ローカルアカウントのネットワークログインを無効にする必要があるのはなぜですか？

この質問は、@ SwiftOnSecurityのTwitterスレッドに関連しています：https ://twitter.com/SwiftOnSecurity/status/655208224572882944

スレッドを読んでも、ローカルアカウントのネットワークログインを無効にする理由がわかりません。

だからここに私が考えていることがあります、私が間違っているところを修正してください：

DCと複数のクライアントでADをセットアップしているとしましょう。クライアントの1つはジョンです。したがって、朝、ジョンは仕事に取り掛かり、AD資格情報を使用してデスクトップPCにログインします。正午に、ジョンは会議に向かい、自分のコンピューター（Windows + L）を「ロック」します。次に、リモートで（RDPなどを使用して）個人用ラップトップを使用してオフィスのPCに接続する必要があります。しかし、この新しいポリシーを使用すると、彼はそうすることができなくなります。

Securitayの説明によると、パスワードはソルト化されていません。しかし、この場合、攻撃者はどのようにしてアクセスを取得するのですか？パスワードはどちらの側でソルトされていませんか？それとも彼女が言おうとしていることとはまったく無関係なのでしょうか。これが事実である場合、彼女は実際に何を言おうとしていますか？

— その男
ソース

説明されている問題が何であるかはわかりませんが、シナリオでは、使用されているアカウントはいずれもローカルアカウントではありません。正しい？

— Martijn Heemels

何のためにも、何の罪もないが、投稿の作者に尋ねてみませんか？"Someone on the internet said something. Let me ask someone else on the internet what the first person meant."

— joeqwerty

@joeqwerty作者は忙しく、頻繁に返信しません。

— tedder42 2015年

@joeqwerty 1989年のツアーに参加しているため、かなり忙しい...

— The Man

ローカルアカウントのネットワークログインを無効にする必要がありますか？既定では、リモートUACによって無効にされていませんか？

— chris

回答:

ローカルアカウントへのネットワークログオンを許可することは危険であり、セキュリティが不十分です。管理者グループのメンバーの場合、私は実際にそれを過失として特徴づけます。これは横方向の移動を可能にし、アカウントログオンが集中的に（ドメインコントローラーで）ログに記録されないため、検出と監査が困難になります。

この脅威を緩和するために、マイクロソフトは実際に「ネットワークからのこのコンピューターへのアクセスを拒否する」ユーザー権利に追加する2つの新しい組み込みセキュリティ識別子を作成しました。

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

— グレッグ・アスキュー
ソース

答えてくれてありがとう。だから私はそれを正しく理解しましょう：

— Man

RDPが有効になっているDC（SERVER1）があるとします。私の個人用ラップトップ（ADドメインに接続されていない）では、同じ管理者のユーザー名とパスワードを持っています。したがって、SERVER1を管理する場合は、個人のラップトップからRDPを介してSERVER1に接続します。しかし、ある日、私の個人用ラップトップが盗まれ、泥棒が管理者権限で私のラップトップにアクセスできました。そこから、ローカルユーザーのパスワードハッシュを確認し、同じハッシュを使用してサーバーに接続できます。このシナリオは正しいでしょうか？

— The Man

ただし（このシナリオが正しい場合）、これによりさらに多くの疑問が生じました。ユーザーごとに異なるパスワードを使用しただけでは、何のリスクもないのではないですか？また、この場合、ネットワークログオンを有効にすることはどのように重要ですか？それは、攻撃者が物理的なアクセスなしでアクセスを取得して構成できるからというだけですか？

— マン

両方ともそうですが、監査人がこのリスクに対する十分な代償制御として異なるパスワードを持つことを受け入れるとは思えません。ローカルアドミニストレーターアカウントでネットワークログオンを有効にすることは、攻撃されたときに戦艦を沈める一種の横方向の動きです。ローカル管理者アカウントは、ローカルアクセス専用であり、ネットワークを介したアクセスであってはなりません。

— Greg Askew、2015年

いくつかのことを明確にするために。どちらの場合も、私が提案した最新のシナリオが正しいということですか？また、ネットワークログオンが有効になっている場合、どの程度問題がありますか？ネットワークログオンを有効にすると攻撃者がどのようにアクセスできるようになるかまだわからないので、これを尋ねます。また、ネットワークログオンを無効にした場合、物理的なアクセスはサーバーとのインターフェイス/構成の唯一の方法ですか？

— 男

いいえ、シナリオ例は正しくありません。ログインにAD資格情報を使用している場合は、すべて問題ありません。問題はローカルアカウント、つまり個々のコンピューター上に作成され、そのコンピューター上にのみ存在するアカウントにあります。たとえば、。\ Administratorですが、これはコンピューターのドメイン（COMPUTERNAME \ USERNAME）のすべてのアカウントに適用されます。AIUIのセキュリティリスクは、ローカルアカウント（ローカル管理者など）が複数のマシン間で同じパスワードを共有している場合、コンピューターからパスワードハッシュを抽出し、場合によってはハッシュを再利用して（マルウェアの侵入として）です。または他の攻撃者）コンピュータ間を横方向に移動します。

— ミチャ
ソース

お返事ありがとうございます。しかし、セキュリティがどのように危険にさらされる可能性があるかについてのシナリオ例を挙げられますか？

— マン

Contosoは固定のローカル管理者パスワードを使用します。Contosoはローカルアカウントのネットワークログインを妨げません。ユーザーは何らかのマルウェアを取得し、管理者権限で実行されるようになります。パスワードハッシュを抽出します。私が間違っていない場合は、状況によっては認証にハッシュを使用する方法があります。または、ハッシュは簡単にクラックされたり、レインボーテーブルに置かれたりします。その後、マルウェアはすべてのマシンに接続し、それらに拡散します。それだけでなく、何が起こっているのかを見つけるのは困難です。これは、DCや中央のどこか、個々のPCだけで記録されていないためです。

— Micha