使用SAMR查询敏感用户有缺陷

Qianlitp / WatchAD

AD Security Intrusion Detection System

GNU General Public License v3.0

1.29k stars 295 forks source link

Open Aixic-Love opened 4 years ago

Aixic-Love commented 4 years ago

只有初始域管用户被查询的时候ObjectName为objectSid，如果不是即为objectCategory。导致很难检测出来查询敏感用户。

查询语句 net user "fafa" /domain

如果查询非初始域管用户ObjectType会为SAM_DOMAIN

测试环境Server2019

Qianlitp commented 4 years ago

你可以简单说一下你的改进办法，提交下PR

Aixic-Love commented 4 years ago

已经提交了PR