Soru Yerel hesaplar için neden ağ girişini devre dışı bırakmalısınız?


Bu soru @ SwiftOnSecurity'in Twitter iş parçacığına referanstır: https://twitter.com/SwiftOnSecurity/status/655208224572882944

İplikten okuduktan sonra, neden yerel hesaplar için ağ girişini devre dışı bırakmak istediğinizi anlamıyorum.

İşte düşündüğüm şey burada, lütfen yanlış olduğum yeri düzeltin:

DC ve birden fazla müşteri ile kurulmuş bir AD olduğumu varsayalım. Müşterilerden biri John. Bu yüzden sabahları John işe girer ve masaüstü bilgisayarına AD kimlik bilgileriyle girer. Öğlen saatlerinde John bir toplantı için dışarı çıkar ve bilgisayarını (Windows + L) kilitler. Daha sonra kişisel dizüstü bilgisayarını uzaktan kullanarak (RDP veya bir şey aracılığıyla) bilgisayarına tekrar PC'ye bağlanması gerekir. Ancak, bu yeni politikayı kullanarak bunu yapamaz.

Securitay'nin verdiği açıklama, şifrelerin tuzlanmadığıdır. Ancak, bu durumda bir saldırgan nasıl erişim kazanır? Şifre hangi uçta tuzlanmış değil? Yoksa aklımda sahip olduğum durum, söylemeye çalıştığı şeyle tamamen alakasız mı? Eğer durum buysa, aslında ne demeye çalışıyor?


8
2017-10-17 14:38


Menşei


Açıklanan sorunun ne olduğundan emin değilim, ancak senaryonuzda kullanılan hesapların hiçbiri yerel hesap değildir. Sağ? - Martijn Heemels
Hiçbir şey için değil, suç olmasın, ama neden yazının yazarına sormuyorsun? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant." - joeqwerty
@joeqwerty yazar meşgul ve sık cevap vermiyor. - tedder42
@joeqwerty 1989 turnesinde, bu yüzden oldukça meşgul ... - The Man
Yerel hesaplar için ağ girişini devre dışı bırakmak gerçekten gerekli midir? Uzak UAC tarafından varsayılan olarak devre dışı bırakılmıyor mu? - chris


Cevaplar:


Yerel hesaplar için ağ oturum açmaya izin vermek tehlikeli ve zayıf bir güvenlik uygulamasıdır. Yöneticiler grup üyeleri için, aslında onu ihmal olarak nitelendirirdim. Yanal harekete olanak tanır ve hesap oturumları merkezi olarak (etki alanı denetleyicilerinde) oturum açılmadığından algılanması ve denetlenmesi zordur.

Bu tehdidi azaltmak için Microsoft, "Bu bilgisayar ağa erişimi reddet" kullanıcı hakkına eklemek için iki yeni yerleşik güvenlik tanımlayıcısı oluşturdu:

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group  

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx 

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx 


10
2017-10-17 16:29



Cevap verdiğiniz için teşekkürler. O zaman doğru bir şekilde anlatayım: - The Man
RDP'nin etkin olduğu bir DC (SERVER1) olduğumu varsayalım. Kişisel dizüstü bilgisayarımda (AD alanına bağlı değil), aynı Yönetici kullanıcı adı ve şifrem var. Bu yüzden SERVER1'i yönetmek istediğimde, kişisel dizüstü bilgisayarımdan RDP aracılığıyla ona bağlanıyorum. Ancak bir gün kişisel dizüstü bilgisayarım çalındı ​​ve hırsız dizüstü bilgisayarıma yönetici izinleriyle erişebildi. Oradan o zaman yerel kullanıcının şifre karmasını görebilir ve sunucuya bağlanmak için aynı karmayı kullanabilir. Bu senaryo doğru mu? - The Man
Ancak (eğer bu senaryo doğruysa), bu daha fazla soru ortaya çıkardı. Farklı kullanıcılar için farklı şifreler kullansaydım hiç risk olmaz mıydı? Ayrıca, bu durumda ağ oturum açma etkin madde nasıl olacak? Saldırganın fiziksel erişime sahip olmadan erişip yapılandırmasını sağlaması mı? - The Man
Evet, ancak bir denetçinin bu risk için yeterli bir telafi edici kontrol olarak farklı şifreleri olduğunu kabul edeceğinden şüphe duyuyorum. Ağ oturum açma için yerel yönetici hesaplarına sahip olmak, saldırıya uğradığınızda savaş geminizi batırdığınız yanal hareket türüdür. Yerel yönetici hesapları yalnızca yerel erişim için olmalı ve ağ üzerinden asla olmamalıdır. - Greg Askew
Sadece birkaç şeyi açıklığa kavuşturmak için. Her ikisine de evet olarak, önerdiğim en yeni senaryoyu kastediyorsun, değil mi? Ayrıca, ağ oturum açmaları etkin olduğunda ne kadar kötü şeyler olur? Ağ oturumunu etkinleştirmenin saldırganların erişimine nasıl izin vereceğini hala göremediğim için bunu soruyorum. Ayrıca, ağ oturumunu devre dışı bırakırsam, sunucuya arayüz oluşturmanın / yapılandırmanın tek yolunun fiziksel erişimi var mı? - The Man


Hayır, örnek senaryonuz yanlış. Giriş yapmak için AD kimlik bilgilerini kullanıyorsa, her şey yolunda. Sorun yerel hesaplarla, yani, tek tek bilgisayarlarda oluşturulan ve yalnızca var olanlarla ilgilidir. Örneğin,. \ Administrator, ancak bu bilgisayarın etki alanındaki herhangi bir hesap için geçerlidir (COMPUTERNAME \ USERNAME). Güvenlik riski ", AIUI, yerel hesapların (örneğin yerel Yönetici) birden fazla makinede aynı parolayı paylaşması durumunda, şifre karmalarını bilgisayardan ayıklamak ve bazı durumlarda karmaları yeniden kullanmak (zararlı yazılım istilası olarak) veya diğer saldırganlar) bilgisayarlar arasında yana doğru hareket eder.


3
2017-10-21 02:29



Cevap verdiğin için teşekkürler. Ancak, güvenliğin nasıl ele geçirilebileceğine dair bir örnek senaryo verebilir misiniz? - The Man
Contoso sabit bir yerel yönetici şifresi kullanır. Contoso, yerel hesaplar için ağ girişini engellemez. Kullanıcı, yönetici haklarıyla çalıştığı noktaya kadar bir çeşit kötü amaçlı yazılım alır. Şifre karmalarını çıkarır. Yanılmıyorsam, bazı durumlarda kimlik doğrulama için karma kullanmanın yolları vardır. Ya da belki hashın çatlamak ya da bir gökkuşağı masasında ya da bir şeyde olması kolaydır. Kötü amaçlı yazılım daha sonra tüm makinelere bağlanır ve onlara yayılır. Sadece bu da değil, neler olduğunu anlamak zor, çünkü bu sadece DC'de veya herhangi bir merkezde kaydedilmiyor, sadece bireysel PC'lerde. - Micha