How does this setting mitigate a "privilege escalation from credential theft" attack?
La risposta alla domanda dipende dai dettagli precisi di come funziona l'impostazione Deny access to this computer from the network
. Dobbiamo capire esattamente cosa fa questa impostazione prima di poter dire che è utile per mitigare una potenziale vulnerabilità.
Che cosa fa questa impostazione?
Questa impostazione è un "accesso negato" forzato per le connessioni di rete SMB remote, anche se le connessioni sono consentite tramite altri mezzi. È simile a una voce "Nega" in un elenco di controllo di accesso ed è valutata prima di Allow access to this computer from the network
(proprio come con gli elenchi di controllo di accesso in Windows). Inoltre, è importante capire che questa impostazione non si applica alle connessioni RDP. Due esempi comuni di connessioni SMB sono il comando "Net use" e gli snap-in MMC come lo strumento Event View.
Qual è il rischio delle connessioni SMB remote?
Le connessioni SMB remote non espongono le credenziali su un host remoto. Questo significa che se mi collego a un sistema compromesso con un account privilegiato utilizzando solo una connessione SMB remota (ad esempio, uno snap-in MMC), le credenziali dell'account con privilegi non vengono esposte sul sistema compromesso.
In che modo questa impostazione attenua la minaccia di furto di credenziali?
Le connessioni SMB remote non espongono le credenziali, quindi non vi è alcun rischio di furto di credenziali. Pertanto l'impostazione Deny access to this computer from the network
non è necessaria per mitigare questa minaccia.
Perché questa impostazione è suggerita come rimedio per prevenire il potenziale furto di credenziali?
Sembra esserci una discreta quantità di incomprensioni su cosa fa Deny access to this computer from the network
. Correttamente inteso, questa impostazione non è necessaria per mitigare il furto delle credenziali perché le credenziali non sono esposte dalle connessioni SMB remote.
Spiegazione per analogia
Supponiamo che ci sia una giovane donna di nome Emilia che ha sentito dire che esiste un negozio di borsette con una borsetta che vuole comprare. Il negozio si trova in una parte della città, nota per un gruppo di ladri che ruba furtivamente le carte di credito delle persone a loro insaputa, quindi il negozio ha provato a ridurre alcuni prezzi per aumentare gli affari. Questo accadeva nei giorni precedenti a Internet e ai siti web, e lei sente una pubblicità alla radio che ha una borsa particolare che vuole comprare.
Vuole verificare il prezzo per se stessa, quindi ha due opzioni: 1) Guida fino al negozio e rischia di rubare la carta di credito, oppure 2) chiama il negozio al telefono e verifica il prezzo. (Sta attento e rifiuta di fornire il suo numero di carta di credito al telefono.)
Qual è il rischio che il suo numero di carta di credito venga rubato da lei se non guida fisicamente verso il negozio di borse? Certo, non vi è alcun rischio, dal momento che la sua carta di credito non è mai fisicamente lì da rubare. [Connessione SMB remota: le credenziali non sono esposte] Se scende al negozio, c'è il rischio che i ladri furbi rubino la sua carta di credito. [Accesso interattivo = potenziale furto di credenziali]
Quindi, in altre parole, questa domanda è la seguente: se Emilia solo chiama il negozio al telefono e non fornisce il suo numero di carta di credito per telefono, qual è il rischio del suo credito numero di carta rubato da lei? La risposta è ovviamente che in questo caso non vi è alcun rischio.
Politica del processo vs. politica tecnica
Sembra che DISA raccomandi questa impostazione per aiutare le organizzazioni a far rispettare una buona politica di processo. Questa impostazione può essere utile in quel contesto per impedire ai membri di Domain Admins
di connettersi a computer remoti usando connessioni SMB e perseguire altri mezzi amministrativi. Tuttavia, la domanda è chiedere i dettagli tecnici di questa impostazione, non le sue implicazioni processo . Al momento sembra che la raccomandazione DISA fornisca una descrizione tecnica errata di questa raccomandazione, mentre in realtà dovrebbero fornire una valida raccomandazione di processo.