Wie geht es weiter, nachdem ein Windows-Domänenkonto kompromittiert wurde?

14

Wir bereiten uns auf ein Szenario vor, in dem eines der Konten in einer Domain kompromittiert wird. Was ist als Nächstes zu tun?

Das Deaktivieren des Kontos wäre meine erste Antwort, aber vor ein paar Wochen hatten wir hier Pentester und sie konnten gehashte Anmeldungen eines Admin-Benutzers verwenden, der vor ein paar Monaten abgereist ist.

Unsere beiden bisherigen Antworten lauten:

  1. Löschen Sie das Konto und erstellen Sie es neu (erstellt eine neue SID, aber auch mehr Drama für den Benutzer und arbeitet für uns)
  2. Ändern Sie das Passwort mindestens dreimal und deaktivieren Sie das Konto

Was wäre Ihre Methode oder was würden Sie empfehlen?

active-directory security JurajB
quelle
1
Wenn es sich um ein gefährdetes Administratorkonto handelt, erstellen Sie weitere Administratorkonten für Ihren eigenen Zweck. Wenn es sich um ein (normales) Benutzerkonto mit geringen Rechten handelt, führen Sie Netzwerkscans durch und suchen Sie ein Administratorkonto, um Kompromisse einzugehen. Wenn Sie einen regulären Benutzer besitzen, haben Sie die Möglichkeit, gezieltere Angriffe auszuführen.
Blaughw
4
Wollen Sie damit sagen, dass der Account des Admin-Benutzers, der vor ein paar Monaten abgereist ist, bei der Abreise dieser Person nicht deaktiviert wurde? Ich glaube, ich sehe nicht, wie dieses Beispiel die Effektivität oder Ineffektivität der Deaktivierung von Konten zeigt. Was ist der Grund dafür, das Passwort dreimal anstatt einmal zu ändern?
Todd Wilcox
@ToddWilcox Das Konto wurde direkt deaktiviert, als die Person ging und Gruppen entfernt wurden (dies ist eine übliche Vorgehensweise, wenn die Leute gingen). Sie gaben jedoch an, dass sie über dieses Konto Zugriff erhalten konnten.
JurajB
Es wurde also nicht richtig entfernt - Sie möchten, dass Token abgelaufen sind und der Zugriff für dieses Konto auf allen Systemen entfernt wird
Rory Alsop

Antworten:

8

Wenn nur ein Standardbenutzerkonto gefährdet ist, sollte es in Ordnung sein, das Kennwort einmal zu ändern und das Konto aktiviert zu lassen. Ein Hash wird nicht funktionieren, wenn sich das Passwort geändert hat. Es funktioniert auch nicht, wenn das Konto deaktiviert ist. Als Pen-Tester frage ich mich, ob die Pen-Tester Kerberos-Tickets verwendet haben. Unter bestimmten Umständen können diese weiterhin funktionieren, wenn ein Kennwort geändert oder ein Konto deaktiviert oder sogar gelöscht wird (siehe Links zur Schadensbegrenzung).

Wenn ein Domänenadministratorkonto kompromittiert wurde, ist das Spiel buchstäblich vorbei. Sie müssen Ihre Domain offline schalten und JEDES Passwort ändern. Außerdem müsste das Kennwort des krbtgt-Kontos zweimal geändert werden, da die Angreifer sonst weiterhin gültige Kerberos-Tickets mit den von ihnen gestohlenen Informationen ausstellen können. Sobald Sie dies alles getan haben, können Sie Ihre Domain wieder online schalten.

Implementieren Sie eine Kontosperrungsrichtlinie, damit geänderte Kennwörter nicht erraten werden können. Benennen Sie Ihre Konten nicht um. Angreifer können leicht die Login-Namen herausfinden.

Ein weiterer wichtiger Punkt ist die Schulung Ihrer Benutzer. Sie haben wahrscheinlich etwas unkluges getan, was bedeutete, dass der Account kompromittiert wurde. Der Angreifer kennt möglicherweise nicht einmal das Kennwort, sondern führt möglicherweise nur Prozesse als dieses Konto aus. Wenn Sie beispielsweise einen Malware-Anhang öffnen, der einem Angreifer Zugriff auf Ihren Computer gewährt, wird dieser als Ihr Konto ausgeführt. Sie kennen Ihr Passwort nicht. Sie können Ihren Passwort-Hash nicht erhalten, es sei denn, Sie sind Administrator. Lassen Sie Benutzer nicht als lokale Administratoren auf ihren Arbeitsstationen laufen. Lassen Sie nicht zu, dass sich Domainadministratoren an Arbeitsstationen mit Domainadministratorrechten anmelden - niemals!

Links für weitere Informationen / Abhilfemaßnahmen:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attackss-12134

bao7uo
quelle
Was ist, wenn Sie in einem relativ freizügigen Umfeld wie der akademischen Welt arbeiten? Möglicherweise haben Sie es mit Benutzern zu tun, die eine Amtszeit haben und nicht bereit sind, "geschult" zu werden, und weil sie eine Amtszeit haben, dürfen Sie sie nicht loswerden oder ihre Berechtigungen reduzieren.
Katherine Villyard
3
Ich empfehle immer Best Practice. Es wird immer einige Arten von Organisationen geben, die es nicht zu 100% umsetzen können. Einige Menschen sehen sich als über dem Gesetz stehend, und einige Organisationen sehen Amtszeit / Ego als wichtiger an als die faire und einheitliche Anwendung von Richtlinien / Sicherheit. Diese Personen und Organisationen müssen die Verantwortung für die Folgen ihres Handelns übernehmen. Hoffen wir, dass diese akademischen Organisationen sich nicht um wichtige Forschungsergebnisse
kümmern, die
1
Ich habe ein paar MVA-Kurse für das goldene Ticket und die p-te Schadensbegrenzung durchgeführt, aber ich habe verstanden, dass es sich 2 Passwörter merkt, daher müssen Sie es mindestens zweimal ändern, nicht nur einmal. Sogar das Skript für krbtgt macht es zweimal.
JurajB
1
Ich kann das Obige nicht bearbeiten, also füge hinzu: Selbst das Skript für krbtgt macht es zweimal. Wäre es dann nicht die beste Wahl (für das Benutzerkonto), das Passwort zweimal zu ändern und dann das Konto zu deaktivieren?
JurajB
2
You need to bring your domain offline. Das mag für ein kleines Büro funktionieren, aber es ist unwahrscheinlich, dass ein großes Unternehmen seine Domäne / Gesamtstruktur einfach offline schalten kann.
Greg Askew
12

Sie konnten gehashte Anmeldungen eines Admin-Benutzers verwenden, der vor ein paar Monaten abgereist war.

Die gestohlenen Anmeldedaten-Hashes funktionieren nicht für Konten, die deaktiviert sind, es sei denn, sie befinden sich auf einem Computer, der nicht mit dem Netzwerk verbunden ist. Der Prozess muss weiterhin ein Ticket anfordern oder sich bei einem Domänencontroller authentifizieren. Das geht nicht, wenn das Konto deaktiviert ist.

Sie müssen administrative Konten für ehemalige Mitarbeiter deaktivieren, wenn diese das Unternehmen verlassen.

Greg Askew
quelle
Wie helfen gestohlene Anmeldedaten-Hashes dem Angreifer? Wenn sie nicht über das eigentliche Passwort verfügen, gibt es keine Möglichkeit, das Passwort aus dem Hash zurückzugewinnen (außer kleine Passwörter mithilfe von Regenbogentabellen zu erhalten), richtig? Ich bin mir nicht sicher, was ich hier vermisse.
Chirag Bhatia - Chirag64
1
@ ChiragBhatia-chirag64 Sie gehen davon aus, dass die Authentifizierungsschemata wiedergabebeständig sind. Dies ist möglicherweise nicht der Fall. In diesem Fall sind die Hashes alles, was Sie zur Authentifizierung benötigen.
Jonas Schäfer
Können Sie ein Beispiel nennen, in dem das Windows-Authentifizierungsschema den tatsächlichen Hash anstelle des Textkennworts verwendet? Entschuldigung, wenn dies nach einer dummen Frage klingt, ich habe noch nie eine solche Implementierung gesehen (oder ich
verstehe den
3
@ ChiragBhatia-chirag64 de.m.wikipedia.org/wiki/Pass_the_hash
Greg Askew
@ GregAskew danke, ich hatte keine Ahnung, dass dies eine Sache in der Windows-Authentifizierung war. Überraschenderweise verwenden sie kein SSL, um stattdessen das Passwort zu senden. Dies scheint mir ein großes Sicherheitsproblem zu sein.
Chirag Bhatia - Chirag64
3

Unter der Annahme eines Standardbenutzerkontos möchten Sie möglicherweise Folgendes berücksichtigen:

  1. Änder das Passwort.
  2. Deaktivieren Sie das Konto.
  3. Benennen Sie das Konto um (Benutzername-Verdächtiger) und erstellen Sie ein neues Konto für den betroffenen Benutzer.
  4. Fügen Sie das verdächtige Konto einer Sicherheitsgruppe "Deaktivierte / Angegriffene Benutzer" hinzu.

Haben Sie für # 4 bereits eine Gruppenrichtlinie eingerichtet, die Folgendes bewirkt:

  • Zugriff auf diesen Computer über das Netzwerk verweigern: "Deaktivierte / gefährdete Benutzer"
  • Anmeldung über Remotedesktopdienste verweigern: "Deaktivierte / gefährdete Benutzer"
  • Lokale Anmeldung verweigern: "Deaktivierte / gefährdete Benutzer"

Für ein Domänenadministratorkonto ist Ihr gesamtes Netzwerk Toast.

Katherine Villyard
quelle
Warum schlagen Sie vor, das Passwort mehr als einmal zu ändern?
bao7uo
Wenn ein Domänenadministratorkonto kompromittiert wurde, bedeutet dies, dass jedes Benutzerkonto kompromittiert wurde. Möchten Sie, dass sie jedes Benutzerkonto umbenennen?
bao7uo
1
@PHPaul: Abhängig vom Einbruch kann das Umbenennen eine gültige Taktik sein, wenn ein Konto noch verwendet wird. Und natürlich wird nicht empfohlen, jedes Konto umzubenennen.
Greg Askew