Windowsドメインアカウントが侵害された後、次に何をしますか?

14

ドメイン内のアカウントの1つが危険にさらされた場合のシナリオを準備しています。

アカウントを無効にすることは私の最初の回答になりますが、数週間前にここにペンテスターがいて、数か月前に去った管理者ユーザーのハッシュ化されたログインを使用できました。

これまでの2つの答えは次のとおりです。

  1. アカウントを削除して再作成します(新しいSIDを作成しますが、ユーザーのドラマも作成します)
  2. パスワードを少なくとも3回変更し、アカウントを無効にします

あなたの方法は何ですか、または何をお勧めしますか?

active-directory  security 
JurajB
ソース
1
侵害された管理者アカウントの場合は、独自の目的でさらに管理者アカウントを作成してください。低いpriv(通常のユーザー)アカウントの場合、ネットワークスキャンを実行し、管理者アカウントを見つけて妥協します。通常のユーザーを所有することで、より多くの「標的を絞った」攻撃を実行できるようになります。
blaughw
4
数か月前に去った管理者ユーザーのアカウントは、その人の出発時に無効にされていなかったと言っていますか?この例が、アカウントを無効にすることの有効性または無効性をどのように説明しているかはわかりません。パスワードを1回ではなく3回変更する理由は何ですか?
トッドウィルコックス
@ToddWilcoxは、人が去りグループが削除されたときにアカウントが無効化された(人々が去るときの標準的な慣行)が、彼らはそれを使用してアクセスできると主張した。
JurajB 16
それは正しく削除されなかったので-あなたが望むトークンの有効期限が切れとされるすべてのシステムで削除、そのアカウントのアクセス
ロリー・オールソップ

回答:

8

標準のユーザーアカウントのみが危険にさらされている場合は、パスワードを1回変更し、アカウントを有効にしておくことで問題ありません。パスワードが変更されると、ハッシュは機能しません。アカウントが無効になっている場合も機能しません。私自身、ペンテスターとして、ペンテスターがKerberosチケットを使用していたのだろうかと思います。特定の状況では、パスワードが変更された場合、またはアカウントが無効になっている場合や削除されている場合でも、これらは機能し続けます(軽減策のリンクを参照)。

ドメイン管理者アカウントが侵害された場合、文字通りゲームオーバーです。ドメインをオフラインにし、すべてのパスワードを変更する必要があります。また、krbtgtアカウントのパスワードを2回変更する必要があります。そうしないと、攻撃者は盗んだ情報で有効なKerberosチケットを発行できます。それがすべて完了したら、ドメインをオンラインに戻すことができます。

変更されたパスワードが推測されないように、アカウントロックアウトポリシーを実装します。アカウントの名前を変更しないでください。攻撃者はログイン名を簡単に見つけることができます。

もう1つの重要なポイントは、ユーザーをトレーニングすることです。彼らはおそらく、アカウントが危険にさらされることを意味する賢明でない何かをした。攻撃者はパスワードを知らないこともあり、そのアカウントとしてプロセスを実行しているだけかもしれません。たとえば、攻撃者にマシンへのアクセスを許可するマルウェアの添付ファイルを開くと、それらはアカウントとして実行されます。彼らはあなたのパスワードを知りません。あなたが管理者でない限り、彼らはあなたのパスワードハッシュを取得できません。ユーザーがワークステーションでローカル管理者として実行できないようにします。ドメイン管理者にドメイン管理者権限でワークステーションにログインさせないでください。

詳細情報/緩和策へのリンク:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
ソース
アカデミアのような比較的寛容な環境で働いている場合はどうでしょうか?在職期間があり、「トレーニング」を受けたくないユーザーに対処する場合があります。また、在職期間があるため、それらを削除したり、権限を減らしたりすることはできません。
キャサリンビリヤード16
3
ベストプラクティスを常にお勧めします。常にそれを100%実装できない組織が存在します。一部の人々は自分自身を法律より上であると見なします。これらの人々と組織は、彼らの行動の結果に対して責任を負わなければなりません。.....のは、これらの学術団体が外国の利益に価値があるであろう重要な研究の後に見ていない期待しましょう
bao7uo
1
ゴールデンチケットとpthの軽減に関するいくつかのMVAコースを実施しましたが、私の理解では2つのパスワードを記憶しているため、1回だけでなく少なくとも2回変更する必要があります。krbtgtのスクリプトでも2回実行されます。
JurajB 16
1
上記を編集できないため、追加:krbtgtのスクリプトでさえ2回行います。(ユーザーアカウントの場合)最良の選択は、パスワードを2回変更してからアカウントを無効にすることではないでしょうか?
JurajB 16
2
You need to bring your domain offline。これは小規模なオフィスでは有効かもしれませんが、大企業がドメイン/フォレストをオフラインにできるとは考えられません。
グレッグアスキュー
12

数か月前に去った管理者ユーザーのハッシュ化されたログインを使用することができました。

盗まれた資格情報のハッシュは、ネットワークに接続されていないコンピューター上にない限り、無効になっているアカウントでは機能しません。プロセスは引き続きチケットを要求するか、ドメインコントローラーで認証する必要があります。アカウントが無効になっている場合、それはできません。

元従業員が退職するときは、管理アカウントを無効にする必要があります。

グレッグ・アスキュー
ソース
盗まれたクレデンシャルハッシュは攻撃者をどのように助けますか?実際のパスワードを持っていない場合、ハッシュからパスワードを取得する方法はありません(レインボーテーブルを使用して小さなパスワードを取得する場合を除く)、正しいですか?ここで何が欠けているのかわかりません。
チラグバティア-chirag64
1
@ ChiragBhatia-chirag64認証スキームはリプレイ耐性があると想定しています。そうではない場合があります。その場合、認証に必要なのはハッシュだけです。
ジョナスシェーファー
Windows認証スキームがテキストパスワードの代わりに実際のハッシュを使用する例を挙げていただけますか?申し訳ありませんが愚かな質問のように、この音が、私は前にこのような実装を見たことがない場合(または多分私誤解Windows認証メカニズム)
チラグバティア- chirag64
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
グレッグ・アスキュー
@GregAskewありがとう、これがWindows認証の問題だとは思いもしませんでした。驚くべきことに、彼らは代わりにSSLのようなものを使用してパスワードを送信しない。これは私にとって大きなセキュリティ問題のようです。
チラグバティア-chirag64
3

標準ユーザーアカウントを想定して、次のことを検討してください。

  1. パスワードを変更します。
  2. アカウントを無効にします。
  3. アカウント(username-suspect)の名前を変更し、影響を受けるユーザーの新しいアカウントを作成します。
  4. 疑わしいアカウントを「無効/侵害されたユーザー」セキュリティグループに追加します。

#4については、次のことを実行するグ​​ループポリシーを既に用意しています。

  • ネットワークからこのコンピューターへのアクセスを拒否する:「無効または侵害されたユーザー」
  • リモートデスクトップサービスを介したログオンの拒否:「無効/侵害されたユーザー」
  • ローカルでのログオンを拒否する:「無効/侵害されたユーザー」

ドメイン管理者アカウントの場合、ネットワーク全体が乾杯です。

キャサリン・ビリヤード
ソース
なぜパスワードを複数回変更することを提案するのですか?
bao7uo 16
ドメイン管理者アカウントが侵害された場合、すべてのユーザーアカウントが侵害されたことを意味します。すべてのユーザーアカウントの名前を変更しますか?
bao7uo 16
1
@PHPaul:侵入によっては、アカウントがまだ使用中の場合、名前の変更が有効な戦術になる場合があります。そしてもちろん、彼らはすべてのアカウントの名前を変更することを推奨していません。
グレッグアスキュー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.