Théorie
Qu’est ce que le groupe AdminSDHolder ?
AdminSDHolder est un conteneur par défaut dans chaque environnement Active Directory, situé lui-même dans le conteneur “System”. Il contient une liste de permissions (ACL) qui sont le reflet des permissions sur les comptes à privilèges du domaine Active Directory.
Toutes les 60 minutes, le controleur de domaine redéfinit les permissions des comptes à privilèges sur la base des ACL de ce conteneur. Ce processus s’appelle SDProp
(Security Descriptor Propagator).
L’alteration du conteneur AdminSDHolder pourrait permettre à un attaquant de s’offrir une persistance sur un domaine en définissant les règles souhaitées.
Qu’est ce que l’attribut AdminCount ?
L’attribut AdminCount
sert de repère pour le processus SDProp en charge de la réplication des permissions du conteneur AdminSDHolder.
Si AdminCount = 1
sur un objet, alors les permissions seront répliquées.
Quelles sont les propriétés du groupe Protected Users ?
- Les identifiants ne sont pas mis en cache sur les machines. Sur une machine déconnectée du réseau, il ne sera pas possible de se connecter, même si la session a déjà été ouverte sur le poste en question. Le contrôleur de domaine doit être joignable impérativement.
- Le TGT est délivré à la connexion de l’utilisateur et il ne sera pas renouvelé automatiquement lorsqu’il devient invalide (4 heures, par défaut sur ces comptes).
- Impossible d’utiliser DES ou RC4 pour la pré-authentification Kerberos, d’utiliser NTLM pour s’authentifier, ni CredSSP.