विंडोज डोमेन खाते से समझौता करने के बाद आगे क्या?

14

हम एक परिदृश्य के लिए तैयारी कर रहे हैं जब एक डोमेन में से एक में समझौता हो जाता है - आगे क्या करना है?

खाते को निष्क्रिय करना मेरा पहला जवाब होगा, लेकिन हमारे पास कुछ हफ्तों पहले यहां पेन्स्टेस्टर थे और वे एक व्यवस्थापक उपयोगकर्ता के हैशेड लॉगिन का उपयोग करने में सक्षम थे, जो कुछ महीने पहले छोड़ दिया था।

हमारे अब तक के दो उत्तर हैं:

  1. खाता हटाएं और इसे पुनः बनाएं (नए SID बनाता है, लेकिन उपयोगकर्ता के लिए और भी अधिक नाटक और हमारे लिए काम करें)
  2. पासवर्ड को कम से कम 3 बार बदलें और खाते को अक्षम करें

आपकी विधि क्या होगी, या आप क्या सलाह देंगे?

active-directory  security 
JurajB
स्रोत
1
यदि यह एक व्यवस्थापक खाता है जो कि समझौता किया गया था, तो अपने उद्देश्य के लिए अधिक व्यवस्थापक खाते बनाने के बारे में जाना। यदि यह एक कम निजी (सामान्य उपयोगकर्ता) खाता है, तो नेटवर्क स्कैन करें और समझौता करने के लिए एक व्यवस्थापक खाता खोजें। एक नियमित उपयोगकर्ता के स्वामित्व में अधिक "लक्षित" हमले करने के लिए आपके पैर दरवाजे में हो जाते हैं।
ब्लाउज
4
क्या आप कह रहे हैं कि कुछ महीने पहले छोड़ने वाले व्यवस्थापक उपयोगकर्ता का खाता उस व्यक्ति के प्रस्थान पर अक्षम नहीं था? मुझे लगता है कि मैं यह नहीं देखता कि यह उदाहरण कैसे अक्षम खातों की प्रभावशीलता या अप्रभावीता के लिए बोलता है। एक बार के बजाय 3 बार पासवर्ड बदलने का औचित्य क्या है?
टोड विलकॉक्स
@ToddWilcox खाते को उस समय अक्षम कर दिया गया था जब व्यक्ति छोड़ दिया गया था और समूहों को हटा दिया गया था (यह एक मानक अभ्यास है जब लोग छोड़ देते हैं) फिर भी उन्होंने दावा किया कि वे इसका उपयोग करने में सक्षम थे।
जुराज 2
इसलिए इसे सही ढंग से नहीं हटाया गया - आप चाहते हैं कि टोकन समाप्त हो जाएं और उस खाते के लिए सभी सिस्टम पर हटा दिया जाए
Rory Alsop

जवाबों:

8

यदि केवल एक मानक उपयोगकर्ता खाते से छेड़छाड़ की जाती है, तो एक बार पासवर्ड बदलना और सक्षम खाते को ठीक करना चाहिए। पासवर्ड बदल जाने के बाद एक हैश काम नहीं करेगा। खाता अक्षम होने पर भी यह काम नहीं करेगा। पेन-टेस्टर के रूप में, मुझे आश्चर्य होता है कि क्या पेन-टेस्टर कर्बरोस टिकट का उपयोग कर रहे थे। कुछ परिस्थितियों में ये काम कर सकते हैं यदि कोई पासवर्ड बदला जाता है, या यदि कोई खाता अक्षम है या हटा दिया गया है (शमन के लिए लिंक देखें)।

यदि एक डोमेन व्यवस्थापक खाते से छेड़छाड़ की गई है, तो यह सचमुच गेम खत्म हो गया है। आपको अपना डोमेन ऑफ़लाइन लाने और हर पासवर्ड बदलने की आवश्यकता है। इसके अलावा krbtgt खाता पासवर्ड को दो बार बदलना होगा, अन्यथा हमलावर अभी भी चोरी किए गए सूचनाओं के साथ वैध करबरोस टिकट जारी कर पाएंगे। एक बार जब आप वह सब कर लेते हैं, तो आप अपने डोमेन को ऑनलाइन वापस ला सकते हैं।

खाता लॉकआउट नीति लागू करें, ताकि परिवर्तित पासवर्ड का अनुमान न लगाया जा सके। अपने खातों का नाम न बदलें। हमलावर आसानी से लॉगिन नामों का पता लगा सकते हैं

एक अन्य महत्वपूर्ण बिंदु अपने उपयोगकर्ताओं को प्रशिक्षित करना है। उन्होंने शायद कुछ नासमझी की जिसका मतलब था कि खाते में समझौता हो गया। हमलावर को पासवर्ड भी नहीं पता होगा, हो सकता है कि वे उस खाते के रूप में प्रक्रियाएं चला रहे हों। उदाहरण के लिए, यदि आप किसी मैलवेयर अटैचमेंट को खोलते हैं जो आपके मशीन पर एक हमलावर को पहुंच देता है, तो वे आपके खाते के रूप में चलेंगे। उन्हें आपका पासवर्ड नहीं पता है। जब तक आप एक व्यवस्थापक नहीं हैं, वे आपका पासवर्ड हैश प्राप्त नहीं कर सकते। उपयोगकर्ताओं को उनके कार्यस्थानों पर स्थानीय व्यवस्थापक के रूप में न चलने दें। डोमेन व्यवस्थापक अधिकार के साथ कार्यस्थानों में डोमेन प्रवेश को लॉग इन न होने दें - कभी!

अधिक जानकारी के लिए लिंक / शमन:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
स्रोत
क्या होगा यदि आप अकादमिक की तरह अपेक्षाकृत अनुमेय वातावरण में काम करते हैं? आप उन उपयोगकर्ताओं के साथ व्यवहार कर सकते हैं, जिनके पास कार्यकाल है और वे "प्रशिक्षित" होने के इच्छुक नहीं हैं, और क्योंकि उनका कार्यकाल है, आपको उनसे छुटकारा पाने या अपने विशेषाधिकार कम करने की अनुमति नहीं है।
कैथरीन विलियार्ड
3
मैं हमेशा सर्वश्रेष्ठ अभ्यास की सलाह देता हूं। हमेशा कुछ प्रकार के संगठन होंगे जो इसे लागू नहीं कर सकते हैं 100% कुछ लोग खुद को कानून से ऊपर देखते हैं, और कुछ संगठन कार्यकाल / अहंकार को निष्पक्ष और समान रूप से लागू नीतियों / सुरक्षा से अधिक महत्वपूर्ण मानते हैं। उन लोगों और संगठनों को अपने कार्यों के परिणामों की जिम्मेदारी लेनी होगी। आइए आशा करते हैं कि उन शैक्षणिक संगठन महत्वपूर्ण शोध की
देखरेख
1
मैंने गोल्डन टिकट और pth शमन पर कुछ MVA पाठ्यक्रम किए हैं, लेकिन मेरी समझ यह थी कि इसे 2 पासवर्ड याद हैं, इसलिए आपको इसे केवल एक बार नहीं बल्कि कम से कम दो बार बदलने की आवश्यकता है। यहां तक ​​कि krbtgt की स्क्रिप्ट भी इसे दो बार करती है।
जुराजबी
1
उपरोक्त जोड़ को संपादित नहीं किया जा सकता है: यहां तक ​​कि krbtgt की स्क्रिप्ट भी इसे दो बार करती है। तब (उपयोगकर्ता खाते के लिए) सबसे अच्छा विकल्प पासवर्ड को दो बार बदलना और फिर खाते को अक्षम करना नहीं होगा?
जुराजबी
2
You need to bring your domain offline। यह एक छोटे से कार्यालय के लिए काम कर सकता है, लेकिन यह संभावना नहीं है कि एक बड़ी कंपनी सिर्फ अपने डोमेन / वन को ऑफ़लाइन ले सकती है।
ग्रेग एस्क्यू
12

वे एक व्यवस्थापक उपयोगकर्ता के हैशेड लॉगिन का उपयोग करने में सक्षम थे, जो कुछ महीने पहले छोड़ दिया था।

चोरी किए गए क्रेडेंशियल हैश उन खातों के लिए काम नहीं करते हैं जो अक्षम हैं, जब तक कि यह कंप्यूटर पर नहीं है जो नेटवर्क से जुड़ा नहीं है। प्रक्रिया को अभी भी एक टिकट का अनुरोध करने या एक डोमेन नियंत्रक के साथ प्रमाणित करने की आवश्यकता है। यदि खाता अक्षम है तो ऐसा नहीं कर सकते।

जब आप बाहर निकलते हैं तो आपको पूर्व कर्मचारियों के लिए प्रशासनिक खातों को निष्क्रिय करना होगा।

ग्रेग अस्का
स्रोत
चोरी किए गए क्रेडेंशियल हैश हमलावर की मदद कैसे करते हैं? यदि उनके पास वास्तविक पासवर्ड नहीं है, तो हैश से पासवर्ड वापस लाने का कोई तरीका नहीं है (इंद्रधनुष के तालिकाओं का उपयोग करके छोटे पासवर्ड को छोड़कर), सही है? मुझे यकीन नहीं है कि मैं यहाँ क्या याद कर रहा हूँ।
चिराग भाटिया - chirag64
1
@ ChiragBhatia-chirag64 आप मान रहे हैं कि प्रमाणीकरण योजनाएँ फिर से प्रतिरोधी हैं। वे नहीं हो सकते हैं, जिस स्थिति में हैश सभी आपको प्रमाणित करने की आवश्यकता होती है।
जोनास शफर
क्या आप एक उदाहरण दे सकते हैं जहां विंडोज प्रमाणीकरण योजना पाठ पासवर्ड के बजाय वास्तविक हैश का उपयोग करती है? क्षमा करें यदि यह एक बेवकूफ प्रश्न लगता है, तो मैंने पहले कभी ऐसा कार्यान्वयन नहीं देखा है (या शायद मुझे विंडोज प्रमाणीकरण तंत्र की गलतफहमी है)
चिराग भाटिया - चिराग ६०
3
@ चिरागभटिया-चिराग़ ६ir.wikipedia.org/wiki/Pass_the_hash
ग्रेग
@GregAskew धन्यवाद, मुझे नहीं पता था कि यह विंडोज प्रमाणीकरण में एक बात थी। आश्चर्य की बात है कि वे पासवर्ड भेजने के लिए एसएसएल जैसे कुछ का उपयोग नहीं करते हैं। यह मुझे एक बड़ा सुरक्षा मुद्दा लगता है।
चिराग भाटिया - chirag64 16
3

एक मानक उपयोगकर्ता खाते को मानते हुए, आप इस पर विचार करना चाहते हैं:

  1. पासवर्ड बदलें।
  2. खाता अक्षम करें।
  3. खाते (उपयोगकर्ता नाम-संदिग्ध) का नाम बदलें और प्रभावित उपयोगकर्ता के लिए एक नया खाता बनाएँ।
  4. संदिग्ध खाते को "अक्षम / समझौता किए गए उपयोगकर्ता" सुरक्षा समूह में जोड़ें।

# 4 के लिए, पहले से ही एक समूह नीति है जो निम्नलिखित कार्य करती है:

  • नेटवर्क से इस कंप्यूटर का उपयोग अस्वीकार करें: "अक्षम / संकुचित उपयोगकर्ता"
  • दूरस्थ डेस्कटॉप सेवाओं के माध्यम से लॉग ऑन करें: "अक्षम / संकुचित उपयोगकर्ता"
  • स्थानीय रूप से लॉग ऑन करें: "अक्षम / समझौता किए गए उपयोगकर्ता"

एक डोमेन व्यवस्थापक खाते के लिए, आपका पूरा नेटवर्क टोस्ट है।

कैथरीन विलिअर्ड
स्रोत
आप एक से अधिक बार पासवर्ड बदलने का सुझाव क्यों देते हैं?
बाओ b।
यदि एक डोमेन व्यवस्थापक खाते से छेड़छाड़ की गई थी तो इसका मतलब है कि प्रत्येक उपयोगकर्ता खाते से समझौता किया गया है। क्या आप उन्हें हर उपयोगकर्ता खाते का नाम बदल सकते हैं?
bao7uo
1
@PHPaul: यदि कोई खाता अभी भी उपयोग में है, तो प्रतिपूर्ति के आधार पर, नाम बदलना एक मान्य रणनीति हो सकती है। और निश्चित रूप से वे हर खाते का नाम बदलने की सिफारिश नहीं कर रहे हैं।
ग्रेग एस्क्यू
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.