Applicherà questa restrizione agli amministratori di dominio "rompere la rete"?

9

Diciamo che proteggiamo tutti i server nel dominio ..

  • I controller di dominio consentono l'accesso RDP solo dai server di salto
  • Gli amministratori di dominio non possono connettersi ai server non-dc
  • E così via

Questo è tutto swell e dovrebbe essere considerato una configurazione sicura per impedire l'esistenza della password di un amministratore di dominio nella memoria di qualsiasi server membro.

Ora diciamo che un utente malintenzionato magicamente riesce ad apprendere una password di amministratore di dominio su uno dei server membri, quindi esegue Mimikatz (o qualsiasi altro strumento di estrazione password) tramite PsExec in remoto sulla DC - game over .

Tuttavia, se imposto il

Deny access to this computer from the network

su controller di dominio e configurarlo per tutti gli amministratori di dominio, si romperà qualcosa?

C'è anche un ragionamento dietro questo, dove in nessun caso gli amministratori di dominio devono autenticare il DC da un altro server, tranne che dal server di salto.

L'ho modellato nel mio laboratorio e niente si rompe, e l'esecuzione di psexec con la password dell'amministratore del dominio non riesce a causa di questa configurazione. questa è una vittoria. domanda è, funzionerà in una rete reale?

Da quanto ho capito, questa restrizione riguarda qualsiasi tentativo di autenticazione effettuato su SMB.

Potrebbe essere spostato su Server Fault.

    
posta Franko 09.12.2016 - 22:57
fonte

1 risposta

2

La foresta ESAE (rossa) è ora il consiglio goto per la protezione di Active Directory. link

Senza conoscere le complessità della tua rete, è difficile dirlo con certezza, ma i Domain Admins non richiedono l'accesso alla rete ai controller di dominio che io conosca, ma potrebbe essere una mossa rischiosa senza test. Detto questo, ovviamente richiederebbe l'accesso fisico a tali dispositivi.

La soluzione migliore è utilizzare un modello a livelli per l'accesso privilegiato in cui i controller di dominio sono di livello 0, i server membri oi server riservati sono di livello 1, il livello due è desktop. Non dovrebbe esserci attraversamento verticale dei conti, quindi un amministratore può avere un account t0 per DC, t1 per server membri e t2 per desktop mgmt e t3 per uso utente finale. Nessuno di questi può accedere ad altri livelli. Puoi fare un ulteriore passo avanti con le workstation ad accesso protetto (PAW) (vedi link sopra).

Se i tuoi DA non possono accedere ai tuoi server membri, una compromissione di un server membro di per sé non può rivelare un amministratore di dominio. Dovrebbero continuare a saltare o trovare altre carenze in cui i processi o gli strumenti perdono i dati tra i livelli. È qui che entra in funzione il PAW in cui si dispone di un dispositivo fisico con IPSec che è l'unico dispositivo autorizzato a connettersi a un controller di dominio e nessun altro account può accedervi. Quindi dovresti avere accesso fisico per compromettere il DA e dato che il DA può essere usato solo su quel dispositivo fisico, Mimikatz non lo vedrebbe mai in uso da nessun'altra parte.

Nota: questo diventa più complicato se ci sono dispositivi non Windows da gestire. Questo anche non importa se non sei aggiornato al 100% sulle patch e non segui altre pratiche di sicurezza di base come non eseguire java / adobe su server / DC, limitare l'accesso a Internet a server / DC, implementare la segmentazione della rete, ecc.

Non esitare a contattare se vuoi discutere ulteriormente.

    
risposta data 13.12.2016 - 18:50
fonte

Leggi altre domande sui tag