24 Mayıs 2021 02:16

Microsoft yetki kazanma tekniklerinin önüne geçmek amacıyla Windows Server 2003 ile beraber SID filtrelemsi getirmiştir. İki farklı domain arasında Trust ilişkisi oluşturulduğunda SID filtrelemesi otomatik olarak aktif olacaktır. Eğer Trust ilişkisi oluşturulduysa, karşı domain’deki bir saldırgan SID geçmişini (sIDHistory) değiştirerek erişimde bulunduğu domain üzerinde kendini daha yetkiliymiş gibi gösterebilir.

Trust ilişkisi oluşturulduysa sIDHistory’si olan kullanıcıları listelemek için aşağıdaki PowerShell komutu kullanılabilir:

Get-aduser -filter * -properties sidhistory | Where sidhistory

Eğer bu listede sIDHistory’si aktif olan bir kullanıcı varsa aşağıdaki komut girilerek bu kullanıcıların SID geçmişi silinebilir:

Netdom trust <domain 1> /domain:<domain 2> /enablesidhistory:No

Bu örnekte <domain 1> kaynakların olduğu domain, <domain 2> ise erişim sağlayan domain’dir.