Как я могу предотвратить компромисс Контроллера домена на ESX, сохраненном в незащищенном месте?
zless/usr/share/doc/cifs-utils/NEWS.Debian.gz
cifs-utils (2:4.0-1) unstable; urgency=low
* As of this version, the mount.cifs binary is no longer setuid due to
upstream concerns about the audit status of this code. As a consequence,
users will no longer be able to run mount.cifs directly to mount shares
unless mount points have been individually configured in /etc/fstab with
the "user" mount option.
Это в значительной степени именно то, для чего был разработан RODC - ситуации, когда сервер может быть физически скомпрометирован.
Получение физического доступа к RODC даст злоумышленнику хорошее понимание ваш домен и его структура, а также хэши паролей пользователей, для которых было явно установлено, что их пароли реплицируются на RODC.
Однако это намного лучше, чем обычный DC, где физический доступ означает, что злоумышленник может легко получить управление доменом без дополнительных учетных данных; Односторонняя репликация на RODC гарантирует, что злоумышленник не сможет отправить вредоносные изменения в вашу AD.
RODC - это решение, которое вы ищете, и вы должны сообщить об этом руководству.
Как человек, который однажды был вынужден поместить сервер (к счастью, не DC) в не оборудованный кондиционером чулан с открытой дверью, дырой в потолке, через которую можно было видеть небо, и пешеходы, мне любопытно, насколько небезопасно это место. Если они могут поставить ваш сервер на плечо и уйти посреди дня, вы мало что сможете сделать.
Похоже, вам нужны предложения, подобные предложению Спенсера - и все они хороши, - но я думаю, что вместо технического решения вам нужно либо убедить руководство использовать RODC, либо убедить руководство поставить DC в более безопасном месте. Возможно, эта презентация DefCon 21 поможет:
Так вы думаете, что ваш контроллер домена безопасен?
ДЖАСТИН ХЕНДРИКС, ИНЖЕНЕР ПО БЕЗОПАСНОСТИ, MICROSOFT
Контроллеры домена - это жемчужина организации. Однажды они падают, все в домене падает. Организации идут на отлично длины, чтобы защитить свои контроллеры домена, однако они часто не могут должным образом защитить программное обеспечение, используемое для управления этими серверами.
В этой презентации будут рассмотрены нетрадиционные методы получения домена администратора, злоупотребляя часто используемым программным обеспечением для управления, которое организации развертывание и использование.
Джастин Хендрикс работает в группе безопасности Office 365, где он участвует в красной команде, тестировании на проникновение, исследованиях безопасности, коде обзор и разработка инструментов.
Я склонен согласиться с Шейном, именно поэтому существует RODC. Что рассуждает руководство, чтобы запретить использование RODC? Помещать мозги вашей организации в небезопасное место - плохая идея.
Что касается BitLocker, это хорошая идея, но похоже, что она не поддерживается. Я бы посоветовал использовать TrueCrypt FDE (Full Disk Encryption) внутри виртуальной машины. Это заменяет загрузчик и заставляет вас вводить пароль для загрузки.
Какие еще службы будет запускать этот сервер? Я бы определенно предложил использовать какую-то службу сбора журналов и аудиторских предупреждений, которые вы считаете подходящими. Может попытки входа в систему?
Другой вопрос - как защитить реальный хост ESX, потому что, насколько мне известно, нет никакого способа получить доступ к виртуальным машинам с консоли хоста ESX. Так, если диск зашифрован, это похоже на то, что злоумышленник находится в вашей сети и имеет такую же видимость только для вашего PDC. Это означает, вероятно, разные виртуальные локальные сети и открытые только определенные порты.