Utilizzo dell'autenticazione a due fattori per arrestare il passaggio dell'hash

Naviga le tue risposte
8

Sto esaminando le attenuazioni di Pass + the-Hash e Pass-the-Ticket in Active Directory che migliorano anche la sicurezza generale della rete. Sono state selezionate alcune delle due opzioni di autenticazione con fattore + per aumentare la sicurezza dell'accesso degli utenti, ma ho appena scoperto che con il modo standard AD di fare l'autenticazione a due fattori sta ancora utilizzando Kerberos o NTLM. Quindi gli attacchi pass-the-hash o pass-the-ticket sono ancora efficaci contro il dominio. Le cose che ho letto sembrano dire che solo gli accessi "interattivi" non sono vulnerabili a questo.

Come posso adottare l'autenticazione a due fattori per gli accessi degli utenti di AD in modo tale da non essere tanto vulnerabili al pass-the-hash / ticket quanto le password? Nella misura in cui è importante, mi riferisco agli ambienti che utilizzano Windows Server 2008 R2 e Server 2012.

    
posta user94394 13.12.2015 - 00:16
fonte

2 risposte

6

Matt Weeks, nel suo Privilege Mapping di valutazione delle credenziali Escalation at Scale talk , discute molte tecniche per prevenire PtH, PtT e PtK (OPtH).

A partire da 41:50 e fino alle 48:52, esamina molti angoli di prevenzione e trucchi - link

I miei consigli preferiti sono la rotazione del KRBTGT settimanale e, se è possibile utilizzare le smart card ruotano quindi l'hash dell'utente ogni giorno. Parla anche di un controllo PtH generico con il blocco del NTLM in ingresso nel dominio.

Il blog DFIR ha un'eccellente serie in tre parti su molti altri rilevamenti e attenuazioni -

  1. link
  2. link
  3. link

Per quanto riguarda l'autenticazione a due fattori e gli schemi di password monouso, non penso che FIDO (ad esempio, YubiKey) o un sistema concorrente possa dissuadere nessuno dei suggerimenti di cui sopra - aggiungerebbe semplicemente alla loro forza di controllo e fornire la riduzione del rischio residuo operativo.

    
risposta data 20.12.2015 - 18:40
fonte
0

Non c'è modo di usare 2FA come mitigazione contro p2H (credenziali di kerberos rubate):

  1. Ci sono 2 tipi di credenziali nella rete Windows AD: token / hash Kerberos e testo in chiaro Login / password.
  2. Kerberos è un protocollo di autenticazione a fattore singolo - autentica l'hash della password o il certificato PKI ma non entrambi. Non esiste un metodo 2FA per proteggere le credenziali Kerberos rubate. (2FA richiede iterazioni utente che contraddicono il principio SSO - nessuna iterazione dell'utente dopo il login iniziale). È necessario implementare un programma di governance della sicurezza, una serie di misure per mitigare PtH.
  3. rubato / compromesso Gli accessi / le password sono protetti utilizzando i metodi 2FA di MS (solo OTP, CA richiesto) o un gruppo di terze parti che consente di utilizzare e combinare una varietà di mezzi 2FA.
risposta data 05.01.2019 - 18:48
fonte

Leggi altre domande sui tag

È possibile utilizzare i motori Javascript eseguiti sulla JVM per implementare l'exploit Spectre? Filtro di uscita del firewall per dominio