Con quasi tutte le porte bloccate sul dominio, non è possibile per l'intruso accedere in remoto al controller di dominio e apportare grosse modifiche al dominio. Qualcuno mi può illuminare sul perché un sacco di risorse sono ancora messe in protezione degli account di amministratore di dominio e quanto danno può fare un intruso con account di amministratore di dominio senza accesso a DC?
Forse questo aiuterà:
Hai detto: "Con quasi tutte le porte bloccate sul dominio, non è possibile per l'intruso accedere in remoto al controller di dominio e apportare grosse modifiche al dominio."
Tutte le porte sono bloccate? in entrata o in uscita? Questa è l'idea dietro ratti / backdoor.
Se un amministratore di dominio può controllare qualsiasi sistema, può disabilitare un sistema dalle restrizioni del dominio se lo desidera. Lasciandoli più vulnerabili di quanto ci si aspetterebbe (una nota di monitoraggio). Se l'amministratore del dominio desiderava accedere al controller di dominio, avrebbe praticamente bisogno di backdoor o monitorare un utente che ha accesso. Possono lanciare exploit che potrebbero richiedere ai privati amministratori di sfruttare. Al giorno d'oggi, le condivisioni di fileshare e vm sono vendute per alcuni soldi. Voglio dire, c'è un intero mondo di possibilità. Se il tuo singolo punto di errore è la tua DC, potresti voler pensare alla piattaforma su cui è attiva la DC. La maggior parte delle persone, è su Windows, con altri servizi, su una scatola fisica schifosa o su un'istanza virtuale. Se si trova in un'istanza virtuale, probabilmente si trova in un altro regno. Le persone hanno scoperto aggressori che usano dns, http, smtp, irc, xmpp, smb, nss, slack web api, altri web api, ecc ... per estrarre dati sulla tua azienda in base alle capacità della tua rete. Alcuni aggressori hanno dozzine di generatori di malware solo per questi tipi di rete e ruotano tra strutture campione fino a quando qualcos'altro funziona (spesso da phishing).
Quindi, per rispondere alla domanda, la tua impresa è a rischio. Non è necessario l'accesso al controller di dominio, che un intruso potrebbe sfruttare meglio per attaccare con credenziali di amministratore di dominio, per possedere un'intera azienda. Questo non è stato pensato come necessario o richiesto per molti anni. L'affermazione che i porti bloccati non cambia davvero questo.
Se la tua intera rete non ha accesso esterno, le campagne PoC hanno dimostrato che ciò non impedisce in realtà a nessuno di dedicarsi alla tua azienda.
Soo .... Il motivo per cui le persone ci mettono tanto impegno è perché si tratta di un requisito di monitoraggio di base se non altro per tentare di proteggere gli account amministrativi che possono compromettere qualsiasi sistema aziendale.