Co dalej po przejęciu konta domeny Windows?

14

Przygotowujemy się na scenariusz, w którym jedno z kont w domenie zostanie przejęte - co dalej?

Wyłączenie konta byłoby moją pierwszą odpowiedzią, ale kilka tygodni temu mieliśmy tu pentesterów, którzy mogli korzystać z zaszyfrowanych danych logowania administratora, który opuścił kilka miesięcy temu.

Nasze dwie dotychczasowe odpowiedzi to:

  1. Usuń konto i utwórz je ponownie (tworzy nowy SID, ale także więcej dramatu dla użytkownika i pracy dla nas)
  2. Zmień hasło co najmniej 3 razy i wyłącz konto

Jaka byłaby twoja metoda lub co byś polecił?

active-directory security JurajB
źródło
1
Jeśli to konto administratora zostało przejęte, przejdź do tworzenia kolejnych kont administratora do własnych celów. Jeśli jest to konto o niskim poziomie uprawnień (zwykły użytkownik), wykonaj skanowanie sieci i znajdź konto administratora, aby przejść na kompromis. Posiadanie zwykłego użytkownika dostaje nogę w drzwi, aby wykonywać bardziej „ukierunkowane” ataki.
blaughw,
4
Czy mówisz, że konto administratora, który opuścił kilka miesięcy temu, nie zostało wyłączone przy wyjeździe tej osoby? Chyba nie rozumiem, jak ten przykład mówi o skuteczności lub nieskuteczności wyłączania kont. Jaki jest powód zmiany hasła 3 razy, a nie raz?
Todd Wilcox,
@ToddWilcox konto zostało wyłączone w momencie, gdy osoba odeszła i grupy zostały usunięte (to standardowa praktyka, gdy ludzie odchodzą), ale twierdzili, że mogli uzyskać dostęp za jej pomocą.
JurajB,
Więc nie został poprawnie usunięty - chcesz, aby tokeny wygasły i dostęp do tego konta został usunięty we wszystkich systemach
Rory Alsop

Odpowiedzi:

8

Jeśli zagrożone jest tylko standardowe konto użytkownika, wystarczy raz zmienić hasło i pozostawić włączone konto. Hash nie będzie działał po zmianie hasła. To również nie będzie działać, jeśli konto zostanie wyłączone. Jako sam tester pióra zastanawiam się, czy testery pióra korzystały z biletów Kerberos. W pewnych okolicznościach mogą one działać dalej, jeśli hasło zostanie zmienione lub konto zostanie wyłączone LUB nawet usunięte (patrz linki do ograniczenia).

Jeśli konto administratora domeny zostało przejęte, oznacza to, że dosłownie koniec gry. Musisz przełączyć domenę w tryb offline i zmienić KAŻDE hasło. Również hasło do konta krbtgt musiałoby zostać dwukrotnie zmienione, w przeciwnym razie osoby atakujące nadal będą mogły wystawiać ważne bilety Kerberos z informacjami, które ukradły. Po wykonaniu wszystkich tych czynności możesz przywrócić domenę do trybu online.

Zaimplementuj zasady blokady konta, aby nie można było odgadnąć zmienionych haseł. Nie zmieniaj nazw swoich kont. Atakujący mogą łatwo znaleźć nazwy logowania.

Kolejnym ważnym punktem jest przeszkolenie użytkowników. Prawdopodobnie zrobili coś niemądrego, co oznaczało, że konto zostało przejęte. Atakujący może nawet nie znać hasła, może po prostu uruchamiać procesy jako to konto. Na przykład, jeśli otworzysz załącznik złośliwego oprogramowania, który daje atakującemu dostęp do twojego komputera, będzie on działał jako twoje konto. Nie znają twojego hasła. Nie mogą uzyskać skrótu hasła, chyba że jesteś administratorem. Nie pozwól użytkownikom działać jako lokalni administratorzy na swoich stacjach roboczych. Nie pozwól administratorom domeny logować się na stacjach roboczych z uprawnieniami administratora domeny - nigdy!

Linki do dalszych informacji / działań łagodzących:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
źródło
Co zrobić, jeśli pracujesz w środowisku stosunkowo liberalnym, takim jak środowisko akademickie? Być może masz do czynienia z użytkownikami, którzy mają staż pracy i nie chcą być „przeszkoleni”, a ponieważ mają staż pracy, nie możesz się ich pozbyć ani ograniczyć ich uprawnień.
Katherine Villyard,
3
Zawsze polecam najlepsze praktyki. Zawsze będą pewne typy organizacji, które nie będą w stanie go wdrożyć w 100%. Niektóre osoby uważają się za ponadprzeciętne, a niektóre organizacje postrzegają kadencję / ego jako ważniejsze niż uczciwe i jednolite stosowanie zasad / bezpieczeństwa. Ci ludzie i organizacje będą musieli wziąć odpowiedzialność za konsekwencje swoich działań. Miejmy nadzieję, że te organizacje akademickie nie zajmują się ważnymi badaniami, które byłyby przydatne dla zagranicznych interesów .....
bao7uo,
1
Zrobiłem kilka kursów MVA na temat złotego biletu i piątego ograniczenia, ale zrozumiałem, że pamięta 2 hasła, dlatego musisz je zmienić co najmniej dwa razy, a nie tylko raz. Nawet skrypt krbtgt robi to dwukrotnie.
JurajB,
1
nie można edytować powyższego, więc dodając: Nawet skrypt krbtgt robi to dwukrotnie. Czy nie najlepszym wyborem (dla konta użytkownika) byłaby zmiana hasła dwa razy, a następnie wyłączenie konta?
JurajB,
2
You need to bring your domain offline. Może to działać w małym biurze, ale jest mało prawdopodobne, że duża firma może po prostu przenieść swoją domenę / las offline.
Greg Askew,
12

mogli użyć zaszyfrowanych danych logowania administratora, który opuścił kilka miesięcy temu.

Skradzione skróty referencji nie działają dla kont, które są wyłączone, chyba że znajdują się na komputerze, który nie jest podłączony do sieci. Proces nadal wymaga żądania biletu lub uwierzytelnienia za pomocą kontrolera domeny. Nie można tego zrobić, jeśli konto jest wyłączone.

Musisz wyłączyć konta administracyjne dla byłych pracowników, którzy odchodzą.

Greg Askew
źródło
W jaki sposób skradzione skróty referencji pomagają napastnikowi? Jeśli nie mają rzeczywistego hasła, nie ma możliwości odzyskania hasła z skrótu (oprócz uzyskiwania małych haseł przy użyciu tęczowych tabel), prawda? Nie jestem pewien, czego tu brakuje.
Chirag Bhatia - chirag64,
1
@ ChiragBhatia-chirag64 Zakładasz, że schematy uwierzytelniania są odporne na odtwarzanie. Mogą nie być, w takim przypadku skróty są wszystkim, czego potrzebujesz do uwierzytelnienia.
Jonas Schäfer,
Czy możesz podać przykład, w którym schemat uwierzytelniania systemu Windows używa rzeczywistego skrótu zamiast hasła tekstowego? Przepraszam, jeśli to brzmi jak głupie pytanie, nigdy wcześniej nie widziałem takiej implementacji (a może źle zrozumiałem mechanizm uwierzytelniania systemu Windows)
Chirag Bhatia - chirag64
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
Greg Askew
@GregAskew dzięki, nie miałem pojęcia, że ​​to jest coś w uwierzytelnianiu systemu Windows. Zaskakujące, że nie używają czegoś takiego jak SSL do wysyłania hasła. Wydaje mi się to wielkim problemem bezpieczeństwa.
Chirag Bhatia - chirag64,
3

Zakładając standardowe konto użytkownika, możesz rozważyć:

  1. Zmień hasło.
  2. Wyłącz konto.
  3. Zmień nazwę konta (podejrzany o nazwę użytkownika) i utwórz nowe konto dla użytkownika, którego dotyczy problem.
  4. Dodaj podejrzane konto do grupy zabezpieczeń „Użytkownicy niepełnosprawni / poszkodowani”.

W przypadku # 4 już istnieją zasady grupy, które wykonują następujące czynności:

  • Odmów dostępu do tego komputera z sieci: „Użytkownicy niepełnosprawni / naruszeni”
  • Odmów zalogowania za pośrednictwem usług pulpitu zdalnego: „Użytkownicy niepełnosprawni / naruszeni”
  • Odmów zalogowania lokalnego: „Użytkownicy niepełnosprawni / naruszeni”

W przypadku konta administratora domeny cała sieć toast.

Katherine Villyard
źródło
dlaczego sugerujesz zmianę hasła więcej niż raz?
bao7uo,
jeśli konto administratora domeny zostało przejęte, oznacza to, że każde konto użytkownika zostało przejęte. czy chciałbyś, żeby zmieniali nazwy wszystkich kont użytkowników?
bao7uo
1
@PHPaul: W zależności od wtargnięcia, jeśli konto jest nadal w użyciu, zmiana nazwy może być prawidłową taktyką. I oczywiście nie zaleca się zmiany nazwy każdego konta.
Greg Askew,