web-dev-qa-db-ja.com

Windowsドメインは偽造できますか?

自分でテストするための機器とソフトウェア(およびまだ知識)が手元にないので、Windows環境でのコンピューターとドメインの関係について疑問に思っていました。一部の情報は https://security.stackexchange.com/a/83380/58802 のような回答で利用できますが、次のような他のことについて考えていました:

  • コンピューターのSIDなどのどのような情報がコンピューターをドメインにIDしますか?
  • この情報は偽造または複製できると思いますが、できますか?
  • もしそうなら、それはセキュリティの問題ですか?

たとえば、特定のドメインに対して承認されているコンピューターを使用していて、それをクリーンにワイプした場合、ケースに関連するローカルに保存された情報をすべてメモしておけば、明示的な特権なしでコンピューターのドメインに承認を復元できますドメインを管理するには?

私はまた別の方法でシナリオについて考えていました:

  • コンピュータはどのようにして特定のドメインを「識別」しますか?
  • ドメインを「偽造」できますか?

コンピュータをだまして、想定されたドメイン上にあると "信じさせる"ことができるかどうかを尋ねていますが、実際にはそうではなく、不適切なポリシーが強制的に適用されたりするなどのシナリオを可能にします。

Windowsドメイン(および同様の)のセキュリティの仕組みをよりよく理解するために、これらの質問をします。それは本当に私の能力の主な領域ではありませんが、適切な知識を持つ人が一般的に十分な理由があります。

よろしくお願いします。

windowsidentitydomain-controller
6
Oskar Lindberg

お探しのテクノロジーは Kerberos です。これにより、Active Directory内のオブジェクト(ADコントローラーとADのメンバーであるホスト)間のオブジェクト間の安全な相互信頼が可能になります。

Microsoftは、それがどのように機能するかについていくつかの包括的なレビューを行っています。 これ は2009年のものですが、概念は同じです。

2
WoJ