Мы ' готовлюсь к сценарию, когда одна из учетных записей в домене будет скомпрометирована - что делать дальше?
Отключение учетной записи было бы моим первым ответом, но у нас были пентестеры здесь несколько недель назад, и они смогли использовать хешированные логины администратора, который ушел пару месяцев назад.
На данный момент у нас есть два ответа:
Какой у вас метод или что вы порекомендуете?
Если взломана только стандартная учетная запись пользователя, то изменение пароля один раз и оставление учетной записи включенной должно быть нормально. Хеш не будет работать после смены пароля. Это также не будет работать, если учетная запись отключена. Я, как тестировщик, мне интересно, использовали ли тестеры проникновения билеты Kerberos. При определенных обстоятельствах они могут продолжать работать, если пароль будет изменен, или если учетная запись отключена ИЛИ даже удалена (см. Ссылки для устранения рисков).
Если учетная запись администратора домена была скомпрометирована, то игра буквально окончена. Вам необходимо перевести свой домен в автономный режим и изменить КАЖДЫЙ пароль. Кроме того, пароль учетной записи krbtgt необходимо будет изменить дважды, иначе злоумышленники все равно смогут выпустить действительные билеты Kerberos с украденной информацией. Как только вы это сделаете,вы можете вернуть свой домен в оперативный режим.
Реализуйте политику блокировки учетной записи, чтобы нельзя было угадать измененные пароли. Не переименовывайте свои аккаунты. Злоумышленники могут легко узнать имена входа.
Еще один важный момент - обучить ваших пользователей. Вероятно, они сделали что-то неразумное, что означало, что учетная запись была взломана. Злоумышленник может даже не знать пароль, он может просто запускать процессы под этой учетной записью. Например, если вы откроете вложение вредоносного ПО, которое дает злоумышленнику доступ к вашему компьютеру, они будут работать под вашей учетной записью. Они не знают вашего пароля. Они не могут получить хэш вашего пароля, если вы не являетесь администратором. Не позволяйте пользователям работать в качестве локальных администраторов на своих рабочих станциях. Никогда не позволяйте администраторам домена входить в систему на рабочих станциях с правами администратора домена!
Ссылки для получения дополнительной информации / мер защиты:
https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134
они смогли использовать хешированные учетные записи пользователя с правами администратора, который ушел пару месяцев назад.
Украденные хэши учетных данных не работают для отключенных учетных записей, если только они не находятся на компьютер, который не подключен к сети. Процесс по-прежнему должен запросить билет или пройти проверку подлинности с помощью контроллера домена. Это невозможно, если учетная запись отключена.
Вам необходимо отключить административные учетные записи для бывших сотрудников, когда они увольняются.
Предполагая стандартную учетную запись пользователя, вы можете рассмотреть следующее:
Для №4 уже существует групповая политика, которая выполняет следующие функции:
Для учетной записи администратора домена вся ваша сеть является тостом.