Rimuovere un privilegio da un account di amministrazione di Windows: idea buona o inutile?

4

Per proteggere un account amministratore di Windows da attacchi come Pass-the-Hash e altre tecniche di token passing (ad esempio tramite lo strumento Incognito), puoi dirmi se è una buona idea rimuovere il privilegio "SeImpersonatePrivilege" su su cui si basa Incognito? Se questo privilegio viene rimosso, dovrebbe essere impossibile impersonare un token, giusto? (ovviamente supponiamo che l'amministratore non abbia bisogno di questo privilegio nei suoi compiti).

D'altro canto, un malware con privilegi di amministratore può chiamare PrivilegeCheck e quindi aggiungi il privilegio" SeImpersonatePrivilege "all'account admin.

Ecco perché ti sto chiedendo se rimuovere SeImpersonatePrivilege sia un buon & idea strong? O inutile?

Grazie.

    
posta Jeremy 09.01.2014 - 16:26
fonte

1 risposta

3

Nel complesso, fintanto che l'amministratore dispone di privilegi sufficienti per svolgere le sue attività di amministrazione, può controllare più o meno direttamente il pieno controllo della macchina. Ad esempio, qualsiasi utente che può accedere alla memoria del kernel può modificare le tabelle che definiscono i propri privilegi e concedersi tutti i privilegi possibili.

La rimozione di un privilegio specifico può essere d'aiuto solo nel caso in cui alcuni malware vengano eseguiti sulla macchina e incappati nella mancanza di privilegi, anche se rimetterli a posto sarebbe facile. Ciò presuppone che il malware installato sia mindless . Inoltre, se il malware può rompere la mancanza di SeImpersonatePrivilege, allora anche il software non malware potrebbe interromperlo.

Questo equivale a mettere una trappola per orsi nel tuo salotto. Un potenziale ladro, brancolando nell'oscurità alla ricerca dei tuoi oggetti di valore e ignaro del tuo astuzia, potrebbe innescare la trappola e renderlo incapace. Tuttavia, questo funziona solo fino a quando i ladri non si adattano: se troppe persone mettono trappole per orsi nel loro salotto, i ladri impareranno a usare una torcia per vedere dove stanno camminando. Inoltre, nessuna trappola per orsi cambierebbe il fatto inquietante che un ladro entrasse nella tua casa e potesse ancora emettere un danno notevole senza entrare nel soggiorno. Infine, la trappola potrebbe ritorcersi contro: tu potrebbe anche inavvertitamente entrare nella tua stessa trappola.

    
risposta data 09.01.2014 - 19:37
fonte

Leggi altre domande sui tag