Bu yazı da genel olarak Active Directory güvenlik açıklarına, güvenliği ihlal edilmiş Active Directory Domain Controller kurtarma yöntemlerine ve hacking girişimlerini önlemeye yönelik önleyici tedbirlere odaklanacağız.Ayrıca İşletim sistemi hardening’inin uygulaması için Active Directory kırmızı mimarisini ve sunucu ortamı için tanımlanan kıyaslamaları da tartışacağız.
Amaçlarımız:
- Enfeksiyondan hemen sonra yapılacaklar
- Saldırı modellerini ve enfeksiyon vektörünün nasıl bulunacağını belirleme
- Temel Recovery Süreçleri
- Domain Adminler tarafından yaygın olarak yapılan misconfigurations hataları
- Kurtarma sonrası adımlar
- Recıvery sonrası adımlar
Hackerların temel amacı sisteme kalıcı erişim sağlamaktır diyerek başlayalım. Tehdit oluşturan unsurları sistemden tamamen çıkarmak karmaşık ve zaman alıcı bir görevdir; bu nedenle saldırı yüzeyini en aza indirmek ve muhtemelen etkilenmemiş altyapı öğelerini (örneğin sunucular ve nesneler) izole etmek hayati önem taşır. İşte kurtarma sürecine girmeden önce önerilen adımların özlü bir kontrol listesi:
- Compromised edilmiş AD sunucusunun bir yedeğini oluşturmak için yerleşik “Windows Server Backup” aracını kullanın. Bunu “Run > wbadmin.msc” üzerinden erişebilirsiniz. Analistler daha sonra bu yedeklemeyi kapsamlı kötü amaçlı yazılım ve tehdit analizi için kullanacaklardır.
- Windows Server’ın güvenilir yedeğini geri yükleyin. Bu geri yükleme işlemi, güvenilir yedeğin oluşturulmasından sonra alanına eklenen AD nesnelerini (kullanıcılar, bilgisayarlar vb.) içeren bazı veri kayıplarına neden olacaktır.
- Ağı izole edin ve kesintisiz hizmet sağlamak için secondary domain controlleri etkinleştirin.
- Geri yüklenen AD sunucusundan gelen trafiği gelişmiş izleme ve filtreleme ile takip ederek ağ seviyesinde herhangi bir saldırı desenini tespit edin.
- Kurtarma süreci tamamlanana kadar (mümkünse) yeni kullanıcı hesaplarının, GPO’ların vb. oluşturulmasını ve değiştirilmesini kısıtlayın.
“Windows Server Local Backup”, Windows Server işletim sistemindeki yerel yedekleme süreçlerini ifade eder. Bu, bir Windows Server sisteminin verilerinin, dosyalarının veya sistem durumunun aynı fiziksel sunucudaki yerel depolama ortamına yedeklenme prosedürünü belirtir.
Windows Server işletim sistemi, Windows Server Backup adlı bir yedekleme aracını içerir. Bu araç, sistem yöneticilerine sunucularındaki önemli verileri ve sistem durumlarını yedekleme olanağı tanır. Yerel yedekleme genellikle bir yerel sabit disk, harici disk veya aynı sunucudaki başka bir yerel depolama cihazına yedekleme süreçlerini içerir.
Yerel yedekleme, veri kaybını önlemek, sistem durumlarını geri yüklemek ve güvenilir bir kurtarma sürecini sağlamak için kullanılır. Bu yedeklemeler, hızlı ve yerinde geri yükleme yetenekleri sağlayarak iş sürekliliğini artırmak amacıyla tasarlanmıştır.
Bu arada anlatım yaparken bir akışa bağlı kalmak ve uygulamalar yapmak için Tryhackme Recovering Active Directory odasını kullandım.
Windows Server Backup ekranını açtığınızda, yedeklemeyi yalnızca bir kez almak istiyorsanız ve bu sürecin sürekli olmasını istemiyorsanız, “Backup Once” seçeneğini seçerek devam edebilirsiniz. “Recover” seçeneği, yedeğinden geri yüklemek için kullanılır.
Ve görebileceğiniz gibi, burada bir kez gerçekleşecek bir yedekleme süreci için seçenekleri inceleyebiliriz. Tüm sunucunun tam bir yedeğini almak ister misiniz, yoksa belirli bir alanı mı yedeklemek istersiniz? Bu yedeği nereye saklamak istersiniz?
Ve unutmayın, enfekte olmuş ağ altyapısını detaylı ağ izlemesi için izole etmek iyi bir uygulamadır.
Event Viewer, Windows ve uygulama hatalarını sorun giderme için kıymetli bir araç olarak görev yapar. Olay günlüğü servisi, Windows başlatıldığında otomatik olarak başlar ve sistemde meydana gelen tüm kritik olaylara dair detaylı bilgiler sağlar. Bu, program çökmeleri veya ünlü mavi ekran hatası gibi durumları içerir.
Olaylar, aşağıdaki temel sınıflandırmalarla birlikte Hata, Uyarı ve Bilgi olarak kategorize edilir:
Application: Halihazırda kurulu programlarla ilgili olayları kaydeder.
System: Sistem bileşenleriyle ilişkili olayları günlüğe kaydeder.
Security: Güvenlik ve kimlik doğrulamayla bağlantılı olayları kaydeder.
Event Viewer’a erişmek oldukça basittir; sadece “eventvwr” yazın ve Çalıştır iletişim kutusuna girin.
Ve eğer Active Directory’den bahsediyorsak, BloodHound’u da bahsetmeliyiz.
BloodHound, bir Active Directory (AD) analiz ve güvenlik aracı olup Active Directory ortamının güvenlik durumunu değerlendirmek ve görselleştirmek için tasarlanmıştır. İki temel işlevi bulunmaktadır:
Gizli İlişkileri Ortaya Çıkarma: BloodHound, Active Directory içinde genellikle karmaşık ve birbirine bağlı ilişkileri açığa çıkararak, izinleri, güven ilişkilerini ve grup üyeliklerini ortaya koyar ki bunlar hemen fark edilmeyebilir. Saldırı Yollarını Belirleme: Aracın, Active Directory ortamında potansiyel saldırı yollarını veya ayrıcalık yükseltme rotalarını belirleme ve haritalama yeteneği vardır. Bu işlev, güvenlik profesyonellerinin ve yöneticilerin olası güvenlik risklerini anlamalarına ve azaltmalarına yardımcı olur. BloodHound, Active Directory içindeki ilişkileri ve izinleri temsil etmek ve analiz etmek için graf teorisini kullanır. SharpHound adında bir veri toplama aracını içerir, bu araç AD ortamındaki çeşitli kaynaklardan (bilgisayarlar, gruplar ve kullanıcılar gibi) veri toplar.
Araç, güvenlik profesyonelleri, penetrasyon test uzmanları ve sistem yöneticileri tarafından geniş çapta kullanılmaktadır; güvenlik değerlendirmeleri gerçekleştirmek, zayıflıkları belirlemek ve Active Directory altyapısının genel güvenliğini artırmak için. BloodHound’un bir güvenlik analizi aracı olarak meşru bir araç olduğunu, ancak sorumlu bir şekilde kullanılmadığında kötüye kullanılabileceğini unutmak önemlidir.
PowerView.ps1, aktif dizin üzerinde çeşitli güvenlik kontrolleri ve zayıflık tespiti için kullanılan bir PowerShell tabanlı araçtır. Bu araç, Active Directory (AD) ortamında zayıflıkları ve kötü niyetli faaliyetleri kontrol etmek için kullanılır.
PowerView.ps1 kullanarak AD denetimleri gerçekleştirmek istiyorsanız, işte bazı örnekler:
Bağlı VM üzerinde PowerView’u şu şekilde yürütebiliriz: PowerShell terminalinde şu komutu çalıştırın: Import-Module C:\Users\Administrator\Desktop\PowerView\pw.ps1. Modül içe aktarıldığında, Get-NetDomainController gibi çeşitli komutları çalıştırabiliriz.
List User Group Memberships:
.\PowerView.ps1
Get-NetUser | Get-NetGroup
List Administrator Groups:
.\PowerView.ps1
Get-NetGroup -GroupName *admin*
Review User Activities:
.\PowerView.ps1
Get-NetUser | Get-NetUser -Properties lastlogon
Find Hidden Shares:
.\PowerView.ps1
Get-NetShare -Special $true
Examine Delegation:
.\PowerView.ps1
Invoke-ACLScanner
Find Users with Admin Rights:
.\PowerView.ps1
Find-AdminAccess
Bunun gibi çok fazla komut var hepsini denemeyeceğim, bu yazıda Powershell’e çok fazla odaklanmayacağım ancak bir kaç örnek yapmak gerekirse;
PowerShell içinde kullanılan Get-NetLoggedon komutu, bir Windows bilgisayarında NetSession bilgilerini almak için kullanılır. Bu komut, o anda bir bilgisayarda oturum açmış olan kullanıcıları ve bu kullanıcıların bağlı olduğu kaynakları listeler. Bu bilgiler bir ağdaki aktif oturumları izlemek, sorun gidermek veya güvenlik değerlendirmeleri yürütmek için kullanılabilir.
Get-NetComputer: Ağdaki bilgisayarlar hakkında bilgi alır.
Nesne Adı Seç: Her bilgisayarın yalnızca “Ad” özelliğini görüntülemek için çıktıyı filtreler.
Bu komutu çalıştırdığınızda, ağdaki bilgisayarların adları listelenir ve ek ayrıntılar olmadan bilgisayar adlarının kısa bir görünümü sağlanır.
Tipik olarak, bir domain controller’ın tehlikeye atılması durumunda, kullanıcılar, bilgisayarlar ve grup ilkeleri gibi etki alanı nesnelerinde yapılan değişiklikleri izleyebilir ve davetsiz misafirlerin eylemlerini ayırt edebiliriz. Çoğu durumda, sisteme yetkisiz erişim güvence altına alındıktan sonra bilgisayar korsanları genellikle ek kullanıcılar oluşturma ve grup politikalarını değiştirme gibi faaliyetlere girişir.
Şimdi AD’de yapılan değişikliklerin izini Sürelim:
Kullanıcı izinlerini, nesne oluşturma tarihlerini (kullanıcılar gibi), bilgisayarların katılma tarihlerini ve grup ilkelerinde yapılan değişiklikleri izleyerek Active Directory içindeki değişiklikleri etkin bir şekilde takip edebiliriz. PowerShell’i kullanmak, AD ortamında ortaya çıkan faaliyetler hakkında daha kapsamlı bir anlayış kazanmamıza olanak tanır.
Get-ADUser -Filter {((Enabled -eq $True) -and (Created -gt “Monday, April 10, 2023 00:00:00 AM”))} -Property Created, LastLogonDate | select SamAccountName, Name, Created | Sort-Object Created
evil.guy kullanıcısının 12.04.2023 tarihinde yaşanan hack olayından sonra oluşturulduğunu görüyoruz.
Bu komut dosyası, Active Directory etki alanına eklenen tüm bilgisayarların kapsamlı bir listesini tanımlar ve görüntüler; katılma tarihi ve eklemeden sorumlu kişinin adı gibi ayrıntıları sağlar.
Get-ADComputer -filter * -properties whencreated | Select Name,@{n=”Owner”;e={(Get-acl “ad:\$($_.distinguishedname)”).owner}},whencreated
Grup üyeliklerinde yapılan değişikliklerin incelenmesi, olay günlüklerinin incelenmesini ve çeşitli senaryolarda oluşturulan belirli olay kimliklerinin tanımlanmasını içerir. Bu amaç için dikkate değer olay kimlikleri şunlardır:
Event ID 4756: Bir üyenin evrensel güvenlik grubuna eklendiğini gösterir.
ID 4720: Bir kullanıcı hesabının bir güvenlik grubuna ne zaman eklendiğini gösterir.
Event ID 4757: Bir üyenin evrensel güvenlik grubundan kaldırıldığını gösterir.
ID 4726: Bir kullanıcı hesabının bir güvenlik grubundan kaldırıldığını gösterir.
Event ID 4728: Bir üyenin genel güvenlik grubuna eklendiğini belirtir.
ID 4732: Bir hesabın bir hizmete eklenmesini yansıtır.
Event ID 4729: Bir üyenin genel güvenlik grubundan kaldırılmasını vurgular.
ID 4733: Bir hesabın bir hizmetten kaldırılmasını belirtir.
Bu olayları incelemek için Çalıştır komutu (Çalıştır > eventvwr) aracılığıyla erişilebilen Olay Görüntüleyiciyi kullanın.
İsterseniz buradaki Security loglarına gidip istediğimiz logları, örneğin evil.guy kullanıcısının e-posta adresini arayabiliriz. Ancak bence en kolayı bunu PowerView ile yapmaktır. Örneğin:
1 Aralık 2022’den sonra giriş yapan toplam kullanıcı sayısını görmek istiyorum.
Get-ADUser -Filter {((Enabled -eq $True) -and (Created -gt “December 01,2022 00:00:00 AM”))} -Property LastLogonDate | select SamAccountName, Name, Created | Sort-Object Created
Powershell yerine Event Viewer’dan takip yapmak istersek event id’leri aşağıdaki gibi filtreleyebilir ve istediğimiz veriyi bulmaya çalışabiliriz.
Control Nasıl Geri Alınır? : Domain Takeback
Active Directory’nin (AD) kuruluşlarda yaygın kullanımı göz önüne alındığında, bilgisayar korsanları sürekli olarak algılanan güvenlik açıklarına sahip sistemleri hedef alıyor. Sonuç olarak, sürekli hizmet kullanılabilirliğini sağlamak ve AD kullanıcıları için kesinti süresini en aza indirmek için etkili bir Post-Compromise Plan oluşturulmalıdır. Bir güvenlik ihlali sonrasında AD sistemini kurtarma işlemine genel olarak Domain Controller Takeback adı verilir.
Kurtarma Planına İlişkin Adımlar
Bu planın temel bileşenleri aşağıdakileri içerebilir:
1- Seviye 0 Hesap Parolalarını Sıfırlama: Güvenliği artırmak için uygun seçeneği belirleyerek Seviye 0 hesaplarını sıfırlayın veya devre dışı bırakın.
2- Güvenliği Ele Geçirilmiş Hesapların Belirlenmesi: Potansiyel olarak ele geçirilmiş veya şüpheli hesapları proaktif olarak arayın ve ayrıcalık artışını önlemek için şifrelerini sıfırlayın.
3- Kerberos Hizmet Hesabının Güvenliğini Sağlama: Kerberos hizmet hesabının parolasını, potansiyel saldırganlar için kullanılamaz hale getirecek şekilde değiştirin.
4- Yönetici Ayrıcalığı Parolalarını Sıfırlama: Güvenlik risklerini azaltmak için yönetici ayrıcalıklarına sahip hesapların parolalarını sıfırlayın.
5- Reset-ComputerMachinePassword’ü Kullanma: Etki alanı içindeki bilgisayar nesneleri için sıfırlama işlemlerini gerçekleştirmek için PowerShell “Reset-ComputerMachinePassword” komutunu kullanın.
6- Domain Controller Makinesinin Güvenliğini Sağlama: Gümüş biletlerin olası kötüye kullanımını önlemek için domain controller makinesinin parolasını sıfırlayın. Farklı Kerberos tabanlı saldırı türlerine ilişkin daha fazla bilgiyi burada bulabilirsiniz.
7- Koruma ve Kurtarma için Domain Controller’lerden Yararlanma:
Yazılabilir bir domain controlleri (DC) güvenliği ihlal edilmiş bir domain controllerin yedeği olarak yapılandırmak, kesintileri önlemek için geri yükleme yapılmasına olanak tanır. Güvenliği ihlal edilmiş bir DC örneğinin geri yüklenmesini önlemek için bu adım sırasında dikkatli olunması önerilir.
8- Kötü Amaçlı Yazılım Analizinin Gerçekleştirilmesi: Kötü amaçlı komut dosyalarının oluşturduğu potansiyel tehditleri belirlemek ve azaltmak için hedeflenen herhangi bir Domain controller sunucusunun kapsamlı bir analizini gerçekleştirin.
9- Kalıcı Erişim İçin Doğrulama: Saldırganın sürekli erişim için herhangi bir zamanlanmış görev veya başlangıç uygulaması eklemediğini doğrulayın. Görev zamanlayıcıya erişim Çalıştır > Taskchd.msc yoluyla gerçekleştirilebilir.
Olası değişiklikleri tespit etmek için olay günlüklerini(eventlogs), Erişim Kontrol Listelerini (ACL’ler) ve grup politikalarını titizlikle inceleyin. Ağ düzeyinde, Indicatorleri (IOC) belirlemek amacıyla hem gelen hem de giden trafik için trafik filtreleme uygulayın; bu eylem genellikle Güvenlik Operasyon Merkezi (SOC) düzeyinde gerçekleştirilir.
Ping Castle gibi Active Directory (AD) koruması ve risk değerlendirmesi için tasarlanmış çok sayıda araç, AD ortamındaki denetimleri gerçekleştirmek ve potansiyel güvenlik açıklarını belirlemek için hizmetinizdedir. Ek olarak, derinlemesine ağ analizini kolaylaştırmak için günlükleri Wazuh ve Splunk gibi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümlerine iletmeyi düşünün.
Örneğin: evil.guy kullanıcısının şifresini sıfırlayın.
Active Directory Users and Computers>Action>Find>(Name:evil.guy)> Reset Password
Peki ne oldu? yaygın yapılan Misconfiguration Hataları
Yanlış yapılandırılmış sunucular, istemciler ve uygulamalar, saldırganların potansiyel istismarına yönelik savunmasız giriş noktaları oluşturabilir. AD güçlendirme bağlamında yaygın saldırıları ve azaltma stratejilerini araştırdık. Sistem yöneticilerinin sıklıkla gözden kaçırdığı ek güvenlik açıkları şunlardır:
1- BIOS’ta Önyükleme Kaynağı: Yanlış yapılandırılmış BIOS önyükleme siparişleri, saldırganlara yetkisiz aygıtlardan önyükleme yaparak ve oturum açma parolalarını değiştirerek sunucuların güvenliğini aşma fırsatı sağlayabilir. BIOS’u CD/DVD’den, harici aygıtlardan (USB) veya disket sürücülerden önyüklemeye izin vermeyecek şekilde yapılandırarak bu riski azaltın.
2- AD Sunucusu Yönetici Grup Üyeleri: İş istasyonlarına kullanıcı erişimini yönetmek, AD ortamının sağlamlaştırılmasında önemli bir zorluktur. Varsayılan olarak Etki Alanı Kullanıcıları grubunun tüm üyelerinin AD’deki herhangi bir iş istasyonunda oturum açma olanağı vardır. Bu sorunu çözmek için yöneticilerin, ayrıcalıklı erişime veya domain controller’lere sahip bilgisayarlarda yerel olarak oturum açabilen kullanıcıları kısıtlamaya yönelik önleyici tedbirler uygulaması gerekir. Bu, “Yerel olarak oturum açmaya izin ver” politikası aracılığıyla gerçekleştirilebilir. Bu politikayı etkinleştirmek için:
- Çalıştır iletişim kutusuna gpedit.msc yazarak grup ilkesine erişin.
- Navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
- Domain Controller’da oturum açmasına izin verilen belirli kullanıcıları veya grupları seçmek için “Yerel olarak oturum açmaya izin ver” seçeneğine çift tıklayın.(“Allow log on locally”)
Zayıf Parolalar: Ortamda erişim haklarına sahip olmayan saldırganlar, Dictionary attacks veya bruteforce yoluyla zayıf parolalardan yararlanarak AD hesaplarını tehlikeye atabilir. Kuruluşunuzun bu tür tehditlere karşı savunmasızlığını değerlendirmek çok önemlidir. DCSync saldırısı gibi özellikler içeren Mimikatz gibi araçlar, NTLM password hash or plaintext password gibi kimlik bilgilerini çıkararak önemli bir güvenlik riski oluşturabilir. Etkili önleme stratejileri ve Kerberos tabanlı saldırılara ilişkin farkındalık çok önemlidir.
DCSync Saldırılarına Karşı Güvenliği Artırma: DCSync saldırısı, bir saldırganın bir domain contoller’i taklit ederek bu denetleyici adına istekler almasına olanak tanır. DCSync saldırılarının önlenmesi, etki alanında çoğaltma izinlerine sahip hesapların tanımlanmasını içerir. Saldırganlar bu saldırıyı domain controller’e giriş yapmadan gerçekleştirebildikleri için, güçlü network monitoring çok önemli hale gelir. Bir DCSync saldırısının tespit edilmesi durumunda, gizliliği ihlal edilen hesabın derhal devre dışı bırakılması, ayrıcalık artışını önlemek ve saldırganın Grup İlkesi Nesneleri aracılığıyla ağ değişiklikleri yapma kapasitesini kısıtlamak açısından çok önemlidir.
İş İstasyonlarındaki Komut Dosyaları ve Uygulamalara İlişkin İzinler: Etki alanı istemcilerinin yetkisiz komut dosyalarını veya uygulamaları çalıştırmasına izin vermek, ağı potansiyel suistimallere açık hale getirir. Saldırganlar tüm ağı numaralandırabilir ve hedef sistemlerdeki güvenlik açıklarına dayalı olarak istismarlar gerçekleştirebilir. Kötü amaçlı yazılımlar genellikle komut istemlerini, PowerShell’i ve toplu iş dosyalarını kullanır. Komut dosyaları ve uygulamalar üzerinde kısıtlama politikaları uygulamak, AD sunucularını hedef alan çeşitli siber tehditlere karşı temel bir savunmadır.
Kurtarma Sonrası Eylem Tavsiyeleri:
Domain Controller’i kurtardıktan sonra, yetkisiz erişime izin veren güvenlik açıklarını belirlemek için kapsamlı bir olay müdahale planı geliştirmek zorunludur. İyileşme sonrasında gerçekleştirilecek temel eylemler şunlardır:
Politika kararları:
NIST gibi uluslararası çerçevelerle uyumlu ayrıntılı bir siber güvenlik planı oluşturun.
Gelecekteki saldırıları önlemek için bir felaket yönetimi politikası oluşturun.
Enfeksiyon vektörünü belirlemek ve temel nedeni belirlemek için altyapıda kapsamlı bir siber güvenlik denetimi gerçekleştirin.
Tüm sunuculardan, bilgisayarlardan ve ağ cihazlarından log kaydının tutulduğundan ve saygın bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümüne yönlendirildiğinden emin olun.
Domain Controller:
Saldırganlar tarafından kullanılan komuta ve kontrol (C2) etki alanlarını ve IP adreslerini engellemek için SIEM’e kalıcı olarak kurallar ekleyin.
Herkese açık açıklardan yararlanma yoluyla istismarı önlemek için tüm savunmasız sistemlere yama uygulayın.
Tüm domain controller’larda ve etki alanına katılan sistemlerde kapsamlı kötü amaçlı yazılım taramaları gerçekleştirin.
AES şifreleme ve kırmızı mimariye yönelik daha verimli destek gibi gelişmiş güvenlik özellikleri için işletim sistemini Windows Server’ın en son sürümüne yükseltin.
Domain Controller’deki dosya paylaşımlarını kaldırın.
Kötü amaçlı yazılımların yayılmasını önlemek için ana bilgisayarlarda çıkarılabilir medyanın kullanımını devre dışı bırakın.
Yedeklemeler:
Yedek domain controller’lerin yüksek kullanılabilirliğe sahip bir düzende olduğundan emin olun.
Otomatik yedekleme ve kurtarma mekanizmalarını uygulayın.
Bütünlüğü doğrulamak için güvenilir yedeklemeleri düzenli olarak doğrulayın.
BDT Karşılaştırmalarının Uygulanması:
Dış dünyaya açık kritik sistemler için gelişmiş güvenlik politikalarına olan ihtiyacın farkına varın.
Bilgisayar sistemlerinin güvenliğini sağlamak için İnternet Güvenliği Merkezi (CIS) kıyaslamalarını kullanın ve bunları işletim sistemine göre indirin.
CIS kıyaslamalarına göre kullanıcı ve sunucu düzeyinde gerekli yapılandırma değişikliklerini uygulayın.
Bu hardening önlemlerini kullanıcı/sunucu düzeyinde dağıtmadan önce kuruluşa özgü gereksinimleri göz önünde bulundurun.
Reference:
- https://powersploit.readthedocs.io/en/latest/#recon
- https://learn.microsoft.com/en-us/security/privileged-access-workstations/esae-retirement
- https://www.quest.com/community/blogs/b/microsoft-platform-management/posts/how-to-secure-active-directory-using-the-nist-cybersecurity-framework
- https://www.cisecurity.org/cis-benchmarks
- https://tools.thehacker.recipes/mimikatz/modules/lsadump/dcsync
- https://activedirectorypro.com/powershell-commands/