จะเกิดอะไรขึ้นอีกหลังจากบัญชีโดเมน Windows ถูกบุกรุก

เรากำลังเตรียมสถานการณ์เมื่อบัญชีใดบัญชีหนึ่งในโดเมนถูกบุกรุก - จะทำอย่างไรต่อไป

การปิดใช้งานบัญชีจะเป็นคำตอบแบบแรกของฉัน แต่เรามีเพนเทอร์เตอร์ที่นี่เมื่อไม่กี่สัปดาห์ที่ผ่านมาและพวกเขาสามารถใช้การเข้าสู่ระบบที่แฮชของผู้ใช้ที่เป็นผู้ดูแลระบบเมื่อสองสามเดือนที่ผ่านมา

คำตอบสองข้อของเราคือ:

1. ลบบัญชีและสร้างใหม่ (สร้าง SID ใหม่ แต่ก็มีละครมากขึ้นสำหรับผู้ใช้และทำงานให้เราด้วย)
2. เปลี่ยนรหัสผ่านอย่างน้อย 3 ครั้งและปิดการใช้งานบัญชี

วิธีการของคุณจะเป็นอย่างไรหรือคุณจะแนะนำอะไร

หากบัญชีผู้ใช้มาตรฐานเท่านั้นที่ถูกบุกรุกจากนั้นเปลี่ยนรหัสผ่านหนึ่งครั้งและออกจากบัญชีที่เปิดใช้งานควรจะดี แฮชจะไม่ทำงานเมื่อเปลี่ยนรหัสผ่านแล้ว มันจะไม่ทำงานหากบัญชีถูกปิดใช้งาน ในฐานะที่เป็นผู้ทดสอบปากกาตัวเองฉันสงสัยว่าผู้ทดสอบปากกาใช้บัตร Kerberos หรือไม่ ภายใต้สถานการณ์บางอย่างสิ่งเหล่านี้สามารถทำงานต่อได้หากมีการเปลี่ยนรหัสผ่านหรือหากบัญชีถูกปิดใช้งานหรือถูกลบ (ดูลิงก์สำหรับการบรรเทาผลกระทบ)

หากบัญชีผู้ดูแลโดเมนถูกทำลายแสดงว่าเป็นเกมที่แท้จริง คุณต้องทำให้โดเมนออฟไลน์และเปลี่ยนรหัสผ่านทุกคน รหัสผ่านบัญชี krbtgt จะต้องเปลี่ยนสองครั้งมิฉะนั้นผู้โจมตีจะยังสามารถออกตั๋ว Kerberos ที่ถูกต้องพร้อมข้อมูลที่พวกเขาขโมยไปได้ เมื่อคุณทำทุกอย่างเสร็จแล้วคุณสามารถนำโดเมนของคุณกลับมาออนไลน์ได้

ใช้นโยบายการปิดบัญชีเพื่อไม่ให้เดารหัสผ่านที่เปลี่ยนแปลงได้ อย่าเปลี่ยนชื่อบัญชีของคุณ ผู้โจมตีสามารถค้นหาชื่อเข้าสู่ระบบได้อย่างง่ายดาย

อีกจุดสำคัญคือการฝึกอบรมผู้ใช้ของคุณ พวกเขาอาจทำอะไรที่ไม่ฉลาดซึ่งหมายความว่าบัญชีถูกบุกรุก ผู้โจมตีอาจไม่รู้รหัสผ่านพวกเขาอาจกำลังเรียกใช้กระบวนการตามบัญชีนั้น ตัวอย่างเช่นหากคุณเปิดไฟล์แนบมัลแวร์ที่ให้สิทธิ์การเข้าถึงเครื่องของผู้โจมตีพวกเขาจะทำงานเป็นบัญชีของคุณ พวกเขาไม่รู้รหัสผ่านของคุณ พวกเขาไม่สามารถรับรหัสผ่านแฮชของคุณได้เว้นแต่คุณจะเป็นผู้ดูแลระบบ อย่าให้ผู้ใช้เรียกใช้ในฐานะผู้ดูแลระบบในเวิร์กสเตชัน อย่าให้ผู้ดูแลระบบโดเมนลงชื่อเข้าใช้เวิร์กสเตชันด้วยสิทธิ์ผู้ดูแลโดเมน - ตลอดไป!

ลิงค์สำหรับข้อมูลเพิ่มเติม / การบรรเทา:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

พวกเขาสามารถใช้การเข้าสู่ระบบแบบแฮชของผู้ใช้ผู้ดูแลระบบที่เหลือสองสามเดือนที่ผ่านมา

แฮชข้อมูลประจำตัวที่ถูกขโมยจะไม่ทำงานสำหรับบัญชีที่ถูกปิดใช้งานเว้นแต่ว่าจะอยู่ในคอมพิวเตอร์ที่ไม่ได้เชื่อมต่อกับเครือข่าย กระบวนการยังคงต้องร้องขอตั๋วหรือรับรองความถูกต้องกับตัวควบคุมโดเมน ไม่สามารถทำได้หากบัญชีถูกปิดใช้งาน

คุณต้องปิดการใช้งานบัญชีผู้ดูแลระบบสำหรับพนักงานเก่าเมื่อพวกเขาออกไป

สมมติว่าบัญชีผู้ใช้มาตรฐานคุณอาจต้องพิจารณา:

1. เปลี่ยนรหัสผ่าน
2. ปิดการใช้งานบัญชี
3. เปลี่ยนชื่อบัญชี (สงสัยว่าชื่อผู้ใช้) และสร้างบัญชีใหม่สำหรับผู้ใช้ที่ได้รับผลกระทบ
4. เพิ่มบัญชีผู้ต้องสงสัยในกลุ่มความปลอดภัย "ผู้ใช้งาน / ผู้ใช้ที่ไม่ปลอดภัย"

สำหรับ # 4 มีนโยบายกลุ่มที่ทำสิ่งต่อไปนี้แล้ว:

• ปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย: "ผู้พิการ / ผู้ใช้ที่ไม่ปลอดภัย"
• ปฏิเสธการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล: "ปิดการใช้งาน / ผู้ใช้ที่เป็นอันตราย"
• ปฏิเสธการเข้าสู่ระบบในเครื่อง: "ผู้ใช้ที่ปิดใช้งาน / ผู้ใช้ที่ถูกโจมตี"

สำหรับบัญชีผู้ดูแลโดเมนเครือข่ายทั้งหมดของคุณคือขนมปังปิ้ง