Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Какой безопасный способ для входа на контроллер домена?

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Безопасный доступ к контроллеру домена: Полное руководство
  4. 1. Разделение учетных записей
  5. 2. Установка локальных учетных записей
  6. 3. Настройки кэширования учетных записей
  7. 4. Ограничение прав доступа
  8. 5. Использование защищенного Jumpbox
  9. 6. Внедрение Credential Guard
  10. 7. Мониторинг и обнаружение
  11. 8. Установление политик безопасности
  12. 9. Ограничение доступа к интернету
  13. Заключение

Вопрос или проблема

На пен-тесте мы обнаружили, что билет kerberos под учетной записью administrator был кэширован на одном из серверов базы данных SQL, что позволило нам украсть билет, передать билет и войти на контроллер домена. Тип входа был remoteinteractive, что предполагает, что пользователь с SQLDB01 создал RDP-сессию с DC01. В плане рекомендаций я считаю, что режим ограниченного администрирования не защищает от этой атаки, так как эта защита просто заставляет билет kerberos использовать значение по умолчанию.

  1. Какие другие рекомендации существуют?
  2. Используйте Credential Guard для защиты от сброса билетов kerberos (?)
  3. Какой правильный/безопасный способ входа на DC? Предполагаю, что нужен jumpbox?

Судя по вашему объяснению, это выглядит как общая проблема в kerberos. Это называется атакой золотого билета.

Вы можете предпринять следующие шаги, чтобы смягчить риск этой уязвимости.

  1. Используйте режим наименьших привилегий.
  2. Ограничьте доступ администратора.
  3. Используйте учетную запись администратора только для ограниченных и необходимых изменений.
  4. Используйте защиту на конечных устройствах для смягчения атак.
  5. Добавьте дополнительный уровень безопасности к контроллеру домена. – Вы можете настроить терминальный сервер и разрешить доступ к DC только с этого конкретного сервера.
  6. В зависимости от требований вы можете определить время жизни билета kerberos.
  7. Ужесточите сервер с помощью соответствующих политик безопасности, патчей и т.д.
  8. Используйте инструменты обнаружения для дальнейшей безопасности.
  9. Настройте брандмауэр хоста, такой как брандмауэр Windows.
  10. Блокируйте доступ в интернет и просмотр интернет-страниц с контроллеров домена.
  11. Используйте защищенное управление доменом, чтобы избежать входа на DC.

Из объяснения видно, что это нормальный случай использования учетных данных единственного администратора для всей инфраструктуры, что большинство людей делает, чтобы избежать неудобств.

Если вы видите проблему здесь, это очень просто понять, что учетная запись администратора контроллера домена использовалась для доступа к серверу базы данных SQL, для которой вы смогли извлечь билет. Теперь, когда дело доходит до рекомендаций, я бы посоветовал следующее.

Это общие рекомендации, о которых должен позаботиться каждый администратор.

  1. Предпочитайте использование локальной учетной записи администратора вместо того, чтобы повсюду распылять пароль учетной записи доменного администратора. Если кто-то сможет сделать это для каждого сервера, они смогут уберечь себя от таких инцидентов.

  2. Все сервера (по крайней мере) должны быть настроены на “Не кэшировать учетные данные”. Это можно сделать в Конфигурации компьютера\Настройки Windows\Настройки безопасности\Локальные политики\Параметры безопасности\Интерактивный вход: количество предыдущих входов для кэширования. Установите значение 0.

Проблема с пунктом 2 в том, что если AD недоступен, пользователи могут не иметь возможности войти в систему. Так что здесь есть небольшая компромисс, который следует учитывать.

  1. Администраторы должны использовать отдельные учетные записи для своих административных задач.

Какие другие рекомендации существуют?

Я уже поделился выше.

Используйте Credential Guard для защиты от сброса билетов kerberos

Да, это должно быть использовано, и также рекомендуется иметь соответствующий инструмент SIEM и настроить его таким образом, чтобы выявлять такие попытки, чтобы своевременно можно было принять правильные меры.

Какой правильный/безопасный способ входа на DC? Предполагаю, что нужен jumpbox?

Следуйте вышеуказанным рекомендациям, и Jumpbox – это дополнительный уровень, который можно использовать.

Ответ или решение

Безопасный доступ к контроллеру домена: Полное руководство

В современном мире информационных технологий безопасный доступ к контроллерам домена (DC) является ключевым аспектом для защиты корпоративной инфраструктуры. Ваша ситуация, связанная с компрометацией билета Kerberos, выявляет уязвимости, которые могут подвергать риску вашу систему. Рассмотрим, как безопасно входить в контроллер домена и предотвратить подобные инциденты.

1. Разделение учетных записей

Первое и самое важное правило заключается в разделении учетных записей. Администраторы должны использовать отдельные учетные записи для выполнения административных задач вместо использования учетной записи администратора домена для всех операций. Это ограничит доступ к учетной записи и снизит шанс компрометации.

2. Установка локальных учетных записей

Использование локальных учетных записей вместо учетных записей администратора домена является важным шагом. Благодаря этому, даже если одна из учетных записей будет скомпрометирована, злоумышленник не получит доступ ко всем серверам.

3. Настройки кэширования учетных записей

Рекомендуется установить параметр "Не кэшировать учетные данные" на всех серверах, чтобы предотвратить кэширование Kerberos-билетов. Это можно сделать через групповую политику:

  • Путь: Конфигурация компьютера -> Настройки Windows -> Безопасность -> Локальные политики -> Настройки безопасности -> Логон интерактивный: Количество предыдущих входов, которые необходимо кэшировать.
  • Установите значение на 0.

Важно помнить, что такое регулирование может создать проблемы с доступом при отключении Active Directory, поэтому стоит проанализировать этот компромисс.

4. Ограничение прав доступа

Необходимо установить минимум прав для учетных записей, используемых администраторами. Это позволит снизить вероятность несанкционированного доступа. Рассмотрим использовать "группы доступа с ограниченными правами" для выполнения рутинных задач.

5. Использование защищенного Jumpbox

Jumpbox (или управляющий сервер) является дополнительным уровнем безопасности. Это специализированный сервер, к которому может обращаться ограниченное количество администраторов для доступа к контроллерам домена. Это значительно снижает риск того, что злоумышленники получат доступ напрямую к критическим системам.

6. Внедрение Credential Guard

Windows Credential Guard предоставляет защиту от извлечения билетов Kerberos из памяти. Это создаст дополнительный барьер для злоумышленников, даже если они получат физический доступ к системе.

7. Мониторинг и обнаружение

Рекомендуется использовать системы мониторинга и анализа событий безопасности (SIEM), чтобы автоматически обнаруживать и реагировать на попытки несанкционированного доступа. Настройка прогрессивных методов обнаружения таких как поведенческий анализ пользователей, поможет быстро реагировать на возможные угрозы.

8. Установление политик безопасности

Серверы должны быть правильно сконфигурированы с точки зрения безопасности. Важно внедрить регулярные обновления и патчи, а также создать жесткие политики безопасности.

9. Ограничение доступа к интернету

Контроллеры домена не должны иметь доступ к интернету. Это минимизирует вероятность внешних атак и снизит риски возможных вторжений.

Заключение

Безопасный доступ к контроллеру домена — это критически важный аспект управления ИТ-инфраструктурой. Применение вышеописанных рекомендаций поможет значительно повысить уровень безопасности. Правильное управление учетными записями, настройка политик безопасности и использование дополнительных уровней защиты сделают ваши системы более устойчивыми к потенциальным угрозам.

kerberos penetration-test windows
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности