Tại sao bạn nên tắt đăng nhập mạng cho tài khoản cục bộ?

Câu hỏi này có liên quan đến chủ đề Twitter của @ SwiftOnSecurity: https://twitter.com/SwiftOnSecurity/status/655208224572882944

Sau khi đọc qua chuỗi, tôi vẫn không hiểu tại sao bạn muốn tắt đăng nhập mạng cho tài khoản cục bộ.

Vì vậy, đây là những gì tôi nghĩ, xin vui lòng sửa cho tôi nơi tôi sai:

Nói rằng tôi có một AD được thiết lập với một DC và nhiều khách hàng. Một trong những khách hàng là John. Vì vậy, vào buổi sáng, John đi làm và đăng nhập vào máy tính để bàn của mình với thông tin đăng nhập AD. Vào buổi trưa, John đi đến một cuộc họp và 'khóa' máy tính của anh ấy (windows + L). Sau đó, anh ta cần kết nối với PC trở lại văn phòng bằng máy tính xách tay cá nhân từ xa (thông qua RDP hoặc một cái gì đó). Tuy nhiên, sử dụng chính sách mới này, anh ta sẽ không thể làm như vậy.

Giải thích mà Securitay đưa ra là mật khẩu không được lưu lại. Tuy nhiên, làm thế nào kẻ tấn công có được quyền truy cập trong trường hợp này? Mật khẩu nào không được muối? Hay là tình huống tôi có trong đầu hoàn toàn không liên quan đến những gì cô ấy đang cố nói? Nếu đây là trường hợp, cô ấy thực sự đang cố gắng nói gì?

— Người đàn ông
nguồn

Tôi không chắc vấn đề được mô tả là gì, nhưng trong kịch bản của bạn, không có tài khoản nào được sử dụng là tài khoản cục bộ. Đúng?

— Martijn Heemels

Không phải vì không có gì, và không có ý xúc phạm, nhưng tại sao bạn không hỏi tác giả của bài viết? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."

— joeqwerty

@joeqwerty tác giả đang bận thực hiện và không trả lời thường xuyên.

— tedder42

@joeqwerty Cô ấy đang trong chuyến lưu diễn năm 1989 nên cô ấy khá bận rộn ...

— Người đàn ông

Có thực sự cần thiết phải vô hiệu hóa đăng nhập mạng cho tài khoản cục bộ? Nó không bị vô hiệu hóa bởi Remote UAC theo mặc định?

— chris

Câu trả lời:

Cho phép đăng nhập mạng cho các tài khoản cục bộ là nguy hiểm và thực hành bảo mật kém. Đối với các thành viên nhóm quản trị viên, tôi thực sự sẽ mô tả nó là sơ suất. Nó cho phép di chuyển bên, và rất khó để phát hiện và kiểm toán do các tài khoản đăng nhập không được đăng nhập tập trung (trên bộ điều khiển miền).

Để giảm thiểu mối đe dọa này, Microsoft thực sự đã tạo hai số nhận dạng bảo mật tích hợp mới để thêm vào quyền "Từ chối quyền truy cập vào máy tính này từ mạng":

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://bloss.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://bloss.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

— Greg Askew
nguồn

Cảm ơn vì đã trả lời. Vì vậy, hãy để tôi hiểu chính xác:

— Người đàn ông

Giả sử tôi có DC (SERVER1) với RDP được bật. Trên máy tính xách tay cá nhân của tôi (không được kết nối với miền AD), tôi có cùng tên người dùng và mật khẩu Quản trị viên. Vì vậy, khi tôi muốn quản lý SERVER1, tôi kết nối với nó thông qua RDP từ máy tính xách tay cá nhân của tôi. Tuy nhiên, một ngày nọ, máy tính xách tay cá nhân của tôi bị đánh cắp và tên trộm đã có thể truy cập máy tính xách tay của tôi với quyền của quản trị viên. Từ đó, anh ta có thể thấy hàm băm mật khẩu của người dùng cục bộ và sử dụng cùng hàm băm để kết nối với máy chủ. Liệu kịch bản này có đúng không?

— Người đàn ông

Tuy nhiên (nếu kịch bản này là chính xác), điều này đặt ra nhiều câu hỏi hơn. Sẽ không có rủi ro nào nếu tôi chỉ đơn giản sử dụng các mật khẩu khác nhau cho những người dùng khác nhau? Ngoài ra, làm thế nào sẽ có vấn đề đăng nhập mạng trong trường hợp này? Có phải chỉ vì kẻ tấn công có thể có quyền truy cập và cấu hình nó mà không có quyền truy cập vật lý?

— Người đàn ông

Có cho cả hai, nhưng tôi nghi ngờ một kiểm toán viên sẽ chấp nhận có các mật khẩu khác nhau như một sự kiểm soát bù đắp đủ cho rủi ro này. Có tài khoản quản trị viên cục bộ được kích hoạt để đăng nhập mạng là loại chuyển động bên cạnh đánh chìm tàu chiến của bạn khi bạn bị tấn công. Tài khoản quản trị viên cục bộ chỉ nên dành cho truy cập cục bộ và không bao giờ qua mạng.

— Greg Askew

Chỉ cần làm rõ một vài điều. Bởi có cho cả hai, bạn có nghĩa là kịch bản mới nhất tôi đề nghị là chính xác, phải không? Ngoài ra, mọi thứ sẽ tệ đến mức nào nếu đăng nhập mạng được kích hoạt? Tôi hỏi điều này vì tôi vẫn không thể thấy cách kích hoạt đăng nhập mạng sẽ cho phép kẻ tấn công truy cập. Ngoài ra, nếu tôi tắt đăng nhập mạng, việc truy cập vật lý có phải là cách duy nhất để can thiệp / định cấu hình máy chủ không?

— Người đàn ông

Không, kịch bản ví dụ của bạn không chính xác. Nếu anh ấy sử dụng thông tin đăng nhập AD để đăng nhập, mọi thứ đều ổn. Vấn đề là với các tài khoản cục bộ, nghĩa là, những tài khoản được tạo và chỉ tồn tại trên các máy tính cá nhân. Ví dụ: \ \ Administrator, nhưng điều này áp dụng cho bất kỳ tài khoản nào trong miền của máy tính (COMPUTERNAME \ USERNAME). Rủi ro bảo mật ", AIUI, là nếu các tài khoản cục bộ (ví dụ: Quản trị viên cục bộ) chia sẻ cùng một mật khẩu trên nhiều máy, thì có thể trích xuất băm mật khẩu từ máy tính và sử dụng lại băm trong một số trường hợp (như là một phần mềm độc hại hoặc kẻ tấn công khác) di chuyển ngang giữa các máy tính.

— Micha
nguồn

Cảm ơn bạn đã trả lời. Tuy nhiên, bạn có thể đưa ra một kịch bản ví dụ về cách bảo mật có thể bị xâm phạm?

— Người đàn ông

Contoso sử dụng mật khẩu quản trị viên cục bộ cố định. Contoso không ngăn chặn đăng nhập mạng cho tài khoản cục bộ. Người dùng nhận được một số loại phần mềm độc hại, đến mức nó chạy với quyền quản trị viên. Nó trích xuất băm mật khẩu. Nếu tôi không nhầm, có một số cách để sử dụng hàm băm để xác thực trong một số trường hợp. Hoặc có thể băm dễ bị nứt, hoặc trên bàn cầu vồng, hoặc một cái gì đó. Phần mềm độc hại sau đó kết nối với tất cả các máy và lây lan sang chúng. Không chỉ vậy, thật khó để tìm hiểu chuyện gì đang xảy ra, bởi vì điều này không được ghi lại ở DC hoặc bất cứ nơi nào trung tâm, chỉ trên các PC riêng lẻ.

— Micha