灵异现象 - 此工作站和主要网域间的信任关系失败

图片来源: MIS的背影

故事开始

小新自从上次顺利解决了档案服务器不能用 IP 连线的状况，
坐在隔壁区的 RD 偷偷的来询问小新一些问题，
原来是 RD 在做公司功能开发需要串接 AD 上的资料，
所以用了一台 VM 加入 AD， 但发现 VM 在一阵子之後就会出现
「此工作站和主要网域间的信任关系失败」
每次都要请 IT 部门删除电脑後重新加入 AD，实在是很麻烦。

所以特别请菜鸟 IT 小新帮忙看看是什麽原因

灵异现象

经过小新一番测试，发现了以下条件才会有灵异现象：

1. VM 必须做还原才有问题
2. 会有这个问题的 VM 都是加入有 AD 的

真实情况

小新第一件事当然去查这个错误讯息的解决方案，
但 Google 第一页不外乎都是要你从网域移除这台电脑重新加入网域，像是微软的文章就是这样写。

但如果真的照做就完全没有意义了，小新很想要找出真正的原因
经过仔细看这些方式和大家找到的错误发生原因不外乎：

1. 电脑升级或是不明原因导致电脑 SID 更换
2. VM 还原/太久没开导致 AD 认不出

那这次的问题看起来是第二种，那是什麽东西导致 AD 认不出来电脑呢?
原因就是预设每 7 天 AD 网域的电脑密码，电脑密码最多存活 30 天 (参考连结)，所以这就是原因！

所以每次还原 VM 的时候电脑密码也一起还原了，但网域控制站认为你的密码已经到期了！
或已经不是这组密码了，也就导致信任失败出现「此工作站和主要网域间的信任关系失败」

资安点

在 Active Directory 网域中电脑密码最多存活 30 天，你可能会想那我把这个改长一点或是关掉就好了吧？

但这个设计是有道理的，让我们先来看看微软的解释，

Significantly increasing the password change interval (or disabling password changes) gives an attacker more time to undertake a brute-force password-guessing attack against one of the machine accounts.

微软表示避免被暴力破解，但我觉得有其他的解释
毕竟预设 computer account 密码是 120 characters 的长度，根本不太有人能暴力破解成功。
实际上他要避免的是骇客在 AD 电脑中持久化攻击，这时候我们就必须去理解 Silver Ticket

Credit: hackndo

从上图第一步我们可以知道骇客要窃取 Service Account Password ，
而在网域中的 Computer Account 本身也是一种 Service Account ，
所以回到我们上面所提到的，为什麽微软要固定更换电脑密码？
因为只要骇客获得过 Computer Account Password ，如果密码一直都有效的情况下，
骇客就能一直透过 Silver Ticket 这种攻击合法控制电脑，伪造身分重复进入电脑。

写到这边顺便工商一下自己在 HITCON Training 的课程
适合正在阅读这篇，想要学更深的人：

• 学习 AD 完整知识
• 了解 AD 安全问题并让 AD 更加安全

欢迎报名 HITCON Training- 「还阳禁术：逆天改命，改善你的 Active Directory 体质」

HITCON Training 报名连结：
https://hitcon.kktix.cc/events/hitcon-training-2021

参考资料

• https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age
• https://blog.pmail.idv.tw/?p=18862
• https://en.hackndo.com/kerberos-silver-golden-tickets/