Что дальше после того, как учетная запись домена Windows была взломана?
Мы ' готовлюсь к сценарию, когда одна из учетных записей в домене будет скомпрометирована - что делать дальше?
Отключение учетной записи было бы моим первым ответом, но у нас были пентестеры здесь несколько недель назад, и они смогли использовать хешированные логины администратора, который ушел пару месяцев назад.
На данный момент у нас есть два ответа:
- Удалить учетную запись и воссоздать ее (создает новый SID, но также создает дополнительные проблемы для пользователя и работает на нас)
- Измените пароль как минимум 3 раза и отключите учетную запись
Какой у вас метод или что вы порекомендуете?
Если взломана только стандартная учетная запись пользователя, то изменение пароля один раз и оставление учетной записи включенной должно быть нормально. Хеш не будет работать после смены пароля. Это также не будет работать, если учетная запись отключена. Я, как тестировщик, мне интересно, использовали ли тестеры проникновения билеты Kerberos. При определенных обстоятельствах они могут продолжать работать, если пароль будет изменен, или если учетная запись отключена ИЛИ даже удалена (см. Ссылки для устранения рисков).
Если учетная запись администратора домена была скомпрометирована, то игра буквально окончена. Вам необходимо перевести свой домен в автономный режим и изменить КАЖДЫЙ пароль. Кроме того, пароль учетной записи krbtgt необходимо будет изменить дважды, иначе злоумышленники все равно смогут выпустить действительные билеты Kerberos с украденной информацией. Как только вы это сделаете,вы можете вернуть свой домен в оперативный режим.
Реализуйте политику блокировки учетной записи, чтобы нельзя было угадать измененные пароли. Не переименовывайте свои аккаунты. Злоумышленники могут легко узнать имена входа.
Еще один важный момент - обучить ваших пользователей. Вероятно, они сделали что-то неразумное, что означало, что учетная запись была взломана. Злоумышленник может даже не знать пароль, он может просто запускать процессы под этой учетной записью. Например, если вы откроете вложение вредоносного ПО, которое дает злоумышленнику доступ к вашему компьютеру, они будут работать под вашей учетной записью. Они не знают вашего пароля. Они не могут получить хэш вашего пароля, если вы не являетесь администратором. Не позволяйте пользователям работать в качестве локальных администраторов на своих рабочих станциях. Никогда не позволяйте администраторам домена входить в систему на рабочих станциях с правами администратора домена!
Ссылки для получения дополнительной информации / мер защиты:
https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134
они смогли использовать хешированные учетные записи пользователя с правами администратора, который ушел пару месяцев назад.
Украденные хэши учетных данных не работают для отключенных учетных записей, если только они не находятся на компьютер, который не подключен к сети. Процесс по-прежнему должен запросить билет или пройти проверку подлинности с помощью контроллера домена. Это невозможно, если учетная запись отключена.
Вам необходимо отключить административные учетные записи для бывших сотрудников, когда они увольняются.
Предполагая стандартную учетную запись пользователя, вы можете рассмотреть следующее:
- Измените пароль.
- Отключите учетную запись.
- Переименуйте учетную запись (подозреваемое имя пользователя) и создайте новую учетную запись для затронутого пользователя.
- Добавьте подозрительную учетную запись в группу безопасности «Отключенные / взломанные пользователи».
Для №4 уже существует групповая политика, которая выполняет следующие функции:
- Запретить доступ к этому компьютеру из сети: " Отключенные / взломанные пользователи "
- Запретить вход через удаленный стол наверх Службы: «Отключенные / взломанные пользователи»
- Запретить вход в систему локально: «Отключенные / взломанные пользователи»
Для учетной записи администратора домена вся ваша сеть является тостом.