Quali sono i rischi posti dall '"autenticazione pass-through" e come vengono mitigati?

Naviga le tue risposte
3

Related:
Local Admin has Domain Admin rights

"Autenticazione pass-through" su sistemi Windows consente la possibilità per gli account utente con lo stesso nome e password di impersonarsi a vicenda, anche se non è possibile che abbiano gli stessi privilegi.

Esempio:

Say we have a standalone PC, not joined to any domain. The PC is called MyPC, and it has an account called MyAdmin. The password for MyAdmin is, unoriginally, password.

Then we have a domain called MyDomain. The network administrator decided to call a Domain Administrator account MyAdmin and, in a demonstration of sheer incompetence, gave it a password of password.

For whatever reason, a completely unfiltered network connection exists between MyPC and all of the computers on MyDomain.

Any person who can log in to MyPC as MyPC\MyAdmin can exercise full Domain Administrator privileges on any system in MyDomain, as if they had actually logged in as MyDomain\MyAdmin, without being prompted to enter any additional credentials.

Intuitivamente, questo sembra sbagliato perché (sebbene possano avere lo stesso nome utente e password) MyPC\MyAdmin e MyDomain\MyAdmin sono due account utente diversi, creati in ambiti diversi, con autorizzazioni differenti. Tuttavia, quali sono i rischi reali per la sicurezza che questo pone? Come possono essere mitigati quei rischi o come sono già mitigati dal design? Il rischio cambia se il "rogue" MyAdmin è un account locale su un computer che è unito al dominio invece di un semplice sistema standalone?

    
posta Iszi 23.10.2013 - 23:43
fonte

1 risposta

3

Ecco la parte difficile del problema nella tua domanda: Non esiste . No no, non sto diventando snarky. Ascoltami.

Hai un account amministratore di dominio con la password password (o qualsiasi password di quel tipo) e l'utente malintenzionato ha creato un account locale con lo stesso nome utente e password. Senza la necessità di creare un account locale, l'utente malintenzionato può semplicemente utilizzare il nome utente MyAdmin e la password password per accedere e utilizzare MyDomain\MyAdmin .

Il problema non ha nulla a che fare con lo schema di autenticazione pass-through, il problema è con l'utilizzo di tali password. Anche se, ad esempio, hai disattivato l'intera funzionalità, l'utente malintenzionato può comunque utilizzare la combinazione di nome utente e password.

Se ti fa dormire meglio di notte, puoi disabilitare completamente il traffico di autenticazione NTLM in entrata impostando la seguente politica di sicurezza in Criteri di gruppo \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Incoming NTLM traffic a Deny all domain accounts .

    
risposta data 24.10.2013 - 03:01
fonte

Leggi altre domande sui tag

Definizione dei cifrari a blocchi leggeri Protezione per impronte digitali OS: perché non per impostazione predefinita?