Microsoft yetki kazanma tekniklerinin önüne geçmek amacıyla Windows Server 2003 ile beraber SID filtrelemsi getirmiştir. İki farklı domain arasında Trust ilişkisi oluşturulduğunda SID filtrelemesi otomatik olarak aktif olacaktır. Eğer Trust ilişkisi oluşturulduysa, karşı domain’deki bir saldırgan SID geçmişini (sIDHistory) değiştirerek erişimde bulunduğu domain üzerinde kendini daha yetkiliymiş gibi gösterebilir.
Trust ilişkisi oluşturulduysa sIDHistory’si olan kullanıcıları listelemek için aşağıdaki PowerShell komutu kullanılabilir
Get-aduser -filter * -properties sidhistory | Where sidhistory
Eğer bu listede sIDHistory’si aktif olan bir kullanıcı varsa aşağıdaki komut girilerek bu kullanıcıların SID geçmişi silinebilir
Netdom trust <domain 1> /domain:<domain 2> /enablesidhistory:No
Bu örnekte <domain 1> kaynakların olduğu domain, <domain 2> ise erişim sağlayan domain’dir.
Benzer Yazılar
Güçlü Parola Nasıl Olmalı
Posted on
