主页 / server / 问题 / 500534
Accepted
Patrick
Asked: 2013-04-19 02:19:51 +0800 CST

域管理员帐户策略(PCI 审计后)

  • 772

我们的一位客户是 1 级 PCI 公司,他们的审计员就我们作为系统管理员和我们的访问权限提出了建议。

我们管理着他们完全基于 Windows 的基础设施,包括大约 700 个桌面/80 个服务器/10 个域控制器。

他们建议我们转移到一个系统,我们有三个独立的账户:

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC
  • 其中WS是仅登录到 WorkStations 的帐户,是 WorkStations 上的本地管理员
  • 其中SRV是仅登录到非 DC 服务器的帐户,是服务器上的本地管理员
  • 其中DC是仅登录到域控制器的帐户,实际上是域管理员帐户

然后制定策略以防止从错误的帐户登录到错误类型的系统(包括删除非 DC 计算机上域管理员帐户的交互式登录)

这是为了防止受感染的工作站暴露域管理员登录令牌并针对域控制器重新使用该令牌的情况。

这似乎不仅是我们日常运营的一个非常侵入性的政策,而且还需要大量工作来解决相对不太可能的攻击/利用(无论如何这是我的理解,也许我误解了这种利用的可行性) .

我很想听听其他管理员的意见,尤其是那些参与过 PCI 注册公司并且您有类似建议经验的管理员。您关于管理员登录的政策是什么。

作为记录,我们目前有一个我们通常使用的域用户帐户,以及一个我们在需要额外权限时也会提升的域管理员帐户。老实说,我们都有点懒惰,经常只使用域管理员帐户进行日常操作,尽管这在技术上违反了我们公司的政策(我相信你明白!)。

domain-controller

1 个回答

  1. Best Answer

    我在 1 级 PCI 供应商。我们有类似的东西,但有一些不同。

    审计员实际上是在试图描述一个非常真实的问题,但在解释影响和需求分析方面做得非常糟糕。

    现在,通过使用密码哈希或现有令牌来破坏系统更加有效。简而言之,您的攻击者不再需要您的用户名和密码。现在有更简单的方法来攻击系统。 在任何情况下,您都不应假设或得出此类攻击不太可能发生的结论。哈希攻击现在是事实上的攻击媒介

    具有讽刺意味的是,智能卡帐户的哈希攻击实际上更糟,因为大多数人都希望实施智能卡会增加系统的安全性。

    如果帐户因传递哈希攻击而受到威胁,通常的响应是更改帐户的密码。这会更改用于身份验证的散列。此外,正常的密码过期/更改可能会导致入侵,因为攻击者的哈希将开始失败。但是,对于智能卡,密码是“系统管理的”(用户从不输入密码进行身份验证),因此哈希永远不会改变。这意味着对于智能卡帐户,与使用密码的帐户相比,入侵可能会被忽视的时间长得多。

    以下是我会考虑的缓解措施:

    • 对于许多大公司用于高权限帐户的支持智能卡的帐户,请经常更改帐户的密码。这会更改哈希。您还可以通过取消智能卡启用帐户来更改哈希,然后重新启用智能卡。Microsoft 每 24 小时执行一次此操作,但您需要评估这可能对您的环境造成的潜在影响,并制定一个合理的时间表,以免造成其他问题。

    • 对于工作站,如果可能的话,我根本不会将域帐户用于管理目的。我们有一个本地帐户,可用于提升 UAC 类型的操作。这满足了 99.9% 的大多数海拔要求。由于缺乏严格的变更控制以及 Java JRE 和 Flash 的存在,工作站往往成为热门攻击媒介。

      这种方法对我们有效,因为我们有一个正式的机制来管理和强制执行本地帐户的密码,并且密码在每个系统上都是唯一的,并且存在一种安全的方法供某人请求密码。也有商业应用程序可以执行此功能。

    • 如果您不能为工作站提供本地帐户解决方案,那么可以,一个单独的域帐户应该用于对工作站的管理访问,并且该帐户不应该用于对服务器的管理访问。另一种选择可能是使用远程、非交互式支持管理工具,这些工具使用 LocalSystem 来执行活动,以及一种独立于 Windows 的身份验证机制。

    • 对于最高特权帐户(企业管理员、域管理员等),仅使用跳转服务器。该服务器将受到最严格的安全、更改控制和审计的约束。对于所有其他类型的管理类型功能,请考虑拥有一个单独的管理帐户。跳转服务器应该每天重新启动,以清除 LSA 进程中的进程令牌。

    • 不要从您的工作站执行管理任务。使用加固服务器或跳转服务器。

    • 考虑使用易于重置的 VM 作为跳转框,可以在每次会话后重置以清除内存。

    延伸阅读:

    https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

    Microsoft 安全情报报告,第 13 卷,2012 年 1 月至 6 月
    http://www.microsoft.com/security/sir/archive/default.aspx

    阅读部分:“防御哈希传递攻击”。

    击败可怕的哈希传递攻击
    https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753

    • 18

相关问题