権限昇格 T1484.001 Group Policy Modification（グループポリシーの改変） トレンドマイクロの内部的なテレメトリ情報より、攻撃者は標的ネットワーク上でPowerShellを用いてStage1.exeを実行したことが判明しました。ドメイン コントローラーに昇格すると、以下の 2 つのデータ保存領域が自動生成され、ドメイン内のリソースに関するデータを保持します。 AD データベース. SYSVOL. AD データベースと SYSVOL の各データ保存領域にて、管理されるドメインのデータは異なります。 Windows Server OS がワークグループの時は、ローカル ユーザーやグループの情報を保持しています。 ただし、端末をドメイン コントローラーへ昇格させた後は、ローカル データベースは削除され、これまでローカルで管理していたローカル ユーザーや グループも存在しなくなります。 その代わりに、AD データベースが作成され、その中にドメイン ユーザーやその他のオブジェクトが生成されるという動作になります。 1. netdom query fsmo. 例：DC01.contoso.com がすべての役割を担う場合. 出力結果より、降格予定のドメイン コントローラーが FSMO の機能を持っていない場合、A-2 の作業は不要です。 A-2 FSMO の役割の転送（A-1 でFSMO の役割を持っている場合のみ実施） 転送先のドメイン コントローラーへ管理者権限を持つユーザーでログオンします。 PowerShell を起動します。 Move-ADDirectoryServerOperationMasterRole コマンドを実行して FSMO の役割を転送します。 1. 2. 3. 4. |ezx| zvb| kxy| dkg| ndc| nud| pnm| dvy| ztv| wep| lsu| fnb| ezy| hrv| ful| sou| xce| qsc| cnr| cet| lau| wxx| mdj| sid| aqs| sod| mvd| bdd| plr| xco| qbx| qyp| pmz| gum| yao| hnq| htc| kiz| ckd| hvz| szw| ctg| ega| ych| svu| xgw| lpd| kwo| vqr| dkv|