Пользовательские и машинные учетные записи.

Когда пользователь входит в систему, система проверяет его пароль и создает токен доступа. Этот токен описывает контекст безопасности процесса или потока и включает идентификатор безопасности пользователя и членство в группах. Каждый раз, когда пользователь взаимодействует с процессом, этот токен предоставляется. Учетные записи пользователей используются, чтобы позволить сотрудникам/подрядчикам входить в систему и получать доступ к ресурсам, запускать программы или службы в определенном контексте безопасности (т. е. работать от имени пользователя с высокими привилегиями вместо учетной записи сетевой службы), а также для управления доступом к объектам и их свойствам, таким как общие сетевые ресурсы, файлы, приложения и т. д. Пользователей можно назначать в группы, эти группы также можно использовать для контроля доступа к ресурсам. Администратору может быть проще назначить привилегии один раз группе (которые наследуют все члены группы), а не много раз каждому отдельному пользователю. Это помогает с администрированием и упрощает предоставление и отзыв прав пользователей.

Учетным записям пользователей можно предоставить множество прав в Active Directory. Их можно настроить как пользователей с правами только на чтение, так и повысить права до администратора предприятия (с полным контролем над каждым объектом в домене). Поскольку пользователям может быть назначено очень много прав, легко неправильно настроить и предоставить непредусмотренные права, которыми может воспользоваться злоумышленник. Учетные записи пользователей представляют собой огромную поверхность для атак и обычно являются ключевым моментом для закрепления во время тестирования на проникновение. Пользователи часто являются самым слабым звеном в любой организации. Трудно управлять человеческим поведением и учитывать каждого пользователя, выбирающего слабые или общие пароли, устанавливающего несанкционированное программное обеспечение или администраторов, допускающих ошибки по неосторожности.

Локальные учетные записи хранятся локально на определенном сервере или рабочей станции. Любые назначенные права могут быть предоставлены только этому конкретному хосту и не будут работать в домене. Локальные учетные записи могут управлять доступом и защищать ресурсы только на автономном хосте. В системе Windows создается несколько локальных учетных записей пользователей по умолчанию:

Администратор: эта учетная запись имеет SID S-1-5-домен-500 и является первой учетной записью, созданной при новой установке Windows. Он имеет полный контроль почти над каждым ресурсом системы. Его нельзя удалить или заблокировать, но можно отключить или переименовать. Хосты Windows 10 и Server 2016 по умолчанию отключают встроенную учетную запись администратора и создают еще одну локальную учетную запись в группе локальных администраторов во время установки.

Гость: эта учетная запись отключена по умолчанию. Цель этой учетной записи — позволить пользователям, не имеющим учетной записи на компьютере, временно входить в систему с ограниченными правами доступа. По умолчанию он имеет пустой пароль, и его обычно рекомендуется оставить отключенным из-за риска безопасности, связанного с разрешением анонимного доступа к хосту.

SYSTEM: Учетная запись СИСТЕМА (или NT AUTHORITY\SYSTEM) на хосте Windows — это учетная запись по умолчанию, устанавливаемая и используемая операционной системой для выполнения многих своих внутренних функций. В отличие от учетной записи root в Linux, СИСТЕМА является служебной учетной записью и не работает полностью в том же контексте, что и обычный пользователь. Многие процессы и службы, работающие на хосте, выполняются в контексте СИСТЕМЫ. Применительно к этой учетной записи следует отметить одну вещь: профиля для нее не существует, но у нее будут разрешения почти на все. Он не отображается в диспетчере пользователей и не может быть добавлен ни в одну группу. СИСТЕМНАЯ учетная запись — это самый высокий уровень разрешений, который можно получить на хосте Windows, и по умолчанию ей предоставляются разрешения «Полный доступ» ко всем файлам в системе Windows.

Network Service: это локальная учетная запись, используемая диспетчером управления службами (SCM) для запуска служб Windows. Когда служба запускается в контексте этой конкретной учетной записи, она предоставляет учетные данные удаленным службам.

Local Service: это еще одна предопределенная локальная учетная запись, используемая диспетчером управления службами (SCM) для запуска служб Windows. Он настроен с минимальными привилегиями на компьютере и предоставляет сети анонимные учетные данные.

Стоит более подробно изучить документацию Microsoft по локальным учетным записям по умолчанию, чтобы лучше понять, как различные учетные записи работают вместе в отдельной системе Windows и в доменной сети.

Пользователи домена отличаются от локальных пользователей тем, что им предоставляются права из домена на доступ к ресурсам, таким как файловые серверы, принтеры, узлы интрасети и другие объекты, на основе разрешений, предоставленных их учетной записи пользователя или группе, членом которой является эта учетная запись. Учетные записи пользователей домена могут входить на любой хост в домене, в отличие от локальных пользователей. Однако следует иметь в виду учетную запись KRBTGT. Это тип локальной учетной записи, встроенной в инфраструктуру AD. Эта учетная запись действует как учетная запись службы распространения ключей, обеспечивающая аутентификацию и доступ к ресурсам домена. Она является общей целью многих злоумышленников, поскольку получение контроля или доступа позволит злоумышленнику иметь неограниченный доступ к домену.

Узлы, присоединенные к домену, упрощают обмен информацией внутри предприятия и имеют центральную точку управления (DC) для сбора ресурсов, политик и обновлений. Хост, присоединенный к домену, получит все необходимые конфигурации или изменения через групповую политику домена. Преимущество здесь заключается в том, что пользователь в домене может войти в систему и получить доступ к ресурсам с любого хоста, присоединенного к домену, а не только с того, на котором он работает. Это типичная настройка, которую вы увидите в корпоративных средах.

Компьютеры, не присоединенные к домену, или компьютеры в рабочей группе не управляются политикой домена. Совместное использование ресурсов за пределами локальной сети гораздо сложнее, чем в домене. Это подходит для компьютеров, предназначенных для домашнего использования. Преимущество этой настройки заключается в том, что отдельные пользователи несут ответственность за любые изменения, которые они хотят внести в свой хост. Любые учетные записи пользователей на компьютере рабочей группы существуют только на этом хосте, и профили не переносятся на другие хосты в рабочей группе.

Важно отметить, что учетная запись компьютера (доступ на уровне NT AUTHORITY\SYSTEM) в среде AD будет иметь почти те же права, что и стандартная учетная запись пользователя домена. Мы можем получить доступ на уровне СИСТЕМЫ к узлу Windows, присоединенному к домену, посредством успешного эксплойта удаленного выполнения кода или путем повышения привилегий на узле. Этот доступ часто упускается из виду, поскольку он полезен только для хищения конфиденциальных данных (например, паролей, ключей SSH, конфиденциальных файлов и т. д.) на конкретном хосте. В действительности доступ в контексте учетной записи SYSTEM позволит нам читать большую часть данных в домене и является отличной отправной точкой для сбора как можно большего количества информации о домене, прежде чем приступить к атакам, связанным с AD.