Что делать после взлома учетной записи домена Windows?

14

Мы готовимся к сценарию, когда одна из учетных записей в домене будет взломана - что делать дальше?

Отключение учетной записи было бы моим первым ответом, но у нас были пентестеры здесь несколько недель назад, и они смогли использовать хешированные логины пользователя-администратора, который ушел пару месяцев назад.

Наши два ответа пока таковы:

  1. Удалите учетную запись и воссоздайте ее (создает новый SID, но также создает дополнительные возможности для пользователя и работает для нас)
  2. Измените пароль как минимум 3 раза и отключите учетную запись

Каким был бы ваш метод или что бы вы порекомендовали?

active-directory security JurajB
источник
1
Если это учетная запись администратора, которая была скомпрометирована, тогда создайте дополнительные учетные записи администратора для своих собственных целей. Если это учетная запись с низким уровнем доступа (обычный пользователь), выполните сканирование сети и найдите учетную запись администратора, чтобы пойти на компромисс. Владельцы обычного пользователя получают вашу ногу в дверь для выполнения более «целенаправленных» атак.
Blaughw
4
Вы говорите, что учетная запись администратора, который ушел пару месяцев назад, не была отключена при отъезде этого человека? Думаю, я не понимаю, как этот пример говорит об эффективности или неэффективности отключения учетных записей. В чем смысл менять пароль 3 раза, а не один раз?
Тодд Уилкокс
@ToddWilcox учетная запись была отключена сразу после того, как человек ушел, а группы удалили (это стандартная практика, когда люди уходят), но они утверждали, что смогли получить доступ, используя его.
JurajB
Таким образом, он не был удален правильно - вы хотите, чтобы токены истекли и доступ к этой учетной записи был удален во всех системах
Rory Alsop

Ответы:

8

Если скомпрометирована только стандартная учетная запись пользователя, то изменение пароля один раз и оставление учетной записи включенной должно подойти. Хэш не будет работать после изменения пароля. Это также не будет работать, если учетная запись отключена. Мне, как тестеру, интересно, пользовались ли тестеры Kerberos билетами. При определенных обстоятельствах они могут продолжать работать, если пароль изменен, или если учетная запись отключена ИЛИ даже удалена (см. Ссылки для смягчения).

Если учетная запись администратора домена была скомпрометирована, то это буквально игра окончена. Вам нужно перевести свой домен в автономный режим и изменить КАЖДЫЙ пароль. Также пароль учетной записи krbtgt необходимо будет изменить дважды, иначе злоумышленники все равно смогут выдать действительные билеты Kerberos с информацией, которую они украли. После того как вы все это сделали, вы можете снова подключить свой домен.

Внедрите политику блокировки учетной записи, чтобы невозможно было угадать измененные пароли. Не переименовывайте свои аккаунты. Злоумышленники могут легко узнать имена пользователей.

Другим важным моментом является обучение ваших пользователей. Вероятно, они сделали что-то неразумное, что означало, что аккаунт был взломан. Злоумышленник может даже не знать пароль, он может просто запускать процессы под этой учетной записью. Например, если вы откроете вложение вредоносного ПО, которое дает злоумышленнику доступ к вашей машине, они будут работать как ваша учетная запись. Они не знают ваш пароль. Они не могут получить ваш хэш пароля, если вы не являетесь администратором. Не позволяйте пользователям работать в качестве локальных администраторов на своих рабочих станциях. Не позволяйте администраторам домена входить на рабочие станции с правами администратора домена - никогда!

Ссылки для дальнейшей информации / смягчения:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
источник
Что если вы работаете в относительно разрешительной среде, например, в академических кругах? Возможно, вы имеете дело с пользователями, которые имеют право владения и не желают «обучаться», а поскольку у них есть право владения, вам не разрешено избавляться от них или уменьшать их привилегии.
Кэтрин Вилльярд
3
Я всегда рекомендую лучшие практики. Всегда будут некоторые типы организаций, которые не смогут реализовать его на 100%. Некоторые люди считают себя выше закона, а некоторые организации считают, что владение недвижимостью / эго важнее, чем справедливое и единообразное применение политики / безопасности. Эти люди и организации должны будут взять на себя ответственность за последствия своих действий. Будем надеяться, что эти академические организации не будут
следить
1
Я прошел несколько курсов MVA по золотому билету и уменьшению pth, но, насколько я понимаю, он запоминает 2 пароля, поэтому вам необходимо изменить его как минимум дважды, а не один раз. Даже скрипт для krbtgt делает это дважды.
JurajB
1
не могу отредактировать вышеописанное, поэтому добавление: даже скрипт для krbtgt делает это дважды. Не будет ли тогда лучшим выбором (для учетной записи пользователя) дважды сменить пароль, а затем отключить учетную запись?
JurajB
2
You need to bring your domain offline, Это может работать для небольшого офиса, но маловероятно, что крупная компания может просто перевести свой домен / лес в автономный режим.
Грег Аскью
12

они могли использовать хешированные логины пользователя-администратора, который ушел пару месяцев назад.

Украденные хэши учетных данных не работают для отключенных учетных записей, если только они не находятся на компьютере, который не подключен к сети. Процесс все еще должен запросить билет или пройти аутентификацию на контроллере домена. Не может сделать это, если учетная запись отключена.

Вы должны отключить административные учетные записи для бывших сотрудников, когда они уходят.

Грег Аскью
источник
Как украденные учетные данные помогают злоумышленнику? Если у них нет действительного пароля, то нет способа вернуть пароль из хэша (кроме получения небольших паролей с помощью радужных таблиц), верно? Не уверен, что мне здесь не хватает.
Чираг Бхатия - chirag64
1
@ ChiragBhatia-chirag64 Вы предполагаете, что схемы аутентификации устойчивы к воспроизведению. Их может не быть, и в этом случае хеши - это все, что вам нужно для аутентификации.
Йонас Шефер
Можете ли вы привести пример, в котором схема аутентификации Windows использует фактический хеш вместо текстового пароля? Извините, если это звучит как глупый вопрос, я никогда не видел такой реализации раньше (или, может быть, я неправильно понимаю механизм проверки подлинности Windows)
Чираг Бхатия - chirag64
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
Грег Аскью,
@GregAskew спасибо, я понятия не имел, что это была вещь в аутентификации Windows. Удивительно, но они не используют что-то вроде SSL для отправки пароля. Это кажется огромной проблемой безопасности для меня.
Чираг Бхатия - chirag64
3

Предполагая стандартную учетную запись пользователя, вы можете рассмотреть:

  1. Сменить пароль.
  2. Отключить аккаунт.
  3. Переименуйте учетную запись (username-suspect) и создайте новую учетную запись для затронутого пользователя.
  4. Добавьте подозрительную учетную запись в группу безопасности «Disabled / Compromised users».

Для # 4 уже существует групповая политика, которая выполняет следующие действия:

  • Запретить доступ к этому компьютеру из сети: «Отключенные / взломанные пользователи»
  • Запретить вход в систему через службы удаленных рабочих столов: «Отключенные / взломанные пользователи»
  • Запретить локальный вход в систему: «Отключенные / нарушенные пользователи»

Для учетной записи администратора домена вся ваша сеть является тостом.

Кэтрин Вилляр
источник
почему вы предлагаете сменить пароль более одного раза?
bao7uo
если учетная запись администратора домена была скомпрометирована, то это означает, что скомпрометирована каждая учетная запись пользователя. Вы хотели бы, чтобы они переименовали каждую учетную запись пользователя?
bao7uo
1
@PHPaul: в зависимости от вторжения, если учетная запись все еще используется, переименование может быть допустимой тактикой. И, конечно, они не рекомендуют переименовывать каждую учетную запись.
Грег Аскью