로컬 계정에 대해 네트워크 로그인을 비활성화해야하는 이유는 무엇입니까?

이 질문은 @SwiftOnSecurity의 트위터 스레드와 관련이 있습니다 : https://twitter.com/SwiftOnSecurity/status/655208224572882944

스레드를 읽은 후에도 여전히 로컬 계정에 대해 네트워크 로그인을 비활성화하려는 이유를 알지 못합니다.

그래서 여기에 내가 생각하는 것이 있습니다, 내가 틀린 곳을 수정하십시오 :

DC와 여러 클라이언트로 AD를 설정했다고 가정 해 보겠습니다. 클라이언트 중 하나는 John입니다. 그래서 아침에 John은 작업을 시작하고 AD 자격 증명으로 데스크톱 PC에 로그인합니다. 정오에, John은 회의를 향해 나가서 그의 컴퓨터를 잠급니다 (Windows + L). 그런 다음 개인 랩톱을 사용하여 원격으로 (RDP 등) 사무실에서 자신의 PC에 다시 연결해야합니다. 그러나이 새로운 정책을 사용하면 그렇게 할 수 없습니다.

Securitay가 제공하는 설명은 암호가 소금에 절이지 않았다는 것입니다. 그러나이 경우 침입자는 어떻게 액세스 할 수 있습니까? 어느 쪽에서 암호가 소금에 절이지 않습니까? 아니면 내 마음 속에있는 상황이 그녀가 말하려는 것과 완전히 관련이 없는가? 이것이 사실이라면, 그녀는 실제로 무엇을 말하려고 하는가?

— 그 남자
소스

설명 된 문제가 무엇인지 잘 모르겠지만 시나리오에서 사용 된 계정 중 어느 것도 로컬 계정이 아닙니다. 권리?

— Martijn Heemels

아무것도 아니고, 위법 행위가 아니라 게시물 작성자에게 물어 보는 것이 어떻습니까? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."

— joeqwerty

@joeqwerty 작성자가 바쁘게 응답하지 않는 경우가 많습니다.

— tedder42

@joeqwerty 그녀는 그녀의 1989 투어에있어 그녀는 꽤 바쁘다 ...

— The Man

로컬 계정에 대해 네트워크 로그인을 비활성화해야합니까? 원격 UAC에 의해 기본적으로 비활성화되어 있지 않습니까?

— chris

답변:

로컬 계정에 네트워크 로그온을 허용하는 것은 위험하며 보안 관행이 좋지 않습니다. 관리자 그룹 구성원의 경우 실제로이를 과실로 특성화합니다. 측면 이동이 가능하며 계정 로그온이 중앙에서 기록되지 않기 때문에 (도메인 컨트롤러에서) 감지 및 감사가 어렵습니다.

이 위협을 완화하기 위해 Microsoft는 실제로 "네트워크에서이 컴퓨터에 대한 액세스 거부"사용자 권한에 추가 할 두 가지 새로운 내장 보안 식별자를 만들었습니다.

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

— 그렉 비 스케
소스

답변 주셔서 감사합니다. 그래서 올바르게 이해하겠습니다 :

— The Man

RDP가 활성화 된 DC (SERVER1)가 있다고 가정하겠습니다. 개인 랩톱 (AD 도메인에 연결되지 않은)에 동일한 관리자 사용자 이름과 암호가 있습니다. 따라서 SERVER1을 관리하려면 개인 랩톱에서 RDP를 통해 연결하십시오. 그러나 어느 날 개인 랩탑을 도난 당했고 도둑이 관리자 권한으로 랩톱에 액세스 할 수있었습니다. 그런 다음 로컬 사용자의 비밀번호 해시를보고 동일한 해시를 사용하여 서버에 연결할 수 있습니다. 이 시나리오가 맞습니까?

— 남자

그러나 (이 시나리오가 맞으면) 더 많은 질문이 제기되었습니다. 다른 사용자에 대해 다른 비밀번호를 사용했다면 전혀 위험하지 않습니까? 또한이 경우 네트워크 로그온을 활성화하는 것이 어떻게 중요합니까? 공격자가 실제 액세스 권한없이 액세스하여 구성 할 수 있기 때문입니까?

— 남자

둘 다 그렇습니다. 그러나 감사인이이 위험에 대한 충분한 보상 제어로 다른 암호를 사용하는 것을 의심합니다. 네트워크 로그온을 위해 로컬 관리자 계정을 활성화하는 것은 공격을받을 때 전함을 침몰시키는 일종의 측면 이동입니다. 로컬 관리자 계정은 로컬 액세스 전용이어야하며 네트워크를 통해서는 안됩니다.

— Greg Askew

몇 가지를 명확히하기 위해. 둘 다 그렇다. 당신은 내가 제안한 최신 시나리오가 맞다는 것을 의미한다. 또한 네트워크 로그온을 사용하면 상황이 얼마나 나빠 집니까? 네트워크 로그온을 활성화하면 공격자가 액세스하는 방법을 여전히 알 수 없으므로 이것을 묻습니다. 또한 네트워크 로그온을 비활성화하면 서버에 인터페이스 / 구성하는 유일한 방법은 물리적 액세스입니까?

— 남자

아니요, 예제 시나리오가 올바르지 않습니다. 그가 AD 자격 증명을 사용하여 로그인하면 모든 것이 정상입니다. 문제는 로컬 계정, 즉 개별 컴퓨터에서 만들어지고 개별 컴퓨터에만 존재하는 계정과 관련이 있습니다. 예를 들어. \ Administrator이지만 컴퓨터 도메인 (COMPUTERNAME \ USERNAME)의 모든 계정에 적용됩니다. AIUI의 보안 위험 "은 로컬 계정 (예 : 로컬 관리자)이 여러 컴퓨터에서 동일한 암호를 공유하는 경우 컴퓨터에서 암호 해시를 추출하고 경우에 따라 해시를 재사용 할 수 있다는 것입니다 (맬웨어 감염으로) 또는 다른 공격자)가 컴퓨터간에 측면으로 이동합니다.

— 미카
소스

답변 해 주셔서 감사합니다. 그러나 보안이 어떻게 손상 될 수 있는지에 대한 예제 시나리오를 제공 할 수 있습니까?

— 남자

Contoso는 고정 로컬 관리자 암호를 사용합니다. Contoso는 로컬 계정의 네트워크 로그인을 방해하지 않습니다. 사용자에게는 일종의 맬웨어가 발생하여 관리자 권한으로 실행됩니다. 비밀번호 해시를 추출합니다. 내가 실수하지 않으면 일부 상황에서 인증에 해시를 사용하는 방법이 있습니다. 또는 해시가 깨지기 쉽거나 무지개 테이블 또는 기타 물건에 쉽게 닿을 수 있습니다. 그런 다음 맬웨어가 모든 컴퓨터에 연결되어 확산됩니다. 뿐만 아니라 DC 나 중앙 PC, 개별 PC에만 기록되지 않기 때문에 진행 상황을 파악하기가 어렵습니다.

— Micha