Eu estou fazendo uma análise forense de uma máquina Windows que tem várias contas locais, mas tem um controlador de domínio ou conta de diretório ativo. Eu posso analisar os arquivos do usuário, porque os arquivos são armazenados localmente, mas eu geralmente gosto de montar a imagem dd como uma máquina virtual usando o LiveView e acessar os usuários representando-os. O problema é que eu não posso registrar como a conta do controlador de domínio porque o usuário não está no SAM local e eu não tenho a senha.
Posso acessar o login do sistema operacional como o usuário do diretório ativo?
Posso converter a conta do controlador de domínio em uma conta local para acessar o sistema operacional representando o usuário localmente?
Bem, você pode exibir a credencial em cache com um valor conhecido, se houver, e permitir que você faça login, mas isso pode ser um sucesso ou uma falha se a diretiva de domínio não oferecer suporte a creds em cache.
—
Steve
Embora você esteja fazendo análise forense, essa é realmente uma questão do sistema operacional Windows (conversão de contas e acesso a arquivos).
—
schroeder
@schroeder Muitas questões forenses dependem do sistema operacional: inspeção ou análise do sistema de arquivos, registros, etc. Por que essa pergunta é diferente e não está relacionada à análise forense na sua opinião?
—
kinunt
A questão central é sobre a funcionalidade do sistema operacional - você vai usar essa informação para fins forenses, mas é uma questão do sistema operacional. O que estou dizendo é que pode haver pessoas melhores para responder no fórum SE específico do sistema operacional. Assim como as questões de "suporte técnico" são fora do tópico, perguntas sobre especificidades de tecnologia (OS) são mais bem colocadas nos outros fóruns, pois são especializadas para essa finalidade.
—
schroeder
Eu sugiro usar John the ripper para quebrar a senha, farejando o protocolo de autenticação e, em seguida, tentar acessar o armazenamento via login com senha quebrada.
—
Peter Teoh