Todavía estoy intentando familiarizarme con las cuentas de Windows bajo un DOMINIO, pero tengo algunas preguntas de seguridad.
Según mi experiencia, parece que en una máquina los usuarios locales y los usuarios de dominio están completamente separados.
Por ejemplo, un administrador local no puede realizar cambios en la cuenta de un usuario de dominio; necesita privilegios de administrador de dominio para eso.
Teniendo en cuenta que todo se almacena como datos en la máquina localmente, esto parece ser una restricción de Windows.
¿Hay alguna manera de evitar esto? Dado que la máquina tiene acceso tanto al hardware como al administrador local, ¿cómo puede alguien recuperar la contraseña del administrador de DOMINIO o permitir que un administrador local realice cambios en un usuario de DOMINIO?
Atentamente
editar: ejecutar este comando parece funcionar, pero ¿por qué?
Administradores de grupo local net/agregar DOMINIO\USUARIO
Respuesta1
Teniendo en cuenta que todo se almacena como datos en la máquina localmente, esto parece ser una restricción de Windows.
No, la información de la cuenta del dominio es simplementealmacenado en cachéen la maquina. Incluso si encuentra una manera de realizar cambios en el caché, no se propagarán desde su máquina al resto del dominio, y definitivamente no a los propios controladores de dominio. Entonces todo lo que obtienes eslocalacceso de administrador, nada más.
Tenga en cuenta que simplemente iniciar sesión en una cuenta de usuario localmente esno es suficientepara ser reconocido como ese usuario por otros servidores/máquinas de dominio. Las cuentascartas credenciales(contraseña) también deben coincidir con las conocidas por el controlador de dominio.
¿Hay alguna manera de evitar esto? Dado que la máquina tiene acceso tanto al hardware como al administrador local, ¿cómo puede alguien recuperar la contraseña del administrador del DOMINIO?
Es posible abusar de la función "iniciar sesión sin conexión" (credenciales de dominio en caché). Cuando los usuarios del dominio inician sesión, sushash de contraseñase almacena en caché junto con la información habitual, de modo que el mismo usuario aún podrá iniciar sesión incluso si el acceso a la red no está disponible. IIRC, los hashes fuera de línea se almacenan durante dos semanas y se pueden extraer y descifrar.
Si realmente necesitas iniciar sesiónen la zonaa una cuenta de dominio, los hashes se pueden reemplazar temporalmente con algo conocido. Ver este hilo:https://security.stackexchange.com/questions/182986/replacing-cached-domain-credentials-in-security-hive. Sin embargo, como ya se mencionó, después de hacerlo,aúnlimitarse al acceso a la máquina local.
Respuesta2
¿Alguien puede recuperar la contraseña de administrador del DOMINIO?
Respuesta: No, a menos que utilices métodos de piratería ilegales.
La contraseña no se guarda en la computadora local como texto sin formato sino como hash, por lo que deberá ingresar una cadena que tenga exactamente el mismo valor hash. La función hash utilizada tiene como objetivo minimizar tales posibles colisiones, así que ni lo intentes.
La contraseña se prueba en el servidor, no localmente, por lo que no puede ejecutar localmente un producto para forzar la contraseña por fuerza bruta, a menos que pase a través del servidor de dominio.
permitir que un administrador local realice cambios en un usuario de DOMINIO
Si conoce la contraseña del usuario del dominio, puede utilizar la comando runas para ejecutar un programa con las credenciales del usuario del dominio. Luego puedes usar la sintaxis de:
runas /netonly /user:domain\username command
El net localgroup administratorscomando funcionará para agregar el usuario del dominio al grupo de Administradores local, aunque aún necesitará la contraseña para iniciar sesión. Este comando solo debe ejecutarse cuando la computadora está conectada a la red.
Tenga en cuenta que puede hacer lo mismo usando Administración de equipos: haga clic en Grupos, haga clic con el botón derecho en Administradores, haga clic en Add to Group, haga clic en Addy en el cuadro de diálogo Seleccionar usuarios, ingreseDominio\Usuario.