Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Kilka metod na znalezienie kont serwisowych w Active Directory

25 października 2024
account
AD
audit
windows
Kilka metod na znalezienie kont serwisowych w Active Directory

Konta serwisowe są krytycznym elementem każdego środowiska informatycznego, używanym do wykonywania różnych zautomatyzowanych procesów. Jednocześnie konta te mogą stanowić poważne zagrożenie dla bezpieczeństwa, jeśli nie są odpowiednio zarządzane i monitorowane. W tym artykule przyjrzymy się, jak znaleźć (i audytować) konta serwisowe w usłudze Active Directory (AD), gdyż nie jest to wcale takie proste.

Jak rozumieć konta serwisowe w AD?

Konta serwisowe to specjalne typy kont w usłudze Active Directory, które zapewniają kontekst bezpieczeństwa dla usług działających na serwerach Windows. Konta te mają unikalne uprawnienia domenowe i lokalne prawa dostępu, pozwalające im wykonywać określone zadania. Ze względu na podwyższone uprawnienia konta serwisowe mogą stać się głównymi celami atakujących. Warto więc zaopatrzyć się w odpowiedni nadzór nad tymi obiektami.

Konta serwisowe są zazwyczaj używane do uruchamiania skryptów, zarządzania aplikacjami i usługami lub wykonywania innych zautomatyzowanych funkcji. W przeciwieństwie do zwykłych kont użytkowników nie są powiązane z żadną konkretną osobą – raczej służą jako środek interakcji usług i aplikacji z siecią. Są zaprojektowane tak, aby działać w tle bez konieczności interwencji człowieka.

Znalezienie kont serwisowych w środowisku AD

Wylistowanie kont serwisowych w Active Directory jest często złożonym zadaniem ze względu na ogromną liczbę kont i skomplikowaną naturę struktur AD, ale przede wszystkim dlatego, że nie mamy żadnej odrębnej klasy obiektu, która rozróżnia na poziomie schematu AD konta zwykłych użytkowników (np. pracowników) od kont serwisowych.

Poszukiwania warto zacząć od poniższych kroków:

  1. Przejrzyj dokumentację. Zacznij od przejrzenia istniejącej dokumentacji lub list inwentarzowych, które mogą zawierać informacje o kontach. Takie listy często tworzone są przy okazji audytów domeny AD. Można na nich znaleźć nazwy kont, opisy i powiązane aplikacje lub skrypty.
  2. Użyj narzędzi Active Directory. Użyj wbudowanych narzędzi Microsoft, aby wyszukać konta. Jednym z powszechnie używanych narzędzi jest konsola Active Directory Users and Computers (ADUC). Otwórz ADUC, przejdź do swojej domeny i użyj funkcji wyszukiwania, aby filtrować konta o określonych atrybutach powszechnie kojarzonych z kontami do usług, np. tekst „ServiceAccount” w polu opisu czy fragment loginu „sa” lub „svc” itp.
  3. Sprawdź specjalne flagi na kontach. Konta serwisowe często mają ustawione specjalne flagi zmieniające ich zachowanie. Flagi te to na przykład „DONT_EXPIRE_PASSWORD” lub „PASSWORD_NOT_REQUIRED”. Możesz użyć poleceń PowerShell lub zapytań LDAP, aby wyszukać konta z zaznaczonymi takimi flagami.
  4. Sprawdź członkostwo w grupach. Konta serwisów często są członkami określonych grup zabezpieczeń, które przyznają im niezbędne uprawnienia do wykonywania zadań. Przejrzyj członkostwo w grupach takich jak np. „Domain Admins”, „Account Operators” czy „Server Operators”, ale też w innych posiadających podwyższone/oddelegowane uprawnienia na poziomie całej domeny.
  5. Poszukaj od strony aplikacji/usługi. Zidentyfikuj aplikacje lub usługi, które polegają na kontach serwisowych. Skonsultuj się z właścicielami aplikacji lub administratorami systemu, aby zebrać informacje o powiązanych kontach.
  6. Sprawdź atrybut SPN na kontach. Niektóre usługi, jak na przykład MS SQL Server, rejestrują w AD specjalną wartość na koncie serwisowym w polu SPN (ServicePrincipalName). Pozwala to na łatwe powiązanie konta z konkretną już usługą. W tym poradniku przedstawiono kilka metod, aby pobrać wszystkie konta z uzupełnionym atrybutem SPN z naszego środowiska.
  7. Odpytaj z PowerShell serwery w swojej domenie. Jeśli posiadasz uprawnienia i dostępy sieciowe do zdalnego odpytania o usługi każdego komputera w swojej sieci, to najlepszym rozwiązaniem będzie wykonanie takiego zapytania w PowerShell:
    get-wmiobject win32_service -comp <nazwa bądź lista komputerów> -filter „startname like '%nazwa domeny%'” | select name, status, startname
    Pozwoli to na wylistowanie wszystkich kont serwisowych ze wszystkich odpytanych serwerów. Oczywiście będą to tylko konta, na których działa jakakolwiek usługa. Konta użyte w skryptach, API czy wewnątrz aplikacji nie będą tutaj widoczne.

Co możemy zrobić, aby ułatwić zarządzanie kontami serwisowymi w AD?

Jak widzimy powyżej, określenie kryteriów i znalezienie w AD kont serwisowych to niełatwe zadanie. Możemy jednak podjąć kilka kroków, żeby je sobie ułatwić:

  • Ujednolicić nazewnictwo kont używanych do obsługi serwisów, np. rozpoczynać nazwę od: sa_ lub svc-.
  • Umieszczać konta serwisowe w specjalnie wybranym miejscu w strukturze AD.
  • Korzystać z kont typu gMSA i MSA

Podziel się z innymi tym artykułem!

Najnowsze posty

  • AI Poisoning
    ai AIPoisoning Chatbot chatgpt kapitanhack Netcraft phishing

    AI vs. bezpieczeństwo, czyli chatboty promujące phishing i złośliwe linki oraz AI Poisoning

    Czytaj dalej >

  • Kampania z użyciem OneClick wymierzona w sektor energetyczny okazała się testem RedTeam
    ClickOnce Golang microsoft oneClick redTeam

    Kampania z użyciem OneClick wymierzona w sektor energetyczny okazała się testem RedTeam

    Czytaj dalej >

  • „Blue Screen of Death” nie będzie już niebieski!
    cybernews kapitanhack microsoft windows

    Epokowa zmiana w Windowsie! „Blue Screen of Death” nie będzie już niebieski!

    Czytaj dalej >

  • apple clickFix MacOs Odyssey Poseidon

    Nowy-stary infostealer na macOS

    Czytaj dalej >

  • Root-level RCE w Cisco ISE: nowe krytyczne luki dające pełną kontrolę bez uwierzytelnienia
    cisco iam ise kapitanhack rce root

    Root-level RCE w Cisco ISE: nowe krytyczne luki dające pełną kontrolę bez uwierzytelnienia

    Czytaj dalej >

  • największy zarejestrowany atak DDoS w historii
    botnet cloudflare DDos mirai RapperBot

    Czy to największy zarejestrowany atak DDoS w historii? 37,4 terabajtów danych w ciągu 45 sekund

    Czytaj dalej >

  • app passwords
    2FA gmail russia usa

    Rosyjska grupa hakerów wykorzystuje hasła Gmail do ominięcia 2FA

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory ai android apple attack backdoor best-practices best practices botnet bug bypass C2 cisco cloud cve cyberbezpieczeństwo cybernews DNS exploit google hack hacking idm iOS kapitanhack killchain linux malware microsoft mimikatz mobile news okiem_eksperta password phishing phone ransomware rce security trojan vulnerability web windows zero-day zeroday

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2025

Share

Blogger
Bluesky
Delicious
Digg
Email
Facebook
Facebook messenger
Flipboard
Google
Hacker News
Line
LinkedIn
Mastodon
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
X
Xing
Yahoo! Mail

Copy short link

Copy link
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.Zgoda