Мы готовимся к сценарию, когда одна из учетных записей в домене будет скомпрометирована - что делать дальше?
Отключение учетной записи было бы моим первым ответом, но несколько недель назад у нас были пентестеры, и они могли использовать хешированные логины пользователя-администратора, который ушел пару месяцев назад.
На данный момент у нас есть два ответа:
Каким будет ваш метод или что вы порекомендуете?
они смогли использовать хешированные логины администратора, ушедшего пару месяцев назад.
Украденные хэши учетных данных не работают для отключенных учетных записей, если только они не находятся на компьютере, не подключенном к сети. Процесс по-прежнему должен запросить билет или пройти проверку подлинности с помощью контроллера домена. Не может этого сделать, если учетная запись отключена.
Вам необходимо отключить административные учетные записи для бывших сотрудников, когда они увольняются.
Если скомпрометирована только стандартная учетная запись пользователя, то можно изменить пароль один раз и оставить учетную запись включенной. После смены пароля хеш работать не будет. Это также не будет работать, если учетная запись отключена. Я, как тестировщик, мне интересно, использовали ли тестеры проникновения билеты Kerberos. При определенных обстоятельствах они могут продолжать работать, если пароль будет изменен, или если учетная запись отключена ИЛИ даже удалена (см. Ссылки для смягчения последствий).
Если учетная запись администратора домена была взломана, игра в буквальном смысле окончена. Вам необходимо перевести свой домен в автономный режим и изменить КАЖДЫЙ пароль. Кроме того, пароль учетной записи krbtgt необходимо будет изменить дважды, иначе злоумышленники по-прежнему смогут выпустить действительные билеты Kerberos с украденной информацией. Как только вы это сделаете, вы можете снова подключить свой домен к сети.
Реализуйте политику блокировки учетной записи, чтобы нельзя было угадать измененные пароли. Не переименовывайте свои аккаунты. Злоумышленники могут без труда узнать имена для входа.
Еще один важный момент - обучить ваших пользователей. Вероятно, они сделали что-то неразумное, что означало, что учетная запись была взломана. Злоумышленник может даже не знать пароль, он может просто запускать процессы под этой учетной записью. Например, если вы откроете вложение вредоносного ПО, которое дает злоумышленнику доступ к вашему компьютеру, они будут работать под вашей учетной записью. Они не знают вашего пароля. Они не могут получить хэш вашего пароля, если вы не являетесь администратором. Не позволяйте пользователям работать в качестве локальных администраторов на своих рабочих станциях. Никогда не позволяйте администраторам домена входить на рабочие станции с правами администратора домена!
Ссылки для получения дополнительной информации / смягчения последствий:
https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134
Предполагая стандартную учетную запись пользователя, вы можете рассмотреть:
Для №4 уже существует групповая политика, которая выполняет следующие функции:
Для учетной записи администратора домена вся ваша сеть - тост.