DCSync — это техника атаки в Active Directory, при которой злоумышленник имитирует контроллер домена и запрашивает у настоящих контроллеров данные учётных записей, включая хэши паролей. Это позволяет получить доступ к учетным данным без необходимости прямого взлома.

Как выявить DCSync:

Мониторинг событий безопасности Windows: события с ID 4662 и 4663, связанные с доступом к объектам учетных записей.
Анализ запросов к контроллерам домена, особенно если запросы исходят от неавторизованных или подозрительных аккаунтов.
Использование специализированных средств обнаружения атак на Active Directory, например, BloodHound или Defender for Identity.

Для защиты важно ограничить права на репликацию и мониторить подозрительную активность.

Что такое DCSync и как его выявить?