Esiste un modo più sicuro per gli utenti di accedere al dominio oltre alle sole password?

5

Di 'questo:

Un server NPS che concede l'accesso agli utenti utilizzando i certificati client (EAP-TLS).

Quindi, ad esempio, qualcuno è riuscito a strappare la password dell'amministratore del dominio e accedono al computer utilizzando il nome utente e la password dell'amministratore del dominio. Quindi, utilizzando il loro regolare certificato utente, il server NPS garantisce loro l'accesso alla rete e, in base al loro certificato, li colloca in una normale VLAN Utenti . Quella VLAN Users sarebbe in grado di accedere al controller di dominio, altrimenti nessun utente del dominio potrebbe accedere.

Quindi ora che questa persona ha accesso alla rete, possono accedere al controller di dominio come amministratore anche se non hanno il certificato dell'amministratore. Tutto ciò di cui avevano bisogno era conoscere la password dell'amministratore. Quindi qui i certificati sono sostanzialmente inutili.

Perché non esiste un modo per accedere a un controller di dominio diverso dall'utilizzo di una password semplice? (So che ci sono le smart card, ma sono troppo complicate e costose da configurare). Mi piace perché non riesci a fare in modo che gli utenti del registro del controller di dominio utilizzino i loro certificati?

    
posta Newlo Newly 14.08.2017 - 18:26
fonte

2 risposte

3

Blocca l'accesso all'amministratore del dominio dall'accesso interattivo alle normali workstation dell'utente. Puoi farlo con i Criteri di gruppo.

Limita le connessioni di amministrazione agli host di amministratori attendibili. Il firewall sul controller di dominio (o ACL VLAN) deve limitare le connessioni remote RDP e PowerShell agli host di amministratori attendibili.

Usa 2FA. Si suppone che sia troppo costoso, ma è un requisito comune per soddisfare i più severi standard di sicurezza in questi giorni.

    
risposta data 15.08.2017 - 02:16
fonte
4

La distribuzione del meccanismo di autenticazione EAP-TLS come descritto dimostra solo che l'utente autorizzato an sta facendo funzionare il dispositivo. Questo potrebbe essere un certificato nel profilo dell'utente locale, nel profilo del computer o collegato a un TPM. Alla fine però, una volta eseguita l'autenticazione, la rete può solo assumere che tutto il traffico di rete successivo sia autorizzato.

L'attacco che citi è concettualmente lo stesso di una persona che accede a una workstation sbloccata per connettersi a una risorsa usando credenziali rubate. Per quanto riguarda la sessione, l'utente autorizzato sta eseguendo l'azione.

Se parli di rete (condivisione file / amministrazione remota), bloccarla con i meccanismi di autenticazione estesa è molto difficile. Il blocco dell'accesso alla console locale (RDP) è semplice come il firewall che porta agli host che sono strongmente autenticati e segregati in rete.

La radice dei tuoi problemi è la password dell'account dell'amministratore del dominio. È buona pratica concedere le autorizzazioni solo come richiesto e l'appartenenza all'amministratore di dominio viene quindi limitata in modo che gli amministratori non siano membri di quel gruppo nel normale corso del lavoro.

Se è necessario eseguire una funzione con tali privilegi, un processo ben controllato per concedere temporaneamente tali autorizzazioni avrà più vantaggi rispetto al tentativo di aumentare i meccanismi di autenticazione di Windows.

    
risposta data 15.08.2017 - 11:21
fonte

Leggi altre domande sui tag