За рекомендации SANS и другие, чтобы смягчить противодействие сбросу хэша и другим атакам, я собираюсь определить назначение прав пользователя «Отладка программ» с помощью групповой политики. Если этот параметр не включен, политика по умолчанию разрешает эту привилегию локальной системе и администраторам, и я хотел бы удалить эту привилегию у администраторов (мы не запускаем кластерные службы, что, как я понимаю, является единственной причиной, по которой вы '' d, чтобы он был у админов).
Мне интересно, следует ли мне включить этот параметр и добавить только локальную систему или просто включить параметр. То есть, нужна ли эта привилегия локальной системе по какой-либо причине?
Строго говоря, нет. Теоретически вы должны регистрировать событие отладки только у несистемного администратора (если, как вы упомянули, вам не нужны другие системные учетные записи для прямого доступа к памяти других компьютеров).
Однако я не согласен с идеей этой статьи (и, несмотря на ее предвзятость, я часто не согласен с рекомендациями SANS по любому количеству тем).
Просто чтобы я мог резюмировать статью для всех, кто может ее прочитать, кто еще не знаком с атакой, это выглядит примерно так. «Вы можете получить GUID и / или токены доступа из памяти или сети и использовать их хешированное значение, даже не зная исходного пароля». Далее они говорят, что распространенные способы сделать это из ограниченной учетной записи включают сбой службы, которая использует учетные данные SMB / NetBIOS, а затем немедленную попытку зарегистрировать CREATE_PROCESS_DEBUG_EVENT и вуаля - мгновенный доступ к соответствующему общему ресурсу SMB пользователей.
Для тех из вас, кто использует хэши, это, вероятно, довольно очевидная атака и, конечно же, не нова.
Моя проблема с этим - почему? Зачем злоумышленнику выполнять все хлопоты по поиску хэша в памяти после сбоя (предположительно) критически важной для системы службы. Если IPS сейчас не срабатывает - NOC уверен.
Существуют сотни более простых способов: отравление ARP, манипуляции с ложными BPDU, перенаправление области OSPF, даже с использованием информации исходного маршрута, все фантастические способы перехвата информации MS-CHAP или SMB. Кроме того, уязвимостей повышения привилегий на NT пруд пруди, Захват токены доступа из определенного приложения до смешного легко.
В конечном счете, с моей точки зрения, вам лучше использовать что-то вроде Kerberos или RADIUS, при условии, что такая инфраструктура недоступна - NTLMv2, который имеет более сложные алгоритмы запроса / ответа, с которыми невозможно справиться без привилегированных знаний.