Що далі після злому облікового запису домену Windows?

Ми готуємося до сценарію, коли один із облікових записів у домені стає порушеним - що робити далі?

Деактивація облікового запису була б моїм першим відгуком, але кілька тижнів тому тут були пенітери, і вони мали змогу використовувати хешовані входи користувача адміністратора, який залишив пару місяців тому.

Наші два відповіді поки що:

Видаліть обліковий запис і відтворіть його (створює новий SID, а також більше драматизму для користувача та працює для нас)
Змініть пароль принаймні 3 рази та вимкніть обліковий запис

Яким би був ваш метод, або що б ви порадили?

active-directory security

— ЮрайБ
джерело

Якщо це компрометований обліковий запис адміністратора, то створіть більше облікових записів адміністратора для власних цілей. Якщо це обліковий запис з низьким рівнем приватного доступу (звичайний користувач), виконайте сканування мережі та перейдіть на пошук облікового запису адміністратора, щоб піти на компроміс. Володіння звичайним користувачем отримує вашу ногу у двері, щоб здійснити більш "націлені" атаки.

— доля

Ви хочете сказати, що обліковий запис користувача адміністратора, який виїхав пару місяців тому, не був відключений під час виїзду цієї особи? Я думаю, я не бачу, як цей приклад говорить про ефективність чи неефективність відключення облікових записів. Яке обґрунтування зміни пароля в 3 рази, а не один раз?

— Тодд Вілкокс

@ToddWilcox обліковий запис було вимкнено право, коли людина виїжджає та групи видаляються (це звичайна практика, коли люди виїжджають), але вони заявляли, що змогли отримати доступ, використовуючи її.

— JurajB

Тож він не був видалений правильно - ви хочете, щоб термін дії терміналів закінчився, а доступ до цього облікового запису видалений у всіх системах

— Rory Alsop

Відповіді:

Якщо порушено лише стандартний обліковий запис користувача, то змінити пароль один раз та залишити обліковий запис увімкненим має бути добре. Після зміни пароля хеш не працюватиме. Він також не працюватиме, якщо обліковий запис вимкнено. Як сам тестувач з ручками, мені цікаво, чи використовували квитки-тестери на Керберос. За певних обставин вони можуть працювати, якщо пароль змінено або якщо обліковий запис вимкнено АБО навіть видалено (див. Посилання для пом'якшення).

Якщо обліковий запис адміністратора домену був порушений, це буквально закінчилося грою. Потрібно вивести свій домен в автономний режим і змінити КОЖЕН пароль. Також пароль облікового запису krbtgt потрібно було б змінити двічі, інакше зловмисники все одно зможуть видати дійсні квитки Kerberos з викраденою інформацією. Виконавши все це, ви зможете повернути свій домен в Інтернет.

Реалізуйте політику блокування облікового запису, щоб змінити паролі не вдалося здогадатися. Не перейменуйте свої акаунти. Зловмисники можуть легко дізнатись імена для входу.

Ще один важливий момент - це підготовка користувачів. Вони, ймовірно, зробили щось нерозумне, що означало, що обліковий запис постає під загрозу. Зловмисник може навіть не знати пароля, він може просто виконувати процеси як цей рахунок. Наприклад, якщо ви відкриєте вкладення зловмисного програмного забезпечення, яке надає зловмиснику доступ до вашої машини, вони працюватимуть як ваш обліковий запис. Вони не знають вашого пароля. Вони не можуть отримати хеш вашого пароля, якщо ви не адміністратор. Не дозволяйте користувачам працювати на своїх робочих станціях як місцеві адміністратори. Не дозволяйте адміністраторам домену входити на робочі станції з правами адміністратора домену - ніколи!

Посилання для отримання додаткової інформації / пом'якшення наслідків:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

— bao7uo
джерело

Що робити, якщо ви працюєте у відносно вседозволеному середовищі, як академія? Ви можете мати справу з користувачами, які мають власність на посаду та не бажають пройти навчання, а тому, що вони мають власність, ви не можете позбутися від них або зменшити їхні пільги.

— Кетрін Вільярд

Я завжди рекомендую найкращу практику. Завжди знайдуться такі типи організацій, які не зможуть її виконати на 100%. Деякі люди вважають себе вище закону, а деякі організації вважають, що влада / его є важливішими, ніж справедливе та рівномірне застосування політики / безпеки. Цим людям та організаціям доведеться брати на себе відповідальність за наслідки своїх дій. Будемо сподіватися, що ці академічні організації не доглядають важливих досліджень, які були б

— корисні

Я провів декілька курсів MVA щодо золотого квитка та зменшення розміру, але я розумів, що він запам'ятовує 2 паролі, отже, вам потрібно змінити його принаймні двічі, а не один раз. Навіть сценарій для krbtgt робить це двічі.

— JurajB

не може редагувати вище, тому додаючи: Навіть сценарій для krbtgt робить це двічі. Хіба не найкращим вибором (для облікового запису користувача) буде два рази змінити пароль, а потім вимкнути його?

— JurajB

You need to bring your domain offline. Це може працювати для невеликого офісу, але навряд чи велика компанія може просто перенести свій домен / ліс в офлайн.

— Грег Аскеу

вони змогли використовувати хешовані логіни користувача адміністратора, який виїхав пару місяців тому.

Викрадені хеші облікових даних не працюють для облікових записів, які вимкнено, якщо це не на комп'ютері, який не підключений до мережі. Процес все ще потребує запиту квитка або автентифікації з контролером домену. Не можна цього робити, якщо обліковий запис вимкнено.

Потрібно вимкнути адміністративні рахунки для колишніх працівників, коли вони виїжджають.

— Грег Аскеу
джерело

Як викрадені хеши даних довіри допомагають зловмисникові? Якщо у них немає фактичного пароля, немає способу повернути пароль з хешу (крім отримання невеликих паролів за допомогою веселкових таблиць), правильно? Не впевнений, чого мені тут не вистачає.

— Chirag Bhatia - chirag64

@ ChiragBhatia-chirag64 Ви припускаєте, що схеми аутентифікації стійкі до відтворення. Їх може не бути, і в цьому випадку хеши - це все, що потрібно для автентифікації.

— Йонас Шефер

Чи можете ви навести приклад, коли схема аутентифікації Windows використовує фактичний хеш замість текстового пароля? Вибачте , якщо це звучить як дурне питання, я ніколи не бачив таку реалізацію , перш ніж (або , може бути , я неправильно зрозуміти механізм перевірки автентичності Windows)

— Чираг Bhatia - chirag64

@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash

— Грег

@GregAskew спасибі, я не мав уявлення, що це річ в аутентифікації Windows. Дивно, що вони не використовують щось на зразок SSL, щоб надіслати пароль. Мені це здається величезним питанням безпеки.

— Chirag Bhatia - chirag64

Припускаючи стандартний обліковий запис користувача, ви можете врахувати:

Змініть пароль.
Вимкнути обліковий запис.
Перейменуйте обліковий запис (ім’я користувача-підозрюваного) та створіть новий обліковий запис для постраждалого користувача.
Додайте обліковий запис підозрюваного до групи безпеки "Інваліди / компрометовані користувачі".

Для №4 вже є групова політика, яка виконує такі дії:

Заборонити доступ до цього комп’ютера з мережі: "Інваліди / компрометовані користувачі"
Заборонити входити через послуги віддаленого робочого столу: "Інваліди / компрометовані користувачі"
Заборонити ввійти в локальний режим: "Інваліди / компрометовані користувачі"

Що стосується облікового запису адміністратора домену, тотальна мережа має тост

— Кетрін Вільярд
джерело

чому ви пропонуєте змінити пароль не один раз?

— bao7uo

якщо обліковий запис адміністратора домену був порушений, це означає, що кожен обліковий запис користувача порушено. чи хотіли б вони перейменувати кожен обліковий запис користувача?

— bao7uo

@PHPaul: Залежно від вторгнення, якщо обліковий запис все ще використовується, перейменування може бути дійсною тактикою. І звичайно, вони не рекомендують перейменувати кожен обліковий запис.

— Грег Аскеу