Назад | Перейти на главную страницу

Сканирование уязвимостей в изолированной среде политик аутентификации

В соответствии с передовой практикой мы:

  1. Используйте разрозненные хранилища политик аутентификации и политики аутентификации Active Directory, чтобы ограничить учетные записи административных пользователей их соответствующим классом компьютеров, чтобы учетные данные не могли быть извлечены для повышения привилегий - администраторы серверов не являются серверами DC, администраторы домена - серверами DC и т. Д. (Источник: https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating-Pass-the-Hash-Attacks-and-Other-Credential-Theft-Version-2. pdf → стр.16)
  2. Регулярно проверяйте на наличие уязвимостей всю нашу инфраструктуру. Среди прочего, мы используем Tenable Nessus Professional на ПК.

В связи с № 1 у нас есть отдельные сканирование и учетные записи служб для Nessus для аутентификации на каждом классе компьютеров. Однако это не работает должным образом. Сканирование на ПК работает нормально, но сканирование на других классах компьютеров не завершается полностью и регистрирует следующее под уязвимостью INFO Authentication Failure - Local Checks Not Run:

The following service errors were logged :

  - Plugin      : smb_login.nasl
    Plugin ID   : 10394
    Plugin Name : Microsoft Windows SMB Log In Possible
    Protocol    : SMB
    Message     : 
It was not possible to log into the remote host via smb (invalid credentials).

Ясно, что причиной являются разрозненные хранилища политик аутентификации и политики аутентификации, потому что:

  1. Сканирование работало нормально, прежде чем мы их реализовали.

  2. На портативном компьютере, на котором размещен сканер Nessus, попытка перейти к затронутым компьютерам по пути SMB / UNC и пройти аутентификацию с использованием тех же учетных данных завершается ошибкой со следующим сообщением об ошибке:

    %UNCpath% is not accessible. You might not have permission to use this network resource. Contact the administrator of this server to find out if you have access permissions.
    
    The user is not allowed to log on from this workstation.
    
  3. Вход на затронутые устройства через консоль с использованием тех же учетных данных, а затем просмотр через SMB / UNC-путь к другим компьютерам того же класса работает нормально.

  4. Переключение изолированного хранилища из принудительного режима в режим аудита немедленно решает проблему.

Эти меры безопасности, похоже, используются нечасто, поэтому в Интернете о них не так много.

Вопрос: Кто-нибудь знает о хорошем разрешении для этого или временно отменяет принудительное использование бункеров?

Добавление и назначение учетной записи компьютера Nessus PC в бункер политик аутентификации не влияет на проблему.

Я даже не понимаю, почему они запрещают удаленный вход из рабочие станции, потому что, насколько я могу судить, учетные данные даже не кэшируются локально - используя PsExec -s -i cmd.exeregedit → и мониторинг HKEY_LOCAL_MACHINE\SECURITY\Cache\ before и after, похоже, не показывают никаких изменений (хотя это сложно узнать наверняка, не используя что-то вроде Mimikatz).