Почему вы должны отключить сетевой вход для локальных учетных записей?

8

Этот вопрос относится к ветке @ SwiftOnSecurity в Twitter: https://twitter.com/SwiftOnSecurity/status/655208224572882944.

Прочитав ветку, я все еще не совсем понимаю, почему вы хотите отключить сетевой вход в систему для локальных учетных записей.

Так вот что я думаю, пожалуйста, поправьте меня, где я не прав:

Скажем, у меня AD, настроенный с DC и несколькими клиентами. Одним из клиентов является Джон. Утром Джон отправляется на работу и входит в свой настольный ПК с учетными данными AD. В полдень Джон отправляется на встречу и «блокирует» свой компьютер (windows + L). Затем он должен подключиться к своему ПК обратно в офис, используя свой персональный ноутбук удаленно (через RDP или что-то еще). Однако, используя эту новую политику, он не сможет этого сделать.

Объяснение, которое дает Securitay, заключается в том, что пароли не засолены. Однако как злоумышленник получит доступ в этом случае? На каком конце пароль не засолен? Или ситуация, о которой я думаю, совершенно не связана с тем, что она пытается сказать? Если это так, что она на самом деле пытается сказать?

windows active-directory security group-policy windows-server-2012-r2 Тот человек
источник
Я не уверен, что описанная проблема, но в вашем сценарии ни одна из используемых учетных записей не является локальными учетными записями. Правильно?
Мартин Химельс
4
Не зря и без обид, но почему бы вам не спросить автора поста? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."
Joeqwerty
4
@joeqwerty автор занят исполнением и не часто отвечает.
tedder42
1
@joeqwerty Она в туре 1989 года, поэтому она очень занята ...
Человек
Действительно ли необходимо отключить сетевой вход для локальных учетных записей? Разве он не отключен удаленным UAC по умолчанию?
Крисом

Ответы:

10

Разрешение входа в сеть для локальных учетных записей является опасным и плохой практикой безопасности. Для членов группы администраторов я бы охарактеризовал это как халатность. Это обеспечивает боковое перемещение, и его трудно обнаружить и проверить из-за того, что учетные записи не регистрируются централизованно (на контроллерах домена).

Чтобы смягчить эту угрозу, Microsoft фактически создала два новых встроенных идентификатора безопасности, чтобы добавить к праву пользователя «Запретить доступ к этому компьютеру из сети»: 

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

Грег Аскью
источник
Спасибо, что ответили. Итак, позвольте мне понять это правильно:
Человек
Допустим, у меня есть DC (SERVER1) с включенным RDP. На моем персональном ноутбуке (не подключенном к домену AD) у меня одинаковые логин и пароль администратора. Поэтому, когда я хочу управлять SERVER1, я подключаюсь к нему через RDP с моего личного ноутбука. Однако однажды мой личный ноутбук был украден, и вор смог получить доступ к моему ноутбуку с правами администратора. Оттуда он может увидеть хэш пароля локального пользователя и использовать тот же хеш для подключения к серверу. Будет ли этот сценарий правильным?
Человек
Однако (если этот сценарий верен), это вызывает больше вопросов. Не было бы никакого риска, если бы я просто использовал разные пароли для разных пользователей? Кроме того, как будет иметь значение вход в сеть в этом случае? Это просто потому, что злоумышленник может получить доступ и настроить его, не имея физического доступа?
Человек
2
Да, обоим, но я сомневаюсь, что аудитор согласился бы с использованием разных паролей в качестве достаточного компенсирующего контроля для этого риска. Включение учетных записей локальных администраторов для входа в сеть - это вид бокового движения, которое тонет в вашем линкоре, когда вы атакованы. Учетные записи локальных администраторов должны быть только для локального доступа, а не по сети.
Грег Аскью
Просто чтобы уточнить несколько вещей. Под «да» обоим вы подразумеваете, что предложенный мною сценарий верен, верно? Кроме того, насколько плохо было бы, если бы вход в сеть был включен? Я спрашиваю об этом, так как до сих пор не понимаю, как включение входа в сеть позволит злоумышленникам получить доступ. Кроме того, если я отключаю сетевой вход в систему, является ли физический доступ единственным способом взаимодействия / настройки сервера?
Человек
3

Нет, ваш пример сценария неверен. Если он использует учетные данные AD для входа, все в порядке. Проблема связана с локальными учетными записями, то есть теми, которые созданы и существуют только на отдельных компьютерах. Например,. \ Administrator, но это относится к любой учетной записи в домене компьютера (COMPUTERNAME \ USERNAME). Риск безопасности », AIUI, заключается в том, что если локальные учетные записи (например, локальный администратор) совместно используют один и тот же пароль на нескольких компьютерах, то можно извлечь хэши паролей с компьютера, а в некоторых случаях использовать их повторно (как заражение вредоносным ПО). или другой злоумышленник) перемещаться вбок между компьютерами.

Миха
источник
Спасибо, что ответили. Однако не могли бы вы привести пример сценария того, как безопасность может быть скомпрометирована?
Человек
Contoso использует фиксированный пароль локального администратора. Contoso не запрещает вход в сеть для локальных учетных записей. Пользователь получает какую-то вредоносную программу, которая доходит до того, что запускается с правами администратора. Он извлекает хэши паролей. Если я не ошибаюсь, есть способы использовать хеш для аутентификации при некоторых обстоятельствах. Или, может быть, хеш легко взломать, или на радужном столе, или что-то в этом роде. Затем вредоносная программа подключается ко всем машинам и распространяется на них. Не только это, но трудно понять, что происходит, потому что это не регистрируется в DC или где-либо в центре, только на отдельных ПК.
Миха