管理。...默认情况下,Active Directory中需要预身份验证。但是,可以通过每个用户帐户上的用户帐户控制设置来控制此设置。
绿盟科技M01N Red Team对基于该攻击的本地权限提升进行了研究和复现,并在此基础上结合PowerShell Remoting对进一步获得域管理员权限进行了分析探讨。...3配置委派 每个资源都可以通过LDAP为自己配置基于资源的约束委派,如果我们能拿到计算机账号的密码或TGT,或直接拿到本地管理员账户,便能使用Powershell直接为该计算机(服务)账号配置基于资源的约束委派...使用Powershell的Active Directory Module便能完成委派: ? 使用Mimikatz获得当前计算机账户的Hash值以进行S4U攻击: ? ?...因为此时并不是以该用户身份请求访问C,而是以计算机B账户请求的,这也解释了前文中客户端与域控制器建立连接时只发送了计算机而不是用户名。...回到最开始的话题,我们利用基于资源的约束委派进行了本地权限提升的攻击,摇身一变成为域管理员,而又因为Powershell Remoting委派的本质,变为实质上的本地管理员。
Windows7以上版本的低权限用户允许访问WMIC并执行相关查询操作 不仅可以管理本地计算机,还可以管理同一域内的所有计算机(需要一定权限),而且在被管理的计算机上不可事先安装WMIC...LDAP协议到域控制器上进行查询的,故需要域用户的权限,本地用户无法运行(除非是System用户) 在默认情况下,Domain Admins 和 Enterprise Admins 对域内所有域控制器有完全控制权限...因此,域管理员组的成员均可访问本地计算机,且具备完全控制权限。 在获取了Windows域中的普通权限在进行横向渗透时,需要知道域内用户登录的位置,是否是任何系统/主机的本地管理员,以及所属组等信息。...:本地用户、通过RDP登录的用户、用于运行服务和计划任务的用户。...如果渗透测试人员通过分析发现,可以获取权限的登录用户都不是域管理员账户,同时没有域管理员组的用户登录这台服务器,就可以使用另一个账号并寻找该账号在内网的哪台机器上具有管理权限,再枚举这台机器上的登录用户
如果为WORKGROUP则表示当前为非域环境 登录域:用于表示当前表示的用户是域用户还是本地用户 $ net config workstation 判断主域 正常执行:存在域,且当前用户是域用户 拒绝访问...$ PsLoggedon.exe PVEFindADUser PVEFindADUser.exe:用于查找Active Directory用户的登录位置、枚举域用户,以及查找在特定计算机上登陆的用户,...包括本地用户、通过RDP登陆的用户、用于运行服务和计划任务的用户。...需要管理员权限 smb-enum-sessions 枚举在本地或通过SMB共享登录到系统的用户 smb-os-discovery 尝试通过SMB协议(端口445或139)确定操作系统,计算机名称,域,工作组和当前时间...(内容超级多) Invoke-UserHunter # 获取域用户登陆的计算机信息,以及该用户是否有本地管理员权限 Invoke-ProcessHunter # 通过查询域内所有的机器进程找到特定用户
获取存在的用户(要在 Active Directory 域管理服务器上运行。)...计算机,想要在内网中横向移动,需要知道域内用户登录的位置,是否是本地管理员,他的组,是否有权访问文件共亨等等。...psloggedon.exe 在Windows平台上使用psloggedon.exe,可以查看本地登录的用户和通过本地计算机或远程计算机资源登录的用户,原理是通过检查注册表的HKEY USERS项的key...Windows系统上的用户,并提供尽可能多的信息。...: 获取域默认策略或域控制器策略 Invoke-UserHunter: 获取域用户登录的计算机信息及该用户是否有本地管理员权限 Invoke-ProcessHunter: 通过查询域内所有的机器进程找到特定用户
通过本地用户和组,可以为用户和组分配权利和权限,从而限制用户和组执行某些操作的能力。 lsass.exe是一个系统进程,为本地会话管理器服务。...用户账号有两种基本类型:本地用户账号和全局用户账号(域用户账号): 本地用户账号创建于网络客户机,它的作用范围仅仅限于创建它的计算机,用户控制用户对改计算机上的资源访问 全局用户账号创建于服务器(域服务器...也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限 Guests 组是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。...Backup Operators 加入改组的成员可以备份和还原服务器上的所有文件,而且不这些文件是否设置有权限 Print Users 该组的成员可以管理打印机 一些查看、创建和删除组的一些命令: net...SID的作用 用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表
领取专属 10元无门槛券
手把手带您无忧上云