Estou em um fornecedor de PCI da Camada 1. Temos algo assim, com algumas diferenças.
Os auditores estão realmente tentando descrever um problema muito real, mas fazendo um trabalho incrivelmente pobre, explicando as implicações e as necessidades de análise.Agora, é mais eficaz comprometer um sistema usando um hash de uma senha ou um token existente. Simplificando, seu invasor não precisa mais do seu nome de usuário e senha. Agora existem maneiras mais fáceis de atacar um sistema. Sob nenhuma circunstância você deve assumir ou concluir que esse tipo de ataque é improvável. Os ataques de hash são agora o vetor de ataque de facto .
Os ataques de hash são realmente piores com contas de cartão inteligente, o que é irônico, porque a maioria das pessoas espera que implementar cartões inteligentes aumentaria a segurança de um sistema.
Se uma conta for comprometida devido a um ataque pass-the-hash, a resposta usual é alterar a senha da conta. Isso altera o hash usado para autenticar. Além disso, uma expiração / alteração normal de senha pode surgir em uma incursão, pois o hash do invasor começaria a falhar. No entanto, com cartões inteligentes, a senha é 'gerenciada pelo sistema' (o usuário nunca insere a senha para autenticar), portanto, o hash nunca é alterado. Isso significa que, com contas de cartão inteligente, uma incursão pode passar despercebida por muito mais tempo do que com uma conta que usa uma senha.
Aqui estão as atenuações que eu consideraria:
-
Para contas ativadas por cartão inteligente, que muitas empresas de grande porte usam para contas altamente privilegiadas, altere a senha da conta em um intervalo frequente. Isso muda o hash. Você também pode alterar o hash por un-smartcard habilitando a conta, em seguida, re-smartcard permitindo isto. A Microsoft faz isso a cada 24 horas, mas você precisa avaliar o o impacto potencial que isso pode causar em seu ambiente e estabelecer programação sã para que você não crie problemas adicionais.
-
Para estações de trabalho, eu não usaria contas de domínio para propósitos de administrador, se possível. Temos uma conta local que pode ser usada para elevar para o UAC operações de tipo. Isso satisfaz 99,9% da maioria das elevações requisitos. As estações de trabalho tendem a ser vetores de ataque quentes, devido à falta de controle de mudanças regimentadas e a existência de Java JRE e Flash.
Essa abordagem funciona para nós devido temos um mecanismo formal para gerenciar e impor a senha para as contas locais e que a senha é única em cada sistema, e que existe um método seguro para alguém solicitar o senha. Existem também aplicativos comerciais que podem executar esta função.
-
Se você não puder fornecer uma solução de conta local para estações de trabalho, então sim, um conta de domínio separada deve ser usada para acesso administrativo a estações de trabalho, e essa conta não deve ser usada para fins administrativos. acesso a servidores. Outra opção pode ser usar suporte remoto não interativo ferramentas de gerenciamento que usam o LocalSystem para executar atividades e mecanismo de autenticação separado do Windows.
-
Para as contas com privilégios mais altos (Enterprise Admin, Domain Admin, etc), use apenas um servidor de salto. Este servidor seria sujeitos à segurança mais restritiva, controle de alterações e auditoria. Para todos os outros tipos de funções administrativas, considere ter uma conta administrativa separada. O servidor de salto deve ser reinicializado diariamente para limpar os tokens de processo do processo LSA.
-
Não execute tarefas administrativas na sua estação de trabalho. Use um servidor reforçado ou um servidor de salto.
-
Considere a possibilidade de redefinir facilmente as VMs como suas caixas de salto, que podem ser redefinir para limpar a memória após cada sessão.
Leitura adicional:
Relatório de Inteligência de Segurança da Microsoft, Volume 13, janeiro a junho de 2012 link
Leia a seção: "Defesa contra ataques Pass-the-Hash".
Derrote os temidos ataques "pass-the-hash"
link