Bir Windows etki alanı hesabının güvenliği ihlal edildikten sonra ne olacak?

Bir alan adındaki hesaplardan birinin güvenliği ihlal edildiğinde bir senaryoya hazırlanıyoruz - bundan sonra ne yapmalı?

Hesabı devre dışı bırakmak ilk yanıtım olacak, ancak birkaç hafta önce burada pentesterlerimiz vardı ve birkaç ay önce ayrılan bir yönetici kullanıcının karma girişlerini kullanabildiler.

Şimdiye kadar iki cevabımız:

Hesabı silin ve yeniden oluşturun (yeni SID değil aynı zamanda kullanıcı için daha fazla dram oluşturur ve bizim için çalışır)
Parolayı en az 3 kez değiştirin ve hesabı devre dışı bırakın

Metodunuz ne olurdu, ya da ne önerirsiniz?

active-directory security

— JurajB
kaynak

Güvenliği ihlal edilmiş bir yönetici hesabı ise, kendi amacınız için daha fazla yönetici hesabı oluşturmaya devam edin. Düşük özelliğe sahip (normal kullanıcı) bir hesapsa, ağ taramaları yapın ve uzlaşmaya gidecek bir Yönetici hesabı bulun. Düzenli bir kullanıcıya sahip olmak, daha "hedefli" saldırılar gerçekleştirmek için ayağınızı kapıya getirir.

— blaughw

Birkaç ay önce ayrılan yönetici kullanıcısının hesabının o kişinin ayrılmasında devre dışı bırakılmadığını mı söylüyorsunuz? Sanırım bu örneğin hesapları devre dışı bırakmanın etkinliği veya etkisizliği hakkında nasıl konuştuğunu görmüyorum. Parolayı bir kez değil 3 kez değiştirmenin mantığı nedir?

— Todd Wilcox

@ToddWilcox, kişi ayrıldıktan ve gruplar kaldırıldığında hemen devre dışı bırakıldı (bu, insanlar ayrıldığında standart bir uygulamadır), ancak bunu kullanarak erişim sağlayabileceklerini iddia ettiler.

— JurajB

Bu yüzden doğru şekilde kaldırılmadı - jetonların süresinin dolmasını ve bu hesaba erişimin tüm sistemlerde kaldırılmasını istiyorsunuz

— Rory Alsop

Yanıtlar:

Yalnızca standart bir kullanıcı hesabının güvenliği ihlal edilmişse, parolayı bir kez değiştirip hesabı etkin bırakmanız iyi olur. Parola değiştikten sonra karma çalışmaz. Hesap devre dışı bırakıldığında da çalışmaz. Kendimi bir kalem test cihazı olarak, kalem test cihazlarının Kerberos biletleri kullanıp kullanmadığını merak ediyorum. Belirli koşullar altında, bunlar bir parola değiştirilirse veya bir hesap devre dışı bırakılırsa VEYA silinmişse bile çalışmaya devam edebilir (azaltma bağlantılarına bakın).

Bir etki alanı yöneticisi hesabının güvenliği ihlal edilmişse, kelimenin tam anlamıyla oyun biter. Alan adınızı çevrimdışı duruma getirmeniz ve HER şifreyi değiştirmeniz gerekir. Ayrıca krbtgt hesabı şifresinin iki kez değiştirilmesi gerekir, aksi takdirde saldırganlar çalınan bilgilerle geçerli Kerberos biletleri düzenleyebilirler. Tüm bunları yaptıktan sonra alan adınızı tekrar çevrimiçi hale getirebilirsiniz.

Değiştirilen şifrelerin tahmin edilememesi için bir hesap kilitleme politikası uygulayın. Hesaplarınızı yeniden adlandırmayın. Saldırganlar kolayca giriş adlarını bulabilir.

Bir başka önemli nokta da kullanıcılarınızı eğitmektir. Muhtemelen hesabın tehlikeye atılması anlamına gelen akılsız bir şey yaptılar. Saldırgan şifreyi bile bilmiyor olabilir, sadece bu hesap gibi işlemler yapıyor olabilir. Örneğin, bir saldırganın makinenize erişmesine izin veren kötü amaçlı bir ek açarsanız, bunlar hesabınız olarak çalışır. Parolanızı bilmiyorlar. Yönetici değilseniz, parola karmasını alamazlar. Kullanıcıların iş istasyonlarında yerel yönetici olarak çalışmasına izin vermeyin. Alan adı yöneticilerinin, alan adı yöneticisi haklarına sahip iş istasyonlarına giriş yapmasına izin vermeyin!

Daha fazla bilgi / etki azaltma için bağlantılar:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

— bao7uo
kaynak

Akademi gibi nispeten izin verilen bir ortamda çalışıyorsanız? Görev süresi olan ve "eğitilmiş" olmak istemeyen kullanıcılarla ilgileniyor olabilirsiniz ve görev süreleri olduğundan bunlardan kurtulmanıza veya ayrıcalıklarını azaltmanıza izin verilmez.

— Katherine Villyard

Her zaman en iyi uygulamayı öneririm. Her zaman onu uygulayamayan bazı organizasyonlar olacaktır% 100 Bazı insanlar kendilerini yasaların üstünde görmektedir ve bazı kuruluşlar görev / egoları politikaları / güvenliği adil ve tekdüze bir şekilde uygulamaktan daha önemli görmektedir. Bu insanlar ve kuruluşlar eylemlerinin sonuçları için sorumluluk almak zorunda kalacaklar. Umarım bu akademik kuruluşlar, yabancı çıkarlar için değerli olacak önemli araştırmalara

— bakmazlar

Altın bilet ve pth hafifletme üzerine birkaç MVA kursu yaptım, ancak anlayışım 2 şifreyi hatırladığıydı, bu yüzden sadece bir kez değil, en az iki kez değiştirmeniz gerekiyor. Krbtgt için komut dosyası bile iki kez yapar.

— JurajB

yukarıdan düzenleyemezsiniz bu yüzden ekleyerek: krbtgt için komut dosyası bile iki kez yapar. Bu durumda en iyi seçenek (kullanıcı hesabı için) şifreyi iki kez değiştirmek ve ardından hesabı devre dışı bırakmak olmaz mı?

— JurajB

You need to bring your domain offline. Bu küçük bir ofis için işe yarayabilir, ancak büyük bir şirketin etki alanlarını / ormanlarını çevrimdışı duruma getirmesi pek olası değildir.

— Greg Askew

birkaç ay önce ayrılan bir yönetici kullanıcının karma girişlerini kullanabildiler.

Çalınan kimlik bilgileri karmaları, ağa bağlı olmayan bir bilgisayarda olmadığı sürece devre dışı bırakılan hesaplar için çalışmaz. İşlemin yine de bir bilet istemesi veya bir etki alanı denetleyicisiyle kimlik doğrulaması yapması gerekir. Hesap devre dışı bırakılmışsa bunu yapamazsınız.

Eski çalışanlar için ayrıldıklarında yönetici hesaplarını devre dışı bırakmanız gerekir.

— Greg Askew
kaynak

Çalınan kimlik karmaları saldırgana nasıl yardımcı olur? Gerçek parolaları yoksa, parolayı karmadan geri almanın bir yolu yoktur (gökkuşağı tablolarını kullanarak küçük parolalar almak dışında), değil mi? Burada neyi özlediğimden emin değilim.

— Chirag Bhatia - chirag64

@ ChiragBhatia-chirag64 Kimlik doğrulama düzenlerinin yeniden yürütmeye dirençli olduğunu varsayıyorsunuz. Bunlar olmayabilir, bu durumda karmaları doğrulamak için ihtiyacınız olan tek şeydir.

— Jonas Schäfer

Windows kimlik doğrulama şemasının metin parolası yerine gerçek karmayı kullandığı bir örnek verebilir misiniz? Üzgünüm, bu aptalca bir soru gibi geliyorsa, daha önce hiç böyle bir uygulama görmedim (ya da belki Windows kimlik doğrulama mekanizmasını yanlış anladım)

— Chirag Bhatia - chirag64

@ ChiragBhatia-chirag64 tr.m.wikipedia.org/wiki/Pass_the_hash

— Greg Askew

@GregAskew teşekkürler, bunun Windows kimlik doğrulamasında bir şey olduğu hakkında hiçbir fikrim yoktu. Bunun yerine şifreyi göndermek için SSL gibi bir şey kullanmamaları şaşırtıcıdır. Bu benim için büyük bir güvenlik sorunu gibi görünüyor.

— Chirag Bhatia - chirag64

Standart bir kullanıcı hesabı varsayarsak, aşağıdakileri dikkate almak isteyebilirsiniz:

Şifreyi değiştir.
Hesabı devre dışı bırakın.
Hesabı yeniden adlandırın (kullanıcı adı-şüpheli) ve etkilenen kullanıcı için yeni bir hesap oluşturun.
Şüpheli hesabı "Devre dışı / Güvenliği ihlal edilen kullanıcılar" güvenlik grubuna ekleyin.

# 4 için, aşağıdakileri yapan bir grup ilkesi zaten var:

Bu bilgisayara ağdan erişimi engelleyin: "Devre dışı / Güvenliği ihlal edilen kullanıcılar"
Uzak Masaüstü Hizmetleri üzerinden oturum açmayı reddet: "Devre dışı / Güvenliği ihlal edilen kullanıcılar"
Yerel olarak oturum açmayı reddet: "Devre dışı / Güvenliği ihlal edilen kullanıcılar"

Alan adı yöneticisi hesabı için tüm ağınız tost'tur.

— Katherine Villyard
kaynak

neden şifreyi bir kereden fazla değiştirmeyi öneriyorsun?

— bao7uo

bir etki alanı yönetici hesabının güvenliği ihlal edilmişse, bu her kullanıcı hesabının güvenliğinin ihlal edildiği anlamına gelir. her kullanıcı hesabını yeniden adlandırır mıydınız?

— bao7uo

@PHPaul: İstilaya bağlı olarak, bir hesap hala kullanılıyorsa, yeniden adlandırma geçerli bir taktik olabilir. Ve elbette her hesabı yeniden adlandırmayı önermiyorlar.

— Greg Askew