Wie kann ich ein Domänencontrollerkonto für die forensische Analyse in ein lokales Konto konvertieren?

268
kinunt

Ich mache eine forensische Analyse eines Windows-Computers, der über mehrere lokale Konten verfügt, jedoch über einen Domänencontroller oder ein Active Directory-Konto verfügt. Ich kann die Dateien des Benutzers analysieren, da die Dateien lokal gespeichert sind. Normalerweise möchte ich das DD-Abbild als virtuelle Maschine mit LiveView bereitstellen und auf die Benutzer zugreifen, die sie imitieren. Das Problem ist, dass ich mich nicht als Domänencontroller anmelden kann, da der Benutzer nicht in der lokalen SAM ist und ich kein Kennwort erhalten habe.

Kann ich auf das Betriebssystem als Active Directory-Benutzer zugreifen?

Kann ich das Domänencontrollerkonto zu einem lokalen Konto zusammenführen, um auf das Betriebssystem zuzugreifen, das den Benutzer lokal annimmt?

1
Nun, Sie können den zwischengespeicherten Berechtigungsnachweis mit einem bekannten Wert pflegen, falls vorhanden, und Sie sollten sich anmelden können. Dies kann jedoch ein Treffer oder ein Fehler sein, wenn die Domänenrichtlinie zwischengespeicherte Creds nicht unterstützt. Steve vor 8 Jahren 0
Obwohl Sie forensische Analysen durchführen, ist dies wirklich eine Frage des Windows-Betriebssystems (Konvertieren von Konten und Zugriff auf Dateien). schroeder vor 8 Jahren 0
@ schroeder Viele forensische Fragen hängen vom Betriebssystem ab: Untersuchen oder Analysieren des Dateisystems, Register usw. Warum unterscheidet sich diese Frage und ist Ihrer Meinung nach nicht mit der Forensik verbunden? kinunt vor 8 Jahren 0
Die Kernfrage bezieht sich auf die Betriebssystemfunktionalität - Sie werden diese Informationen für forensische Zwecke verwenden, aber es handelt sich um eine Betriebssystemfrage. Was ich damit sagen möchte, ist, dass es im OS-spezifischen SE-Forum möglicherweise bessere Leute gibt, die zu beantworten sind. So wie Fragen zum "technischen Support" nicht Thema sind, werden Fragen zu technischen (OS) -Spezifikationen in den anderen Foren besser gestellt, da sie auf diesen Zweck spezialisiert sind. schroeder vor 8 Jahren 0
Ich würde vorschlagen, John the ripper zu verwenden, um das Passwort zu knacken, das Authentifizierungsprotokoll zu schnüffeln und dann zu versuchen, auf den Speicher zuzugreifen, indem er sich mit einem geknackten Passwort anmeldet. Peter Teoh vor 8 Jahren 0

0 Antworten auf die Frage