도메인 관리자 계정 정책 (PCI 감사 후)

14

고객 중 하나는 Tier 1 PCI 회사이며 감사원은 시스템 관리자 및 액세스 권한에 대해 제안했습니다.

우리는 대략 700 대의 데스크톱 / 80 서버 / 10 도메인 컨트롤러의 전체 Windows 기반 인프라를 관리합니다.

그들은 우리가 세 가지 계정을 가지고있는 시스템으로 옮길 것을 제안합니다.

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC
  • 어디 WS는 계정 만 워크 스테이션에 로그온은 워크 스테이션에서 로컬 관리자입니다
  • 어디 SRV는 단지 비 DC 서버에 로그온이 서버에 로컬 관리자가되는 계정이다
  • 여기서 DC 는 도메인 컨트롤러에만 로그온하는 계정으로 사실상 도메인 관리자 계정입니다.

그런 다음 잘못된 계정에서 잘못된 유형의 시스템에 로그온하지 못하도록하는 정책이 마련되어 있습니다 (DC 이외의 컴퓨터에서 도메인 관리자 계정에 대한 대화 형 로그온 제거 포함).

이는 손상된 워크 스테이션이 도메인 관리자 로그온 토큰을 노출하고이를 도메인 컨트롤러에 재사용 할 수있는 상황을 방지하기위한 것입니다.

이는 일상적인 운영에있어 매우 방해가되는 정책 일뿐만 아니라 공격 / 취약 가능성이 상대적으로 적은 문제를 해결하기 위해 상당한 양의 작업을 수행하는 것으로 보입니다 (이것은 어쨌든 내 이해이며, 아마도이 악용 가능성을 오해 할 것입니다) .

다른 관리자의 의견, 특히 PCI 등록 회사에 관여했으며 비슷한 권장 사항을 경험 한 사람들의 의견을 듣고 싶습니다. 관리자 로그온과 관련된 정책은 무엇입니까?

레코드의 경우 현재 일반적으로 사용하는 도메인 사용자 계정이 있으며 추가 권한이 필요할 때도 상승한 도메인 관리자 계정이 있습니다. 정직하게 말해서 우리 모두는 조금 게으 르며 종종 일상적인 작업을 위해 도메인 관리자 계정을 사용하지만 이는 회사 정책에 위배됩니다 (당신은 이해합니다!).

domain-controller  user-accounts  pci-dss 
패트릭
소스
4
1 단계이기 때문에 CC 지불을받는 네트워크가이 Windows 인프라가있는 것과 동일한 네트워크에 있고 자체적으로 분할되지 않은 것이 놀랍습니다. 규정 준수가 훨씬 쉬워집니다.
TheCleaner
그렇지 않을 수도 있지만 불행히도 그렇지 않습니다. 도메인 사용자의 일부가 아니기 때문에 관리자 계정으로 해당 시스템을 관리 할 수 ​​없습니다. 우리는 (기술적으로) 지불을 처리하는 기계에 접근 할 수 없습니다.
Patrick
나는 여기에 PCI 전문가가 아닙니다 ...하지만 내가 본 몇 가지가 있습니다. 그러나 나는 이것이 요구 사항이라는 것을 기억하지 않습니다. 제안과 요구는 큰 차이가 있습니다. 나는 당신이 당신의 마지막 문단에서 말하는 것을 실천하기 위해 더 열심히 노력할 것이며, 그것이 현실이되도록하는 조치를 취했습니다.
TheCleaner
serverfault.com/questions/224467/… 와 비슷한 경험처럼 들립니다 . 본질적으로 좋은 계획이며 일부 불쾌한 공격을 막을 수 있습니다.
Iain Hallam

답변:

18

저는 Tier 1 PCI 공급 업체에 있습니다. 몇 가지 차이점이 있지만 이와 같은 것이 있습니다.

감사인은 실제로 매우 실제적인 문제를 설명하려고 시도하지만 그 의미와 필요 분석을 설명하는 엄청나게 가난한 일을하고 있습니다.

이제 암호 해시 또는 기존 토큰을 사용하여 시스템을 손상시키는 것이 더 효과적입니다. 분명히, 공격자는 더 이상 사용자 이름과 비밀번호가 필요하지 않습니다. 시스템을 공격하는 더 쉬운 방법이 있습니다. 어떠한 상황에서도 이러한 유형의 공격이 가능하지 않다고 가정하거나 결론을 내릴 수 없습니다. 해시 공격은 이제 사실상의 공격 벡터 입니다.

대부분의 사람들은 스마트 카드를 구현하면 시스템의 보안이 향상 될 것으로 예상하기 때문에 해시 공격은 실제로 스마트 카드 계정에서 더 나쁩니다.

해시 공격으로 인해 계정이 손상된 경우 일반적인 응답은 계정의 비밀번호를 변경하는 것입니다. 인증에 사용되는 해시가 변경됩니다. 또한 일반적인 암호 만료 / 변경은 침입자의 해시가 실패하기 시작하여 침입을 일으킬 수 있습니다. 그러나 스마트 카드의 경우 비밀번호는 '시스템 관리'(사용자가 인증을 위해 비밀번호를 입력하지 않음)이므로 해시는 변경되지 않습니다. 즉, 스마트 카드 계정을 사용하면 암호를 사용하는 계정보다 침입이 눈에 띄지 않게 될 수 있습니다.

고려할 사항은 다음과 같습니다.

  • 많은 대기업이 높은 권한을 가진 계정에 사용하는 스마트 카드 사용 계정의 경우 계정 암호를 자주 변경하십시오. 해시가 변경됩니다. 스마트 카드를 사용하지 않도록 설정하여 계정을 활성화 한 후 다시 스마트 카드를 사용하도록 설정하여 해시를 변경할 수도 있습니다. Microsoft는 24 시간마다이 작업을 수행하지만 사용자 환경에서 발생할 수있는 잠재적 영향을 평가하고 추가 일정을 만들지 않도록 정상 일정을 수립해야합니다.

  • 워크 스테이션의 경우 가능하면 관리 목적으로 도메인 계정을 전혀 사용하지 않을 것입니다. UAC 유형 작업을 향상시키는 데 사용할 수있는 로컬 계정이 있습니다. 이것은 대부분의 고도 요구 사항의 99.9 %를 충족시킵니다. 체계적인 변경 제어 부족과 Java JRE 및 Flash의 존재로 인해 워크 스테이션은 핫 어택 벡터가되는 경향이 있습니다.

    이 방법은 로컬 계정의 암호를 관리하고 시행하는 공식적인 메커니즘이 있으며 각 시스템에서 암호가 고유하며 누군가가 암호를 요청할 수있는 안전한 방법이 있기 때문에 우리에게 효과적입니다. 이 기능을 수행 할 수있는 상용 응용 프로그램도 있습니다.

  • 워크 스테이션에 로컬 계정 솔루션을 제공 할 수 없으면 예, 워크 스테이션에 대한 관리 액세스에 별도의 도메인 계정을 사용해야하고 해당 계정을 서버에 대한 관리 액세스에 사용해서는 안됩니다. 다른 옵션은 LocalSystem을 사용하여 활동을 수행하는 비 대화식 원격 지원 관리 도구와 Windows와는 다른 인증 메커니즘을 사용하는 것입니다.

  • 가장 높은 권한을 가진 계정 (Enterprise Admin, Domain Admin 등)의 경우 점프 서버 만 사용하십시오. 이 서버에는 가장 제한적인 보안, 변경 제어 및 감사가 적용됩니다. 다른 모든 유형의 관리 유형 기능에 대해서는 별도의 관리 계정을 갖는 것이 좋습니다. 점프 서버는 LSA 프로세스에서 프로세스 토큰을 지우려면 매일 다시 시작해야합니다.

  • 워크 스테이션에서 관리 작업을 수행하지 마십시오. 강화 된 서버 또는 점프 서버를 사용하십시오.

  • VM을 쉽게 재설정 상자로 사용하여 각 세션 후에 메모리를 지우도록 재설정 할 수 있습니다.

더 읽을 거리 :

https://blogs.technet.com/b/security/archive/2012/12/06/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx

Microsoft 보안 인텔리전스 보고서, 볼륨 13, 2012 년 1 월-6 월
http://www.microsoft.com/security/sir/archive/default.aspx

"Pass-the-Hash 공격에 대한 방어"섹션을 읽으십시오.

두려운 패스 해시 공격을 물
리치십시오 https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753

그렉 비 스케
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.