我们管理他们完全基于Windows的基础设施,大约700台桌面/ 80台服务器/ 10台域控制器.
他们建议我们迁移到一个系统,我们有三个独立的帐户:
DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC
>如果WS是仅登录到WorkStations的帐户,则是WorkStations上的本地管理员
>如果SRV是仅登录到非DC服务器的帐户,则是服务器上的本地管理员
>其中DC是仅登录到域控制器的帐户,实际上是域管理员帐户
然后制定策略以防止从错误的帐户登录到错误类型的系统(包括删除非DC计算机上的域管理员帐户的交互式登录)
这是为了防止受损工作站暴露域管理员登录令牌并对域控制器重新使用它的情况.
这似乎不仅是我们日常运营的一个非常具有侵入性的政策,而且还有相当多的工作,以解决相对不太可能的攻击/利用(这是我的理解,或许我误解了这个漏洞利用的可行性) .
我有兴趣听取其他管理员的意见,特别是那些参与PCI注册公司并且您有类似建议的人.您有关管理员登录的政策是什么?
为了记录,我们目前拥有一个我们正常使用的域用户帐户,以及我们在需要其他权限时提升的域管理员帐户.老实说,我们都有点懒,经常只使用Domain Admin帐户进行日常操作,虽然这在技术上违反了我们公司的政策(我相信你明白了!).
解决方法
审计人员实际上试图描述一个非常现实的问题,但做了一个非常糟糕的工作来解释影响和需求分析.
现在通过使用密码哈希或现有令牌来破坏系统更有效.说白了,攻击者不再需要您的用户名和密码.现在有更简单的方法来攻击系统.在任何情况下,您都不应该假设或得出此类攻击的可能性.哈希攻击现在是事实上的攻击向量.
智能卡帐户的哈希攻击实际上更糟糕,这是具有讽刺意味的,因为大多数人都希望实施智能卡可以提高系统的安全性.
如果由于传递散列攻击而导致帐户遭到入侵,通常的响应是更改帐户的密码.这会更改用于进行身份验证的哈希值.此外,正常的密码到期/更改可能会导致入侵,因为攻击者的哈希将开始失败.但是,使用智能卡时,密码是“系统管理的”(用户永远不会输入密码进行身份验证),因此哈希不会更改.这意味着使用智能卡帐户,入侵可能会比使用密码的帐户更长时间被忽视.
以下是我会考虑的缓解措施:
>对于许多大公司使用的智能卡帐户
高权限帐户,更改帐户的密码
频繁间隔.这会改变哈希值.你也可以改变
通过启用帐户的非智能卡进行哈希,然后重新启用智能卡
它.微软每24小时就会这样做,但你需要评估一下
这可能会对您的环境造成潜在影响,并建立一个
理智的日程安排,以便您不会产生其他问题.
>对于工作站,我根本不会将域帐户用于管理目的,如果
可能.我们有一个本地帐户,可用于提升UAC
类型操作.这满足了大多数海拔的99.9%
要求.工作站往往是热攻击向量,因为
缺乏规则的变更控制,以及Java JRE和Flash的存在.
这种方法适用于我们
我们有一个正式的机制来管理和执行密码
对于本地帐户,密码在每个帐户上都是唯一的
系统,并且存在某人请求的安全方法
密码.还有一些商业应用程序可以执行
这个功能.
>如果您无法为工作站提供本地帐户解决方案,那么是,a
应使用单独的域帐户进行管理访问
工作站,该帐户不应用于管理
访问服务器.另一种选择可能是使用远程,非交互式支持
使用LocalSystem执行活动的管理工具,以及
与Windows分开的身份验证机制.
>对于最高特权帐户(Enterprise Admin,Domain Admin,
等),只使用跳转服务器.这个服务器将是
受限于最严格的安全性,变更控制权和
审计.对于所有其他类型的管理类型函数,
考虑拥有一个单独的管理帐户.跳转服务器
应该重新启动每天重新启动以清除LSA进程中的进程令牌.
>不要从工作站执行管理任务.使用强化服务器或跳转服务器.
>考虑使用轻松重置VM作为跳转框,可以
每次会话后重置以清除内存.
进一步阅读:
Microsoft安全情报报告,第13卷,2012年1月至6月
http://www.microsoft.com/security/sir/archive/default.aspx
阅读以下部分:“防御传递哈希攻击”.
击败可怕的传递哈希攻击
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753