域管理員帳戶策略(PCI 審核後)
我們的一個客戶是一家 1 級 PCI 公司,他們的審計員就我們作為系統管理員和我們的訪問權限提出了建議。
我們管理他們完全基於 Windows 的基礎架構,大約有 700 台台式機/80 台伺服器/10 台域控制器。
他們建議我們轉移到一個擁有三個獨立賬戶的系統:
DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC
- 其中WS是僅登錄 WorkStations 的帳戶,是 WorkStations 上的本地管理員
- 其中SRV是僅登錄到非 DC 伺服器的帳戶,是伺服器上的本地管理員
- 其中DC是僅登錄域控制器的帳戶,實際上是域管理員帳戶
然後製定策略以防止從錯誤的帳戶登錄到錯誤類型的系統(包括刪除非 DC 機器上域管理員帳戶的互動式登錄)
這是為了防止受感染的工作站可以公開域管理員登錄令牌並將其重新用於域控制器。
這似乎不僅是我們日常運營的一項非常侵入性的政策,而且還需要大量工作來解決相對不太可能的攻擊/利用(無論如何這是我的理解,也許我誤解了這種利用的可行性) .
我很想听聽其他管理員的意見,尤其是那些參與過 PCI 註冊公司的管理員,而您也有類似的建議。您對管理員登錄的政策是什麼。
作為記錄,我們目前有一個正常使用的域使用者帳戶,以及一個在需要額外權限時我們也會提升的域管理員帳戶。老實說,我們都有點懶惰,經常只使用域管理員帳戶進行日常操作,儘管這在技術上違反了我們公司的政策(我相信你明白!)。
我在 1 級 PCI 供應商。我們有類似的東西,但有一些不同之處。
審計人員實際上是在試圖描述一個非常真實的問題,但在解釋影響和需求分析方面做得非常糟糕。
現在,通過使用密碼或現有令牌的散列來破壞系統更有效。簡而言之,您的攻擊者不再需要您的使用者名和密碼。現在有更簡單的方法來攻擊系統。 在任何情況下,您都不應假設或斷定此類攻擊不太可能發生。雜湊攻擊現在是事實上的攻擊媒介。
具有諷刺意味的是,智能卡帳戶的雜湊攻擊實際上更糟,因為大多數人都希望實施智能卡會提高系統的安全性。
如果帳戶由於散列傳遞攻擊而遭到破壞,通常的反應是更改帳戶的密碼。這會更改用於身份驗證的雜湊。此外,正常的密碼過期/更改可能會導致入侵,因為攻擊者的雜湊將開始失敗。但是,對於智能卡,密碼是“系統管理的”(使用者從不輸入密碼進行身份驗證),因此雜湊值永遠不會改變。這意味著使用智能卡帳戶,與使用密碼的帳戶相比,入侵可能被忽視的時間要長得多。
以下是我會考慮的緩解措施:
- 對於許多大公司用於高特權帳戶的啟用智能卡的帳戶,請定期更改帳戶的密碼。這會改變雜湊。您還可以通過取消智能卡啟用帳戶,然後重新啟用智能卡來更改雜湊值。Microsoft 每 24 小時執行一次此操作,但您需要評估這可能對您的環境造成的潛在影響,並製定合理的計劃,以免造成其他問題。
- 對於工作站,如果可能的話,我根本不會將域帳戶用於管理目的。我們有一個本地帳戶,可用於提升 UAC 類型的操作。這滿足了大多數海拔要求的 99.9%。由於缺乏嚴格的變更控制以及 Java JRE 和 Flash 的存在,工作站往往是熱門攻擊媒介。
這種方法對我們有用,因為我們有一個正式的機制來管理和強制執行本地帳戶的密碼,並且密碼在每個系統上都是唯一的,並且存在一種安全的方法供某人請求密碼。還有一些商業應用程序可以執行此功能。
- 如果您不能為工作站提供本地帳戶解決方案,那麼可以,應該使用單獨的域帳戶來管理工作站,並且該帳戶不應該用於管理伺服器。另一種選擇可能是使用遠端、非互動式支持管理工具,這些工具使用 LocalSystem 來執行活動,以及與 Windows 分離的身份驗證機制。
- 對於最高權限的帳戶(企業管理員、域管理員等),僅使用跳轉伺服器。此伺服器將受到最嚴格的安全性、更改控制和審核。對於所有其他類型的管理類型功能,請考慮擁有一個單獨的管理帳戶。跳轉伺服器應該每天重新啟動以從 LSA 程序中清除程序令牌。
- 不要從您的工作站執行管理任務。使用強化伺服器或跳轉伺服器。
- 考慮使用輕鬆重置虛擬機作為跳轉框,可以在每次會話後重置它以清除記憶體。
進一步閱讀:
Microsoft 安全情報報告,第 13 卷,2012 年 1 月至 6 月
http://www.microsoft.com/security/sir/archive/default.aspx
閱讀以下部分:“防禦 Pass-the-Hash 攻擊”。
擊敗可怕的 pass-the-hash 攻擊
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753