Diciamo che proteggiamo tutti i server nel dominio ..
- I controller di dominio consentono l'accesso RDP solo dai server di salto
- Gli amministratori di dominio non possono connettersi ai server non-dc
- E così via
Questo è tutto swell e dovrebbe essere considerato una configurazione sicura per impedire l'esistenza della password di un amministratore di dominio nella memoria di qualsiasi server membro.
Ora diciamo che un utente malintenzionato magicamente riesce ad apprendere una password di amministratore di dominio su uno dei server membri, quindi esegue Mimikatz (o qualsiasi altro strumento di estrazione password) tramite PsExec in remoto sulla DC - game over .
Tuttavia, se imposto il
Deny access to this computer from the network
su controller di dominio e configurarlo per tutti gli amministratori di dominio, si romperà qualcosa?
C'è anche un ragionamento dietro questo, dove in nessun caso gli amministratori di dominio devono autenticare il DC da un altro server, tranne che dal server di salto.
L'ho modellato nel mio laboratorio e niente si rompe, e l'esecuzione di psexec con la password dell'amministratore del dominio non riesce a causa di questa configurazione. questa è una vittoria. domanda è, funzionerà in una rete reale?
Da quanto ho capito, questa restrizione riguarda qualsiasi tentativo di autenticazione effettuato su SMB.
Potrebbe essere spostato su Server Fault.