Chính sách tài khoản quản trị viên tên miền (Sau khi kiểm toán PCI)

14

Một trong những khách hàng của chúng tôi là một công ty PCI cấp 1 và các kiểm toán viên của họ đã đưa ra đề nghị liên quan đến chúng tôi với tư cách là Quản trị viên hệ thống và quyền truy cập của chúng tôi.

Chúng tôi quản lý cơ sở hạ tầng hoàn toàn dựa trên Windows của họ với khoảng 700 Máy tính để bàn / 80 máy chủ / 10 Bộ điều khiển miền.

Họ đang đề nghị chúng tôi chuyển sang một hệ thống nơi chúng tôi có ba tài khoản riêng biệt:

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC
  • Trong đó WS là tài khoản chỉ đăng nhập vào WorkStations, là Quản trị viên cục bộ trên WorkStations
  • Trong đó SRV là tài khoản chỉ đăng nhập vào Máy chủ Non DC, là Quản trị viên cục bộ trên Máy chủ
  • Trong đó DC là tài khoản chỉ đăng nhập vào Bộ kiểm soát miền, có hiệu quả là tài khoản quản trị viên tên miền

Các chính sách sau đó được áp dụng để ngăn đăng nhập vào loại hệ thống sai từ tài khoản sai (bao gồm xóa đăng nhập tương tác cho tài khoản quản trị viên tên miền trên các máy không DC)

Điều này là để ngăn chặn tình huống máy trạm bị xâm nhập có thể hiển thị mã thông báo đăng nhập Quản trị viên tên miền và sử dụng lại mã đó đối với Bộ điều khiển miền.

Đây dường như không chỉ là một chính sách rất khó chịu đối với các hoạt động hàng ngày của chúng tôi mà còn là một lượng công việc đáng kể, để giải quyết một cuộc tấn công / khai thác tương đối khó xảy ra (dù sao đây là cách hiểu của tôi, có lẽ tôi hiểu sai về tính khả thi của việc khai thác này) .

Tôi rất thích nghe các quan điểm của quản trị viên khác, đặc biệt là những người ở đây đã tham gia vào một công ty đã đăng ký PCI và bạn có kinh nghiệm với các đề xuất tương tự. Chính sách của bạn liên quan đến đăng nhập quản trị viên là gì.

Đối với bản ghi, chúng tôi hiện có tài khoản Người dùng Miền mà chúng tôi sử dụng bình thường, với tài khoản Quản trị viên Miền mà chúng tôi cũng nâng cao khi chúng tôi cần các quyền bổ sung. Thành thật mà nói, tất cả chúng ta đều hơi lười biếng và thường chỉ sử dụng tài khoản Quản trị viên tên miền cho các hoạt động hàng ngày, mặc dù điều này về mặt kỹ thuật là trái với chính sách của công ty chúng tôi (tôi chắc chắn bạn hiểu!).

domain-controller  user-accounts  pci-dss 
Patrick
nguồn
4
Là Cấp 1, tôi thực sự ngạc nhiên khi mạng của họ thực hiện thanh toán CC nằm trên cùng một mạng mà cơ sở hạ tầng Windows này đang hoạt động và không được phân chia riêng. Làm cho việc tuân thủ dễ dàng hơn rất nhiều.
TheCleaner
Điều đó sẽ có ý nghĩa, nhưng không may là không. Tuy nhiên, họ không phải là một phần của người dùng, vì vậy tài khoản quản trị viên của chúng tôi không thể quản lý các hệ thống đó. Chúng tôi (về mặt kỹ thuật) không có quyền truy cập vào các máy thanh toán xử lý.
Patrick
Tôi không phải là chuyên gia PCI ở đây ... có một vài người tôi đã thấy xung quanh. Tuy nhiên, tôi không nhớ bất cứ điều gì như thế này là một yêu cầu. Gợi ý so với yêu cầu là một sự khác biệt lớn. Tôi sẽ làm việc chăm chỉ hơn để làm những gì bạn nói trong đoạn cuối cùng của bạn, đưa ra các biện pháp để đảm bảo đó là một thực tế.
TheCleaner
Nghe có vẻ giống như một trải nghiệm tương tự như serverfault.com/questions/224467/ - - về cơ bản, đó là một kế hoạch tốt và có thể ngăn chặn một số cuộc tấn công khó chịu.
Iain Hallam

Câu trả lời:

18

Tôi đang ở nhà cung cấp PCI cấp 1. Chúng tôi có một cái gì đó như thế này, với một vài sự khác biệt.

Các kiểm toán viên thực sự đang cố gắng mô tả một vấn đề rất thực tế, nhưng thực hiện một công việc cực kỳ kém giải thích các hàm ý và phân tích nhu cầu.

Bây giờ hiệu quả hơn là thỏa hiệp một hệ thống bằng cách sử dụng hàm băm của mật khẩu hoặc mã thông báo hiện có. Nói rõ hơn, kẻ tấn công của bạn không còn cần tên người dùng và mật khẩu của bạn. Bây giờ có nhiều cách dễ dàng hơn để tấn công một hệ thống. Trong mọi trường hợp, bạn không nên thừa nhận hoặc kết luận rằng kiểu tấn công này là không thể xảy ra. Các cuộc tấn công Hash bây giờ là vector tấn công defacto .

Các cuộc tấn công băm thực sự tồi tệ hơn với các tài khoản thẻ thông minh, điều này thật mỉa mai, bởi vì hầu hết mọi người mong đợi rằng việc thực hiện thẻ thông minh sẽ làm tăng tính bảo mật của hệ thống.

Nếu một tài khoản bị xâm phạm do một cuộc tấn công vượt qua, phản ứng thông thường là thay đổi mật khẩu của tài khoản. Điều này thay đổi hàm băm được sử dụng để xác thực. Ngoài ra, việc hết hạn / thay đổi mật khẩu bình thường có thể xuất hiện một sự xâm nhập, do hàm băm của kẻ tấn công sẽ bắt đầu thất bại. Tuy nhiên, với thẻ thông minh, mật khẩu là 'được quản lý hệ thống' (người dùng không bao giờ nhập mật khẩu để xác thực), do đó, hàm băm không bao giờ thay đổi. Điều đó có nghĩa là với các tài khoản thẻ thông minh, một vụ xâm nhập có thể không được chú ý lâu hơn nhiều so với tài khoản sử dụng mật khẩu.

Dưới đây là những giảm nhẹ tôi sẽ xem xét:

  • Đối với các tài khoản hỗ trợ thẻ thông minh, được nhiều công ty lớn sử dụng cho các tài khoản có đặc quyền cao, hãy thay đổi mật khẩu của tài khoản theo định kỳ. Điều này thay đổi hàm băm. Bạn cũng có thể thay đổi hàm băm bằng cách hủy thẻ thông minh kích hoạt tài khoản, sau đó bật lại thẻ thông minh. Microsoft thực hiện việc này cứ sau 24 giờ, nhưng bạn cần đánh giá tác động tiềm tàng mà điều này có thể gây ra trong môi trường của bạn và thiết lập một lịch trình lành mạnh để bạn không tạo thêm vấn đề.

  • Đối với các máy trạm, tôi hoàn toàn không sử dụng tài khoản miền cho mục đích quản trị viên nếu có thể. Chúng tôi có một tài khoản cục bộ có thể được sử dụng để nâng cao cho các hoạt động loại UAC. Điều này đáp ứng 99,9% của hầu hết các yêu cầu về độ cao. Các máy trạm có xu hướng là các vectơ tấn công nóng, do thiếu kiểm soát thay đổi được yêu thích và sự tồn tại của Java JRE và Flash.

    Cách tiếp cận này hiệu quả với chúng tôi do chúng tôi có một cơ chế chính thức để quản lý và thực thi mật khẩu cho các tài khoản cục bộ và mật khẩu là duy nhất trên mỗi hệ thống và tồn tại một phương thức bảo mật để ai đó yêu cầu mật khẩu. Ngoài ra còn có các ứng dụng thương mại có thể thực hiện chức năng này.

  • Nếu bạn không thể cung cấp giải pháp tài khoản cục bộ cho máy trạm, thì có, nên sử dụng tài khoản miền riêng để truy cập quản trị vào máy trạm và không nên sử dụng tài khoản đó để truy cập quản trị vào máy chủ. Một tùy chọn khác có thể là sử dụng các công cụ quản lý hỗ trợ không tương tác từ xa, sử dụng LocalSystem để thực hiện các hoạt động và một cơ chế xác thực tách biệt với Windows.

  • Đối với các tài khoản đặc quyền cao nhất (Quản trị viên doanh nghiệp, Quản trị viên tên miền, v.v.), chỉ sử dụng máy chủ nhảy. Máy chủ này sẽ chịu sự bảo mật hạn chế nhất, kiểm soát thay đổi và kiểm toán. Đối với tất cả các loại chức năng loại quản trị khác, hãy xem xét có một tài khoản quản trị riêng. Máy chủ nhảy nên được khởi động lại khởi động lại hàng ngày để xóa mã thông báo quy trình khỏi quy trình LSA.

  • Không thực hiện các nhiệm vụ quản trị từ máy trạm của bạn. Sử dụng một máy chủ cứng hoặc một máy chủ nhảy.

  • Cân nhắc sử dụng dễ dàng đặt lại VM làm hộp nhảy của bạn, có thể đặt lại để xóa bộ nhớ sau mỗi phiên.

Đọc thêm:

https://bloss.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

Báo cáo tình báo bảo mật của Microsoft, Tập 13, Tháng 1 - Tháng 6 năm 2012
http://www.microsoft.com/security/sir/archive/default.aspx

Đọc phần: "Bảo vệ chống lại các cuộc tấn công Pass-the-Hash".

Đánh bại các cuộc tấn công vượt qua đáng sợ
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753

Greg Askew
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.