C'è più rischio nel cambiare la password dell'amministratore localmente rispetto a una posizione centralizzata?

2

Sto lavorando a un meccanismo per gestire meglio le password dei criteri di gruppo in risposta a MS14-025 . In precedenza abbiamo utilizzato questo meccanismo per impostare le password dell'account amministratore locale sulle nostre workstation (principalmente Windows 7)

A tal fine (vedere il metodo che ho delineato di seguito per le specifiche) il mio pensiero è di avere questi client modificati tramite un'attività programmata e salvare la password risultante in un'unità di rete ad accesso limitato. Che tipo di esposizione sto creando consentendo che queste modifiche si verifichino localmente, invece di spostarti da una posizione centrale?

L'unica cosa che ho trovato sono gli scraper di memoria e la possibilità di manipolare il generatore di numeri casuali. Entrambi dovrebbero richiedere già i diritti di amministratore.

Sfondo

Obiettivi

  1. Evita di memorizzare password in testo semplice in un oggetto GPP.
  2. Rotazione su queste password
  3. Imposta una password univoca per dispositivo (evita di passare gli attacchi hash)

Metodo proposto

  1. Configura un'attività pianificata (distribuita per preferenza dei criteri di gruppo, utilizzando l'account di sistema)
    1. Programma mensile / trimestrale / qualunque sia
    2. Esegui sul login dell'amministratore locale, dopo 30 minuti
  2. L'attività esegue eseguibile / script che lo farà
    1. Imposta la password dell'amministratore su una stringa casuale
    2. Salva la password in una directory di rete, utilizzando il nome del computer come riferimento
  3. Abilita il controllo / diritti di accesso limitato / etc su questa cartella.

Combinato con un trigger secondario - diciamo 30 minuti dopo che l'account amministratore locale ha effettuato l'accesso - e avremmo un metodo abbastanza decente per controllare questi account con l'ulteriore vantaggio di sapere chi sta utilizzando l'account Administrator locale.

    
posta Tim Brigham 29.05.2014 - 18:49
fonte

1 risposta

0

Ho trovato un paio di potenziali ulteriori vettori di attacco.

  • Molte lingue usano un indicatore data / ora per impostare i generatori di numeri casuali. Ciò si traduce nell'ottenere la stessa password 'casuale' per tutte le attività eseguite in parallelo. Una possibile soluzione è qui .
  • Sull'interfaccia / sulla cattura dei dati dell'account / della password. Questo può essere mitigato con IPsec.

A seconda dell'implementazione, uno di questi potrebbe consentire l'escalation dei privilegi laterali o verticali.

    
risposta data 11.06.2014 - 16:23
fonte

Leggi altre domande sui tag