Điều gì tiếp theo sau khi một tài khoản miền Windows đã bị xâm phạm?

Chúng tôi đang chuẩn bị cho một kịch bản khi một trong các tài khoản trong một miền bị xâm phạm, thì phải làm gì tiếp theo?

Vô hiệu hóa tài khoản sẽ là câu trả lời đầu tiên của tôi, nhưng chúng tôi đã có các pentesters ở đây vài tuần trước và họ có thể sử dụng thông tin đăng nhập băm của một người dùng quản trị viên đã rời khỏi vài tháng trước.

Hai câu trả lời của chúng tôi cho đến nay là:

1. Xóa tài khoản và tạo lại nó (tạo SID mới nhưng cũng kịch tính hơn cho người dùng và làm việc cho chúng tôi)
2. Thay đổi mật khẩu ít nhất 3 lần và vô hiệu hóa tài khoản

Phương pháp của bạn sẽ là gì, hoặc bạn muốn giới thiệu cái gì?

Nếu chỉ có một tài khoản người dùng chuẩn bị xâm phạm, thì việc thay đổi mật khẩu một lần và để tài khoản được kích hoạt sẽ ổn. Băm sẽ không hoạt động khi mật khẩu đã thay đổi. Nó cũng sẽ không hoạt động nếu tài khoản bị vô hiệu hóa. Là một người kiểm tra bút, tôi tự hỏi liệu những người kiểm tra bút có sử dụng vé Kerberos không. Trong một số trường hợp nhất định, những thứ này có thể tiếp tục hoạt động nếu mật khẩu bị thay đổi hoặc nếu tài khoản bị vô hiệu HOẶC thậm chí bị xóa (xem các liên kết để giảm thiểu).

Nếu một tài khoản quản trị viên tên miền đã bị xâm phạm, thì đó đúng là trò chơi kết thúc. Bạn cần mang tên miền của mình ngoại tuyến và thay đổi MỌI mật khẩu. Ngoài ra, mật khẩu tài khoản krbtgt sẽ cần phải được thay đổi hai lần, nếu không, những kẻ tấn công vẫn có thể phát hành vé Kerberos hợp lệ với thông tin mà chúng đã đánh cắp. Khi bạn đã thực hiện tất cả điều đó, bạn có thể đưa tên miền của mình trở lại trực tuyến.

Thực hiện chính sách khóa tài khoản, do đó không thể đoán được mật khẩu đã thay đổi. Đừng đổi tên tài khoản của bạn. Kẻ tấn công có thể dễ dàng tìm ra tên đăng nhập.

Một điểm quan trọng khác là đào tạo người dùng của bạn. Họ có thể đã làm một cái gì đó không khôn ngoan có nghĩa là tài khoản đã bị xâm phạm. Kẻ tấn công thậm chí có thể không biết mật khẩu, chúng có thể đang chạy các quy trình như tài khoản đó. Ví dụ: nếu bạn mở tệp đính kèm phần mềm độc hại cho phép kẻ tấn công truy cập vào máy của bạn, chúng sẽ chạy như tài khoản của bạn. Họ không biết mật khẩu của bạn. Họ không thể lấy mật khẩu của bạn, trừ khi bạn là quản trị viên. Đừng để người dùng chạy như quản trị viên địa phương trên máy trạm của họ. Đừng để quản trị viên tên miền đăng nhập vào máy trạm với quyền quản trị viên tên miền - bao giờ hết!

Liên kết để biết thêm thông tin / giảm nhẹ:

https://bloss.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-av Available-for-customers /

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw- ALLows-DelattedDisables-Accounts-to-Access-Cor merg-Data.html

https://mva.microsoft.com/en-us/training-cifts/how-to-avoid-golden-ticket-attacks-12134

họ đã có thể sử dụng thông tin đăng nhập băm của một người dùng quản trị viên đã rời khỏi vài tháng trước.

Băm xác thực bị đánh cắp không hoạt động đối với các tài khoản bị vô hiệu hóa, trừ khi trên máy tính không được kết nối với mạng. Quá trình vẫn cần yêu cầu một vé hoặc xác thực với bộ điều khiển miền. Không thể làm điều đó nếu tài khoản bị vô hiệu hóa.

Bạn cần vô hiệu hóa tài khoản quản trị cho nhân viên cũ khi họ rời đi.

Giả sử tài khoản người dùng chuẩn, bạn có thể muốn xem xét:

1. Thay đổi mật khẩu.
2. Vô hiệu hóa tài khoản.
3. Đổi tên tài khoản (nghi ngờ tên người dùng) và tạo một tài khoản mới cho người dùng bị ảnh hưởng.
4. Thêm tài khoản nghi ngờ vào nhóm bảo mật "Người dùng bị vô hiệu hóa / bị thỏa hiệp".

Đối với # 4, đã có một chính sách nhóm thực hiện như sau:

• Từ chối quyền truy cập vào máy tính này từ mạng: "Người dùng bị vô hiệu hóa / thỏa hiệp"
• Từ chối đăng nhập thông qua Dịch vụ máy tính từ xa: "Người dùng bị vô hiệu hóa / thỏa hiệp"
• Từ chối đăng nhập cục bộ: "Người dùng bị vô hiệu hóa / thỏa hiệp"

Đối với tài khoản quản trị miền, toàn bộ mạng của bạn là bánh mì nướng.