Windows 도메인 계정이 손상된 후에는 어떻게됩니까?

14

도메인의 계정 중 하나가 손상되는 시나리오를 준비 중입니다. 다음에 수행 할 작업은 무엇입니까?

계정을 사용 중지하면 첫 번째 답이되지만 몇 주 전에 여기에 테스터가 있었고 몇 달 전에 떠난 관리자의 해시 로그인을 사용할 수있었습니다.

지금까지 두 가지 대답은 다음과 같습니다.

  1. 계정을 삭제하고 다시 만드십시오 (새 SID를 생성하지만 사용자를 위해 더 많은 드라마를 만들고 우리를 위해 일하십시오)
  2. 비밀번호를 3 번 ​​이상 변경하고 계정을 사용하지 않도록 설정

귀하의 방법은 무엇입니까, 또는 무엇을 추천 하시겠습니까?

active-directory  security 
JurajB
소스
1
손상된 관리자 계정 인 경우 사용자 고유의 목적으로 더 많은 관리자 계정을 만드십시오. 낮은 개인 (일반 사용자) 계정 인 경우 네트워크 검사를 수행하고 관리자 계정을 찾아 손상시킵니다. 일반 사용자를 소유하면 더 많은 "대상"공격을 수행 할 수 있습니다.
blaughw
4
몇 달 전에 떠난 관리자 사용자의 계정이 해당 사용자의 출발시 비활성화되지 않았다고 말하고 있습니까? 이 예가 계정 사용 중지의 효과 또는 비 효과에 대해 어떻게 말하는지 알 수 없습니다. 비밀번호를 한 번이 아니라 3 번 변경하는 이유는 무엇입니까?
토드 윌콕스
@ToddWilcox 계정이 탈퇴하고 그룹이 삭제되었을 때 (사람들이 떠날 때의 표준 관행 임) 계정이 비활성화되었지만 계정을 사용하여 액세스 할 수 있다고 주장했습니다.
JurajB
따라서 토큰이 올바르게 제거되지 않았습니다. 토큰이 만료되고 모든 시스템에서 해당 계정에 대한 액세스가 제거되기를 원합니다
Rory Alsop

답변:

8

표준 사용자 계정 만 손상된 경우 암호를 한 번 변경하고 계정을 활성화 한 상태로 두는 것이 좋습니다. 비밀번호가 변경되면 해시는 작동하지 않습니다. 계정이 비활성화 된 경우에도 작동하지 않습니다. 펜 테스터 자신으로서 펜 테스터가 Kerberos 티켓을 사용하고 있는지 궁금합니다. 특정 상황에서 암호가 변경되거나 계정이 비활성화되거나 삭제 된 경우에도 계속 작동 할 수 있습니다 (완화 링크 참조).

도메인 관리자 계정이 손상된 경우 말 그대로 게임 오버입니다. 도메인을 오프라인으로 전환하고 모든 비밀번호를 변경해야합니다. 또한 krbtgt 계정 암호를 두 번 변경해야합니다. 그렇지 않으면 공격자는 여전히 도난 된 정보로 유효한 Kerberos 티켓을 발급 할 수 있습니다. 모든 작업을 완료하면 도메인을 다시 온라인 상태로 만들 수 있습니다.

변경된 비밀번호를 추측 할 수 없도록 계정 잠금 정책을 구현하십시오. 계정 이름을 바꾸지 마십시오. 공격자는 로그인 이름을 쉽게 찾을 수 있습니다 .

또 다른 중요한 점은 사용자를 훈련시키는 것입니다. 그들은 아마도 현명하지 못한 일을했을 것입니다. 침입자는 암호를 알지 못하고 해당 계정으로 프로세스를 실행 중일 수 있습니다. 예를 들어 공격자가 시스템에 액세스 할 수 있도록하는 악성 프로그램 첨부 파일을 열면 사용자 계정으로 실행됩니다. 그들은 당신의 암호를 모른다. 관리자가 아닌 이상 암호 해시를 얻을 수 없습니다. 사용자가 워크 스테이션에서 로컬 관리자로 실행하지 못하게하십시오. 도메인 관리자가 도메인 관리자 권한으로 워크 스테이션에 로그인하지 못하게하십시오!

추가 정보 / 완화 링크 :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

bao7uo
소스
학계와 같이 비교적 관대 한 환경에서 일한다면 어떨까요? 재직 기간이 있고 "훈련"을받지 않으려는 사용자를 다룰 수 있으며 재직 기간이 있기 때문에 사용자를 제거하거나 권한을 축소 할 수 없습니다.
캐서린 빌리 드
3
항상 모범 사례를 권장합니다. 100 % 구현할 수없는 조직이 항상있을 것입니다. 어떤 사람들은 자신을 법보다 위와 같이보고, 어떤 조직은 정책 / 보안을 공정하고 균일하게 적용하는 것보다 임기 / 자아가 더 중요하다고 생각합니다. 그러한 사람들과 조직은 그들의 행동의 결과에 대해 책임을 져야 할 것입니다. 학계가 외국의 관심사에 가치가있는 중요한 연구를 찾고 있지 않기를 바랍니다 .....
bao7uo
1
나는 황금 티켓과 pth 완화에 대해 MVA 과정을 몇 번했지만 내 암호는 2 개의 암호를 기억하므로 한 번이 아니라 두 번 이상 변경해야한다는 것을 이해했습니다. krbtgt의 스크립트조차도 두 번 수행합니다.
JurajB
1
krbtgt의 스크립트조차도 두 번 수행합니다. 그렇다면 (사용자 계정에 대한) 최선의 선택은 암호를 두 번 변경 한 다음 계정을 비활성화하는 것입니까?
JurajB
2
You need to bring your domain offline. 소규모 사무실에서는 효과가있을 수 있지만 대기업이 도메인 / 포리스트를 오프라인으로 전환 할 가능성은 거의 없습니다.
Greg Askew
12

그들은 몇 달 전에 떠난 관리자의 해시 로그인을 사용할 수있었습니다.

도난 된 자격 증명 해시는 네트워크에 연결되지 않은 컴퓨터에 있지 않으면 사용하지 않는 계정에 대해서는 작동하지 않습니다. 프로세스는 여전히 티켓을 요청하거나 도메인 컨트롤러로 인증해야합니다. 계정이 비활성화되어 있으면 그렇게 할 수 없습니다.

퇴사 할 때 전직 직원에 대한 관리 계정을 비활성화해야합니다.

그렉 비 스케
소스
도난 된 자격 증명 해시는 공격자에게 어떻게 도움이됩니까? 실제 암호가 없으면 레인보우 테이블을 사용하여 작은 암호를 얻는 것을 제외하고 해시에서 암호를 다시 가져올 수있는 방법이 없습니다. 맞습니까? 내가 여기서 무엇을 놓치고 있는지 잘 모르겠습니다.
Chirag Bhatia-chirag64
1
@ ChiragBhatia-chirag64 인증 체계가 재생 방지 기능이 있다고 가정합니다. 그렇지 않은 경우 해시 만 인증하면됩니다.
Jonas Schäfer
Windows 인증 체계가 텍스트 암호 대신 실제 해시를 사용하는 예를 들어 줄 수 있습니까? 죄송합니다 바보 같은 질문 같은이 소리는, 내가 전에 이러한 구현을 본 적이 없다면 (또는 어쩌면 내가 오해 Windows 인증 메커니즘)
치라 바 티아 - chirag64
3
@ ChiragBhatia-chirag64 en.m.wikipedia.org/wiki/Pass_the_hash
Greg Askew
@GregAskew 감사합니다, 나는 이것이 Windows 인증에 관한 일인지 전혀 몰랐습니다. 놀랍게도 그들은 대신 암호를 보내기 위해 SSL과 같은 것을 사용하지 않습니다. 이것은 나에게 큰 보안 문제처럼 보입니다.
Chirag Bhatia-chirag64
3

표준 사용자 계정을 가정하면 다음을 고려할 수 있습니다.

  1. 비밀번호를 변경하십시오.
  2. 계정을 비활성화하십시오.
  3. 계정 이름을 바꾸고 (사용자 이름 의심) 영향을받는 사용자의 새 계정을 만듭니다.
  4. "비활성화 / 손상된 사용자"보안 그룹에 의심스러운 계정을 추가하십시오.

# 4의 경우 이미 다음을 수행하는 그룹 정책이 있습니다.

  • 네트워크에서이 컴퓨터에 대한 액세스 거부 : "비활성화 / 손상된 사용자"
  • 원격 데스크톱 서비스를 통한 로그온 거부 : "비활성화 / 손상된 사용자"
  • 로컬 로그온 거부 : "비활성화 / 손상된 사용자"

도메인 관리자 계정의 경우 전체 네트워크가 토스트입니다.

캐서린 빌라 드
소스
왜 비밀번호를 두 번 이상 변경하는 것이 좋습니다?
bao7uo
도메인 관리자 계정이 손상된 경우 모든 사용자 계정이 손상되었음을 의미합니다. 모든 사용자 계정의 이름을 바꾸시겠습니까?
bao7uo
1
@PHPaul : 침입에 따라 계정이 여전히 사용중인 경우 이름을 바꾸는 것이 올바른 전술 일 수 있습니다. 물론 모든 계정의 이름을 바꾸는 것은 권장하지 않습니다.
Greg Askew
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.