Warum sollten Sie die Netzwerkanmeldung für lokale Konten deaktivieren?

8

Diese Frage bezieht sich auf den Twitter-Thread von @ SwiftOnSecurity: https://twitter.com/SwiftOnSecurity/status/655208224572882944

Nachdem ich den Thread gelesen habe, verstehe ich immer noch nicht genau, warum Sie die Netzwerkanmeldung für lokale Konten deaktivieren möchten.

Also hier ist was ich denke, bitte korrigieren Sie mich, wo ich falsch liege:

Angenommen, ich habe einen AD mit einem DC und mehreren Clients eingerichtet. Einer der Kunden ist John. Am Morgen macht sich John an die Arbeit und meldet sich mit den AD-Anmeldeinformationen bei seinem Desktop-PC an. Mittags macht sich John auf den Weg zu einem Meeting und sperrt seinen Computer (Windows + L). Anschließend muss er mit seinem persönlichen Laptop (über RDP oder etwas anderes) eine Verbindung zu seinem PC im Büro herstellen. Mit dieser neuen Richtlinie kann er dies jedoch nicht tun.

Die Erklärung, die Securitay gibt, ist, dass die Passwörter nicht gesalzen sind. Wie würde ein Angreifer in diesem Fall jedoch Zugriff erhalten? An welchem ​​Ende ist das Passwort nicht gesalzen? Oder hat die Situation, die ich in meinem Kopf habe, nichts mit dem zu tun, was sie zu sagen versucht? Wenn dies der Fall ist, was versucht sie eigentlich zu sagen?

windows active-directory security group-policy windows-server-2012-r2 Der Mann
quelle
Ich bin nicht sicher, was das beschriebene Problem ist, aber in Ihrem Szenario sind keine der verwendeten Konten lokale Konten. Recht?
Martijn Heemels
4
Nicht umsonst und ohne Beleidigung, aber warum fragst du nicht den Autor des Beitrags? "Someone on the internet said something. Let me ask someone else on the internet what the first person meant."
Joeqwerty
4
@joeqwerty Der Autor ist mit der Aufführung beschäftigt und antwortet nicht oft.
Tedder42
1
@ Joeqwerty Sie ist auf ihrer Tour 1989, also ist sie ziemlich beschäftigt ...
The Man
Ist es wirklich notwendig, die Netzwerkanmeldung für lokale Konten zu deaktivieren? Ist es nicht standardmäßig von der Remote-Benutzerkontensteuerung deaktiviert?
chris

Antworten:

10

Das Zulassen der Netzwerkanmeldung für lokale Konten ist gefährlich und eine schlechte Sicherheitspraxis. Für Administratorengruppenmitglieder würde ich es tatsächlich als Nachlässigkeit bezeichnen. Es ermöglicht seitliche Bewegungen und ist schwierig zu erkennen und zu überwachen, da die Kontoanmeldungen nicht zentral (auf den Domänencontrollern) protokolliert werden.

Um diese Bedrohung abzumildern, hat Microsoft zwei neue integrierte Sicherheitskennungen erstellt, die dem Benutzerrecht "Zugriff auf diesen Computer vom Netzwerk aus verweigern" hinzugefügt werden: 

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

Greg Askew
quelle
Danke für die Antwort. Also lassen Sie es mich richtig verstehen:
Der Mann
Angenommen, ich habe einen DC (SERVER1) mit aktiviertem RDP. Auf meinem persönlichen Laptop (nicht mit der AD-Domäne verbunden) habe ich denselben Administrator-Benutzernamen und dasselbe Kennwort. Wenn ich also SERVER1 verwalten möchte, stelle ich von meinem persönlichen Laptop aus eine Verbindung über RDP her. Eines Tages wurde jedoch mein persönlicher Laptop gestohlen, und der Dieb konnte mit Administratorrechten auf meinen Laptop zugreifen. Von dort aus kann er dann den Kennwort-Hash des lokalen Benutzers anzeigen und denselben Hash verwenden, um eine Verbindung zum Server herzustellen. Wäre dieses Szenario dann richtig?
Der Mann
Wenn dieses Szenario jedoch korrekt ist, wurden weitere Fragen aufgeworfen. Wäre es überhaupt kein Risiko, wenn ich einfach unterschiedliche Passwörter für unterschiedliche Benutzer verwendet hätte? Wie ist es in diesem Fall wichtig, die Netzwerkanmeldung zu aktivieren? Liegt es nur daran, dass der Angreifer Zugriff erhalten und konfigurieren kann, ohne physischen Zugriff zu haben?
Der Mann
2
Ja zu beiden, aber ich bezweifle, dass ein Prüfer unterschiedliche Passwörter als ausreichende Ausgleichskontrolle für dieses Risiko akzeptieren würde. Das Aktivieren lokaler Administratorkonten für die Netzwerkanmeldung ist die Art von seitlicher Bewegung, die Ihr Schlachtschiff versenkt, wenn Sie angegriffen werden. Lokale Administratorkonten sollten nur für den lokalen Zugriff und niemals über das Netzwerk bestimmt sein.
Greg Askew
Nur um ein paar Dinge zu klären. Mit Ja zu beiden meinen Sie, dass das neueste Szenario, das ich vorgeschlagen habe, richtig ist, oder? Wie schlimm wäre es auch, wenn Netzwerkanmeldungen aktiviert wären? Ich frage dies, da ich immer noch nicht sehen kann, wie das Aktivieren der Netzwerkanmeldung den Angreifern den Zugriff ermöglichen würde. Wenn ich die Netzwerkanmeldung deaktiviere, ist der physische Zugriff die einzige Möglichkeit, eine Schnittstelle zum Server herzustellen / zu konfigurieren?
Der Mann
3

Nein, Ihr Beispielszenario ist falsch. Wenn er AD-Anmeldeinformationen verwendet, um sich anzumelden, ist alles in Ordnung. Das Problem betrifft lokale Konten, dh solche, die auf einzelnen Computern erstellt wurden und nur auf diesen vorhanden sind. Zum Beispiel. \ Administrator, dies gilt jedoch für jedes Konto in der Domäne des Computers (COMPUTERNAME \ USERNAME). Das Sicherheitsrisiko ", AIUI, besteht darin, dass, wenn lokale Konten (z. B. der lokale Administrator) dasselbe Kennwort auf mehreren Computern verwenden, es möglich ist, die Kennwort-Hashes vom Computer zu extrahieren und die Hashes in einigen Fällen wiederzuverwenden (als Malware-Befall) oder andere Angreifer) bewegen sich seitlich zwischen Computern.

Micha
quelle
Danke für das Antworten. Können Sie jedoch ein Beispielszenario angeben, wie die Sicherheit gefährdet sein kann?
Der Mann
Contoso verwendet ein festes lokales Administratorkennwort. Contoso verhindert nicht die Netzwerkanmeldung für lokale Konten. Der Benutzer erhält eine Art Malware, die mit Administratorrechten ausgeführt wird. Es extrahiert die Passwort-Hashes. Wenn ich mich nicht irre, gibt es unter bestimmten Umständen Möglichkeiten, einen Hash zur Authentifizierung zu verwenden. Oder vielleicht ist der Hash leicht zu knacken oder auf einem Regenbogentisch oder so. Die Malware stellt dann eine Verbindung zu allen Computern her und verbreitet sich auf diese. Darüber hinaus ist es schwierig herauszufinden, was los ist, da dies nicht auf dem DC oder an einem zentralen Ort protokolliert wird, sondern nur auf den einzelnen PCs.
Micha