AdminSDHolder
当我们支配了整个域甚至森林之后,我们想要在域内维持高特权。我们可以通过多种技术实现域内访问持久化,有些技术在之前内容已经涉及过了,例如对高特权的主机 (例如配置非约束委派的) 实现本地持久化、对高特权的主体施加 ACL (例如 GenericAll) 等。接下来,我们介绍一些尚未讨论过的域持久化技术。
AdminSDHolder 是一个具有一些默认安全权限的特殊 AD 容器,用作受保护的帐户和组 (如域管理员、企业管理员等) 的模板,以防止它们被有意或无意的修改,并确保他们的安全。
Account Operators
Backup Operators
Server Operators
Print Operators
Domain Admins
Replicator
Enterprise Admins
Domain Controllers
Read-only Domain Controllers
Scheme Admins
Administrators这样做的目的是确保高权限帐户具有更强的安全描述符,以防止非特权帐户更改他们的权限。称为安全描述符传播器 (SDProp) 的进程每小时运行一次,以强制将 AdminSDHolder 安全描述符应用到所有受保护的组及其成员。例如,我们赋予一用户对 Domain Admins 组 Full Control 的 DACL,大概在 60 分钟后,该 ACE 会消失。但是 AdminSDHolder 本身不被保护,因此如果我们修改对它的 DACL,这些更改将被复制到后续对象。因此,即使管理员在域管理员等特权群组上看到了恶意的 DACL 并将其删除,在 AdminSDHolder 的作用下,恶意 DACL 也会再次被还原以及重新应用。
