Почему вы должны отключить сетевой вход для локальных учетных записей?

Этот вопрос относится к ветке @ SwiftOnSecurity в Twitter: https://twitter.com/SwiftOnSecurity/status/655208224572882944.

Прочитав ветку, я все еще не совсем понимаю, почему вы хотите отключить сетевой вход в систему для локальных учетных записей.

Так вот что я думаю, пожалуйста, поправьте меня, где я не прав:

Скажем, у меня AD, настроенный с DC и несколькими клиентами. Одним из клиентов является Джон. Утром Джон отправляется на работу и входит в свой настольный ПК с учетными данными AD. В полдень Джон отправляется на встречу и «блокирует» свой компьютер (windows + L). Затем он должен подключиться к своему ПК обратно в офис, используя свой персональный ноутбук удаленно (через RDP или что-то еще). Однако, используя эту новую политику, он не сможет этого сделать.

Объяснение, которое дает Securitay, заключается в том, что пароли не засолены. Однако как злоумышленник получит доступ в этом случае? На каком конце пароль не засолен? Или ситуация, о которой я думаю, совершенно не связана с тем, что она пытается сказать? Если это так, что она на самом деле пытается сказать?

— Тот человек
источник

Я не уверен, что описанная проблема, но в вашем сценарии ни одна из используемых учетных записей не является локальными учетными записями. Правильно?

— Мартин Химельс

Не зря и без обид, но почему бы вам не спросить автора поста? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."

— Joeqwerty

@joeqwerty автор занят исполнением и не часто отвечает.

— tedder42

@joeqwerty Она в туре 1989 года, поэтому она очень занята ...

— Человек

Действительно ли необходимо отключить сетевой вход для локальных учетных записей? Разве он не отключен удаленным UAC по умолчанию?

— Крисом

Ответы:

Разрешение входа в сеть для локальных учетных записей является опасным и плохой практикой безопасности. Для членов группы администраторов я бы охарактеризовал это как халатность. Это обеспечивает боковое перемещение, и его трудно обнаружить и проверить из-за того, что учетные записи не регистрируются централизованно (на контроллерах домена).

Чтобы смягчить эту угрозу, Microsoft фактически создала два новых встроенных идентификатора безопасности, чтобы добавить к праву пользователя «Запретить доступ к этому компьютеру из сети»:

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

— Грег Аскью
источник

Спасибо, что ответили. Итак, позвольте мне понять это правильно:

— Человек

Допустим, у меня есть DC (SERVER1) с включенным RDP. На моем персональном ноутбуке (не подключенном к домену AD) у меня одинаковые логин и пароль администратора. Поэтому, когда я хочу управлять SERVER1, я подключаюсь к нему через RDP с моего личного ноутбука. Однако однажды мой личный ноутбук был украден, и вор смог получить доступ к моему ноутбуку с правами администратора. Оттуда он может увидеть хэш пароля локального пользователя и использовать тот же хеш для подключения к серверу. Будет ли этот сценарий правильным?

— Человек

Однако (если этот сценарий верен), это вызывает больше вопросов. Не было бы никакого риска, если бы я просто использовал разные пароли для разных пользователей? Кроме того, как будет иметь значение вход в сеть в этом случае? Это просто потому, что злоумышленник может получить доступ и настроить его, не имея физического доступа?

— Человек

Да, обоим, но я сомневаюсь, что аудитор согласился бы с использованием разных паролей в качестве достаточного компенсирующего контроля для этого риска. Включение учетных записей локальных администраторов для входа в сеть - это вид бокового движения, которое тонет в вашем линкоре, когда вы атакованы. Учетные записи локальных администраторов должны быть только для локального доступа, а не по сети.

— Грег Аскью

Просто чтобы уточнить несколько вещей. Под «да» обоим вы подразумеваете, что предложенный мною сценарий верен, верно? Кроме того, насколько плохо было бы, если бы вход в сеть был включен? Я спрашиваю об этом, так как до сих пор не понимаю, как включение входа в сеть позволит злоумышленникам получить доступ. Кроме того, если я отключаю сетевой вход в систему, является ли физический доступ единственным способом взаимодействия / настройки сервера?

— Человек

Нет, ваш пример сценария неверен. Если он использует учетные данные AD для входа, все в порядке. Проблема связана с локальными учетными записями, то есть теми, которые созданы и существуют только на отдельных компьютерах. Например,. \ Administrator, но это относится к любой учетной записи в домене компьютера (COMPUTERNAME \ USERNAME). Риск безопасности », AIUI, заключается в том, что если локальные учетные записи (например, локальный администратор) совместно используют один и тот же пароль на нескольких компьютерах, то можно извлечь хэши паролей с компьютера, а в некоторых случаях использовать их повторно (как заражение вредоносным ПО). или другой злоумышленник) перемещаться вбок между компьютерами.

— Миха
источник

Спасибо, что ответили. Однако не могли бы вы привести пример сценария того, как безопасность может быть скомпрометирована?

— Человек

Contoso использует фиксированный пароль локального администратора. Contoso не запрещает вход в сеть для локальных учетных записей. Пользователь получает какую-то вредоносную программу, которая доходит до того, что запускается с правами администратора. Он извлекает хэши паролей. Если я не ошибаюсь, есть способы использовать хеш для аутентификации при некоторых обстоятельствах. Или, может быть, хеш легко взломать, или на радужном столе, или что-то в этом роде. Затем вредоносная программа подключается ко всем машинам и распространяется на них. Не только это, но трудно понять, что происходит, потому что это не регистрируется в DC или где-либо в центре, только на отдельных ПК.

— Миха