Théorie

Qu’est ce que le groupe AdminSDHolder ?

AdminSDHolder est un conteneur par défaut dans chaque environnement Active Directory, situé lui-même dans le conteneur “System”. Il contient une liste de permissions (ACL) qui sont le reflet des permissions sur les comptes à privilèges du domaine Active Directory.

Toutes les 60 minutes, le controleur de domaine redéfinit les permissions des comptes à privilèges sur la base des ACL de ce conteneur. Ce processus s’appelle SDProp (Security Descriptor Propagator).

L’alteration du conteneur AdminSDHolder pourrait permettre à un attaquant de s’offrir une persistance sur un domaine en définissant les règles souhaitées.

Qu’est ce que l’attribut AdminCount ?

L’attribut AdminCount sert de repère pour le processus SDProp en charge de la réplication des permissions du conteneur AdminSDHolder. Si AdminCount = 1 sur un objet, alors les permissions seront répliquées.

Quelles sont les propriétés du groupe Protected Users ?

  1. Les identifiants ne sont pas mis en cache sur les machines. Sur une machine déconnectée du réseau, il ne sera pas possible de se connecter, même si la session a déjà été ouverte sur le poste en question. Le contrôleur de domaine doit être joignable impérativement.
  2. Le TGT est délivré à la connexion de l’utilisateur et il ne sera pas renouvelé automatiquement lorsqu’il devient invalide (4 heures, par défaut sur ces comptes).
  3. Impossible d’utiliser DES ou RC4 pour la pré-authentification Kerberos, d’utiliser NTLM pour s’authentifier, ni CredSSP.