Hidding in plain oversight

 Het blijkt kinderlijk eenvoudig om een domain admin account te verstoppen in Active Directory. In dit stappenplan laat ik zien hoe dit kan én wat je er tegen kunt doen. Je moet domain admin zijn om dit uit te kunnen voeren.

1. Start Active Directory Users and Computers (ADUC)

2. Ga naar het menu View en schakel Advanced features in

3. Ik maak een nieuwe OU "Personel" aan, met daaronder OU's "Hiddema" en "Baudet".

3. Ik maak in elk een account aan. In OU Hiddema is dat "Theo Hiddema" en in OU Baudet "Thierry Baudet". 

4. Ik klik met de rechtermuisknop op de OU Hiddema en selecteer Properties

5. Ik klik op het tabblad security

6. Ik klik op de knop "Advanced"

7. Uncheck “Allow inheritable permissions from the parent to propagate…”

8. Ik klik op Copy

9. Ik klik op OK

10. Ik klik op Add. Ik voeg nu de gebruiker toe, voordat ik de machtigingen verwijdert. Ik klik OK.

11. Selecteer de toegevoegde gebruiker en klik vervolgens op het selectievakje "Full control" in de kolom Allow.

12. Ik verwijder nu alle andere bestaande groepen behalve de volgende.

- ENTERPRISE DOMAIN CONTROLLERS

- Exchange Enterprise Servers

- SYSTEM

- De zojuist toegevoegde gebruiker.

13. Klik op OK

14. Nu kan alleen de gebruiker of groep waaraan machtigingen zijn verleend, objecten in deze OU zien en wijzigen. Ingelogd met een ander account, zijn de OU én de gebruiker onzichtbaar!



Er is gelukkig iets tegen te doen! Er is een script "WhatAmImissing" dat meld wélk account je niet kunt zien. Het enige nadeel is.. je kunt niet zien wáár.


Reacties

Populaire posts van deze blog

Breaking: Tailwind Traders acquiers Northwind!

The signal came from inside the house

My definition of plagiarism