Атака на Active Directory

В свое время я рассказывалпро брешь в системе информационной безопасности Active Directory, которая повсеместно встречается в большинстве компаний. Брешь связана с включенной локальной учетной записью дефалтового администратора на рабочих местах корпоративных пользователей. Тогда я рассуждал о том, что существует вероятность компрометации пароля для этой учетной записи, например, с использованием " радужных таблиц", и как следствие, компрометация других доменных компьютеров (в лучшем случае компьютеров непривилегированных пользователей и не компьютеров из отдела бухгалтерии;)). Однако, зачем нам пароль, когда у нас на руках LM&NTLM хеш? Правильно, тратить время на восстановление пароля совершенно не нужно Pass-The-Hashрешит задачу дешево и сердито. Потому в очередной раз напоминаю, что в доменной архитектуре локальная учетная запись не требуется! И даже будучи отключенной, она доступна при загрузке в безопасном режиме. PS: действо с отключением локальной учетной записи администратора вовсе не означает, что для нее не нужно регулярно менять используемый пароль, т.к. стоит только немного расслабиться, как инсайдер задерживаясь на работе дольше остальных, начнет сливать информацию с чужих компьютеров, загружаясь в безопасном режиме:)