ฉันอยู่ที่ผู้ขาย Tier 1 PCI เรามีสิ่งนี้ในสถานที่มีความแตกต่างเล็กน้อย
ผู้ตรวจสอบบัญชีกำลังพยายามอธิบายถึงปัญหาที่แท้จริง แต่การทำงานที่ไม่ดีอย่างไม่น่าเชื่ออธิบายถึงผลกระทบและความต้องการการวิเคราะห์
ตอนนี้มันมีประสิทธิภาพมากกว่าในการประนีประนอมระบบโดยใช้แฮชของรหัสผ่านหรือโทเค็นที่มีอยู่ ผู้โจมตีของคุณไม่ต้องการชื่อผู้ใช้และรหัสผ่านของคุณอีกต่อไป ขณะนี้มีวิธีที่ง่ายกว่าในการโจมตีระบบ ไม่ว่าในสถานการณ์ใดคุณไม่ควรสันนิษฐานหรือสรุปว่าการโจมตีประเภทนี้ไม่น่าเป็นไปได้ การโจมตีของแฮตอนนี้เวกเตอร์ defacto โจมตี
การโจมตีแฮชแย่กว่าเดิมด้วยบัญชีสมาร์ทการ์ดซึ่งเป็นเรื่องน่าขันเพราะคนส่วนใหญ่คาดหวังว่าการใช้สมาร์ทการ์ดจะช่วยเพิ่มความปลอดภัยของระบบ
หากบัญชีถูกบุกรุกเนื่องจากการโจมตีแบบแฮชผ่านการตอบสนองตามปกติคือการเปลี่ยนรหัสผ่านของบัญชี สิ่งนี้จะเปลี่ยนแฮชที่ใช้ในการตรวจสอบสิทธิ์ นอกจากนี้การหมดอายุ / เปลี่ยนรหัสผ่านปกติอาจทำให้การบุกรุกเกิดขึ้นเนื่องจากแฮชของผู้โจมตีจะเริ่มล้มเหลว อย่างไรก็ตามด้วยสมาร์ทการ์ดรหัสผ่านคือ 'ระบบที่จัดการ' (ผู้ใช้ไม่เคยป้อนรหัสผ่านเพื่อรับรองความถูกต้อง) ดังนั้นแฮชจึงไม่เปลี่ยนแปลง ซึ่งหมายความว่าสำหรับบัญชีสมาร์ทการ์ดการบุกรุกอาจไม่มีใครสังเกตเห็นได้นานกว่าบัญชีที่ใช้รหัสผ่าน
นี่คือการบรรเทาที่ฉันจะพิจารณา:
สำหรับบัญชีที่เปิดใช้งานสมาร์ทการ์ดซึ่ง บริษัท ขนาดใหญ่จำนวนมากใช้สำหรับบัญชีที่มีสิทธิ์สูงให้เปลี่ยนรหัสผ่านของบัญชีในช่วงเวลาที่บ่อยครั้ง นี่เป็นการเปลี่ยนแปลงแฮช คุณสามารถเปลี่ยนแฮชได้โดยยกเลิกการเปิดใช้งานสมาร์ทการ์ดบัญชีจากนั้นเปิดใช้งานสมาร์ทการ์ดอีกครั้ง Microsoft ทำสิ่งนี้ทุก 24 ชั่วโมง แต่คุณต้องประเมินผลกระทบที่อาจเกิดขึ้นในสภาพแวดล้อมของคุณและสร้างตารางเวลาที่มีเหตุผลเพื่อที่คุณจะไม่สร้างปัญหาเพิ่มเติม
สำหรับเวิร์กสเตชันฉันจะไม่ใช้บัญชีโดเมนเพื่อจุดประสงค์ของผู้ดูแลระบบหากเป็นไปได้ เรามีบัญชีท้องถิ่นที่สามารถใช้ในการยกระดับการดำเนินงานประเภท UAC สิ่งนี้เป็นไปตาม 99.9% ของข้อกำหนดระดับความสูงส่วนใหญ่ เวิร์คสเตชั่นมีแนวโน้มที่จะเป็นเวคเตอร์การโจมตีที่ร้อนแรงเนื่องจากการขาดการควบคุมการเปลี่ยนแปลงอย่างต่อเนื่องและการมีอยู่ของ Java JRE และ Flash
วิธีนี้ใช้ได้ผลกับเราเนื่องจากเรามีกลไกที่เป็นทางการในการจัดการและบังคับใช้รหัสผ่านสำหรับบัญชีท้องถิ่นและรหัสผ่านนั้นไม่ซ้ำกันในแต่ละระบบและมีวิธีการรักษาความปลอดภัยที่มีอยู่สำหรับใครบางคนในการขอรหัสผ่าน นอกจากนี้ยังมีแอพพลิเคชั่นเชิงพาณิชย์ที่สามารถใช้งานฟังก์ชั่นนี้ได้
หากคุณไม่สามารถให้โซลูชันบัญชีโลคัลสำหรับเวิร์กสเตชันได้ดังนั้นใช่ควรใช้บัญชีโดเมนแยกต่างหากสำหรับการเข้าถึงระดับผู้ดูแลระบบไปยังเวิร์กสเตชันและบัญชีนั้นไม่ควรใช้สำหรับการเข้าถึงระดับผู้ดูแลระบบไปยังเซิร์ฟเวอร์ ตัวเลือกอื่นอาจใช้เครื่องมือการจัดการการสนับสนุนระยะไกลไม่ใช่แบบโต้ตอบที่ใช้ LocalSystem เพื่อทำกิจกรรมและกลไกการรับรองความถูกต้องที่แยกต่างหากจาก Windows
สำหรับบัญชีที่มีอภิสิทธิ์สูงสุด (Enterprise Admin, Domain Admin ฯลฯ ) ให้ใช้เฉพาะเซิร์ฟเวอร์กระโดด เซิร์ฟเวอร์นี้จะอยู่ภายใต้การรักษาความปลอดภัยที่เข้มงวดที่สุดการควบคุมการเปลี่ยนแปลงและการตรวจสอบ สำหรับฟังก์ชั่นการจัดการประเภทอื่น ๆ ทั้งหมดให้พิจารณาว่ามีบัญชีการจัดการแยกต่างหาก เซิร์ฟเวอร์กระโดดควรรีสตาร์ททุกวันรีสตาร์ทเพื่อล้างโทเค็นกระบวนการจากกระบวนการ LSA
อย่าทำงานการบริหารจากเวิร์กสเตชันของคุณ ใช้เซิร์ฟเวอร์ที่แข็งตัวหรือเซิร์ฟเวอร์กระโดด
พิจารณาใช้รีเซ็ต VMs อย่างง่ายดายเป็นกล่องกระโดดของคุณซึ่งสามารถรีเซ็ตเพื่อล้างหน่วยความจำหลังจากแต่ละเซสชัน
อ่านเพิ่มเติม:
https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx
รายงาน Microsoft Security Intelligence, เล่มที่ 13, มกราคม - มิถุนายน 2555
http://www.microsoft.com/security/sir/archive/default.aspx
อ่านหัวข้อ: "การป้องกันการโจมตีแบบพาส - แฮ - แฮช"
เอาชนะการโจมตีแบบพาส - แฮชที่น่ากลัว
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753