IIS - fornire i diritti di amministratore degli account di servizio?

1

Sto guardando un'applicazione in esecuzione su IIS che richiede account di servizio per eseguire alcuni servizi / software, tuttavia l'account di servizio richiede l'accesso ADMIN LOCALE che è contro la politica.

Ci sono alternative? Questo è un segno di un'applicazione che è mal fatta che richiede che gli account di servizio abbiano bisogno di un accesso di amministratore locale?

    
posta deltzy 25.06.2018 - 15:13
fonte

1 risposta

1

Sembra un uomo super abbozzato. La politica è giusta ... Sembra un'app che mi piacerebbe distribuire e testare le mie capacità di pentesting. :)

Vado con la politica e spingo gli sviluppatori a fornire una guida standard di protezione dei diritti minimi possibile per evitare vulnerabilità all'host e, infine, all'intera rete, se l'host è compromesso. Debole vulnerabilità in un'applicazione web potrebbe consentire a un hacker di generare shell per eseguire comandi sul tuo host, ottenere un punto d'appoggio nella tua rete e iniziare attacchi all'interno della tua rete ...

Probabilmente lo testerei su un server di sviluppo di laboratorio ... manterrai i tweaking e hardening con i diritti utente di base. Quindi continua a indurire finché l'applicazione non si rompe. Una volta indurito, dovresti utilizzare solo un account amministratore non di dominio sulla casella. Soprattutto con un amministratore non di dominio, dovrebbe essere una parola molto complessa, non di dizionario, e almeno una password di 14 caratteri utilizzata solo per quella casella. Evita il riciclaggio delle credenziali.

Quindi, quando si effettua il login come amministratore dopo che tutte le credenziali del dominio sono state cancellate e la casella è stata rinforzata, se l'account admin della casella viene ottenuto tramite gli attacchi di escalation dei privilegi, ridurrà la superficie di minaccia in rapida crescita dell'attacco. L'attaccante deve iniziare il backover a ground-0 sul pivot perché le credenziali per gli amministratori di dominio non risiedono sul sistema da strumenti come mimikatz o fgdump. Quindi devono enumerare e ricominciare da zero, dando al team delle operazioni di sicurezza il tempo di rispondere. Non è un sacco di tempo, ma abbastanza per rilevare i comportamenti anomali degli account di servizio.

Se stai solo cercando una serie di istruzioni su come avviare il lavoro di base di hardening in Windows. Potresti voler fare un'immersione profonda e sperimentare con una scatola di sviluppo isolata per Windows fino a quando non ti abbassi. Basta configurare IIS con una "shell Web" di base e bloccarlo finché la shell Web non sarà quasi inutilizzabile. Puoi google "ASP Webshell" e ti darà del codice da testare in IIS. Quindi rimuovere completamente la webshell dal sistema! < - molto importante per ovvi motivi!

Continua ad accordare il tuo indurimento fino a quando non sei pronto per eseguire la configurazione di produzione e assicurati di prendere molte note. Sono certo che ci sono guide là fuori e MSDN ha molte risorse da aiutare.

Panoramica di base su ciò che farai ... questo è per lo più basato sulla memoria delle nozioni di base essenziali, consulta le guide di approfondimento da CIS per ulteriori consigli sulle policy più dettagliate.

  1. Crea un account funzionale
  2. Rimuovi i diritti utente per quell'account
  3. Preferibilmente on-board quell'account in una soluzione di password come CyberArk
  4. Crea un gruppo di sicurezza per i diritti "Esegui come servizio"
  5. Apri SecPol e rimuovi tutti i diritti su Esegui come servizio tranne il tuo nuovo gruppo di sicurezza
  6. Aggiungi quell'account funzionale a quel gruppo di sicurezza
  7. Limita il gruppo di sicurezza da molte funzioni utente di base diverse dai requisiti minimi
  8. Configura IIS ei servizi del pool di applicazioni da eseguire su questi account con restrizioni e non fidarti mai che l'app esegua con "servizi di rete" perché un utente malintenzionato otterrà immediatamente privilegi di livello "Sistema" se un attacco ha esito positivo.
  9. Assicurati che questo sistema non sia considerato attendibile per qualsiasi privilegio di AD.
  10. Indurire il file system da tale account di servizio e consentirgli solo l'accesso alla quantità minima di dati necessari per operare. (. Librerie Nette secondo necessità, registrazione IIS, ecc.)
risposta data 25.06.2018 - 19:30
fonte

Leggi altre domande sui tag