none
Восстановление прав безопасности для администратора домена RRS feed

  • Вопрос

  • День добрый, в одной организации после хакерской атаки/зловреда злоумышленник какое то время имел полный доступ к управлению домена. Данные слава богу есть в бэкапах и не пострадали, но вот откатывать ад чревато, было много изменений. Проблема в том что зловред где то заменил группу администраторов домена на группу пользователей терминала и теперь у всех объектов АД, пользователи, гпо, сам домен, в общем у всех даже владелец - группа пользователей терминала. Даже при вводе компьютера в домен добавляется автоматически в локальные администраторы не доменный админ, а пользователи терминала.

    Вопрос - как это централизовано починить? Уверен что зловред не заменял везде эти настройки, а заменил их в корневом элементе и настройки безопасности спустились наследованием. Что это за корневой объект, как к нему получить доступ для смены владельца и настроек безопасности? Наверное что то в adsi, но я увы не настолько глубоко разбираюсь в экосистеме.

    22 августа 2020 г. 18:53

Ответы

  • Первое - проверьте, не были ли группы просто переименованы. Для этого скачайте с сайта Microsoft утилиту psgetsid и посмотрите с ее помощью SID группы (все владельцы, разрешения и пр. определяются по SID, а не по имени). Доменные администраторы - это группа с -544512 на конце.

    Если просто переименована группа - переименуйте обратно.

    В противном случае возни будет много.

    PS Попутал RID Domain Admins и Administrators. Исправил.

    Слава России!


    • Помечено в качестве ответа NSDonner 23 августа 2020 г. 16:16
    • Изменено M.V.V. _ 23 августа 2020 г. 16:44
    22 августа 2020 г. 23:32

Все ответы

  • Первое - проверьте, не были ли группы просто переименованы. Для этого скачайте с сайта Microsoft утилиту psgetsid и посмотрите с ее помощью SID группы (все владельцы, разрешения и пр. определяются по SID, а не по имени). Доменные администраторы - это группа с -544512 на конце.

    Если просто переименована группа - переименуйте обратно.

    В противном случае возни будет много.

    PS Попутал RID Domain Admins и Administrators. Исправил.

    Слава России!


    • Помечено в качестве ответа NSDonner 23 августа 2020 г. 16:16
    • Изменено M.V.V. _ 23 августа 2020 г. 16:44
    22 августа 2020 г. 23:32
  • Спасибо, кажется идея верная, только похоже не 544, а 512, по крайней мере сравнил сиды у группы пользователей терминалов и доменных админов в другом не скомпрометированном домене - 512.
    23 августа 2020 г. 16:12
  • Спасибо. Поправил в ответе.

    Слава России!

    23 августа 2020 г. 16:44