如果任何服务以管理员权限运行，则有机会获得管理员密码。运行Windows服务时使用的帐户密码加密存储在注册表(LSA机密)中，路径如下：

香港安永本地机/安全/策略/机密

有几种从LSA机密获取密码的方法：

将注册表路径复制到临时路径，然后解密加密的密码

使用卷影副本

使用与流程一起工作的专用工具lsass.exe文件

让我们尝试获取运行SQLServer的帐户的密码。

有：

Windows Server 2012 R2上的域控制器

SQL Server Express 2012

在SQL Server安装期间，请指定现有域帐户(密码长度小于14个符号)以运行它。

使用gsecdump实用程序提取密码。

以管理员身份运行PowerShell并运行以下命令：

gsecdump-v2b5.exe-l

结果是：

什么是托管服务账户

在Windows Server 2008 R2中， 托管服务帐户(MSA)机制已被开发为抵御此类攻击。

托管服务帐户是域中的托管帐户，提供自动密码管理和简化的参与者服务名称管理，包括将控制权委派给其他管理员。

托管服务帐户的优点

自动更改密码。默认情况下，密码每30天更改一次

复杂的密码。一种复杂的，自动生成的密码，由240个随机符号组成(前半部分包括英文字母，下半部分是数字和其他符号)

没有多余的权利

有机会在多个服务器上使用一个MSA(gMSA)，以防所有服务实例都使用一个主题，例如在NLB中使用

SPN管理

重命名后自动更新SPN

服务器帐户

服务器帐户的dnshostname属性

正在更改服务器帐户的addition aldnshostname属性

正在更改服务器帐户的其他Sam accountname属性

支持MSA的服务：

IIS

AD LDS公司

SQL Server 2008 R2 SP112012

MS Exchange 2010、2013

MSA要求

域和林级别–Windows Server 2008 R2

Windows Server 2008 R2、Windows 7(专业版、企业版、旗舰版)及以上版本

.Net Framework 3.5x版

PowerShell的Active Directory管理模块

已安装的修补程序KB2494158

如果林和域没有2008 R2(MSA)和2012(gMSA)级别，则必须使用以下命令增加林级别：

adprep/forestprep公司

并使用以下命令增加域级别：

adprep/domainprep公司

在每个域中，我们必须其中创建和使用托管服务帐户。

如何在PowerShell中启用MSA

运行cmdlet：

导入模块ActiveDirectory

要创建MSA帐户，必须运行cmdlet：

新的ADServiceAccount服务帐户–限制为单台计算机

其中 serviceaccount是MSA帐户的名称

参数 RestrictToSingleComputer表示MSA只链接到一台服务器。我们可以转到Active Directory用户和计算机，并确保已创建MSA(要显示“托管服务帐户”部分，我们必须在AD管理单元的 视图菜单中启用高级函数)。

要将MSA链接到服务器，请运行cmdlet:添加ADComputerServiceAccount-标识服务器-ServiceAccount ServiceAccount

其中 server是与MSA关联的服务器的名称

serviceaccount是MSA的名称

若要检查操作是否成功，请转到Active Directory用户和计算机，然后转到服务器属性并检查 msDS HostServiceAccount属性

在本地计算机上安装托管服务帐户

必须运行cmdlet：

安装ADServiceAccount-Identity serviceaccount

其中serviceaccount是MSA的名称

测试MSA(Windows 8.1、Windows PowerShell 4.0、Windows Server 2012 R2)

运行cmdlet：

测试ADServiceAccount serviceaccount

其中 serviceaccount是MSA的名称

它返回值True或者False

设置为以MSA身份运行Windows服务并重新启动该服务。

别忘了在MSA名称的末尾加上“ $”

字段密码应留空。

让我们使用 gsecdump实用程序检查服务帐户密码

Windows Server 2012中的组托管服务帐户

在Windows Server 2012中出现了 Group Managed Service Accounts(gMSA)。它们允许将托管帐户链接到多个服务器，而不是单个服务器。

例如，在网络负载平衡或者Windows集群中，它可能是必需的。

要求：

架构级别–Windows Server 2012

运行Microsoft密钥分发服务的Windows Server 2012(R2)域控制器

Windows Server 2012、2012 R2、8、8.1

PowerShell的Active Directory管理模块

如何在PowerShell中启用gMSA

确保Microsoft密钥分发服务处于“Microsoft密钥分发服务使用共享密钥生成帐户密钥”上。这些钥匙是不时更换的。除了组托管服务帐户的其他属性外，Windows Server 2012域控制器还获取密钥分发服务提供的密钥的密码。通过寻址到Windows Server 2012域控制器，Windows Server 2012和Windows 8主机可以获得当前和以前的密码。“

创建根密钥

可以使用cmdlet创建根密钥：

添加KdsRootKey

若要创建新的根密钥，请运行cmdlet。