O que vem depois de uma conta de domínio do Windows ter sido comprometida?

Navegue suas respostas
14

Estamos nos preparando para um cenário em que uma das contas de um domínio é comprometida. O que fazer a seguir?

Desativar a conta seria minha primeira resposta, mas nós tivemos alguns pontos atrás e eles puderam usar logins com hash de um usuário administrador que saiu há alguns meses.

Nossas duas respostas até agora são:

  1. Exclua a conta e recrie-a (cria um novo SID, mas também mais drama para o usuário e funciona para nós)
  2. Altere a senha pelo menos 3 vezes e desative a conta

Qual seria o seu método ou o que você recomendaria?

    
por JurajB 20.12.2016 / 00:29

3 respostas

8

Se apenas uma conta de usuário padrão for comprometida, altere a senha uma vez e deixe a conta ativada. Um hash não funcionará quando a senha for alterada. Também não funcionará se a conta estiver desativada. Como um testador de caneta, gostaria de saber se os testadores de caneta estavam usando os tickets do Kerberos. Sob certas circunstâncias, elas podem continuar funcionando se uma senha for alterada ou se uma conta for desativada OU mesmo excluída (consulte os links para a atenuação).

Se uma conta de administrador de domínio foi comprometida, ela está literalmente no fim do jogo. Você precisa colocar seu domínio offline e alterar TODAS as senhas. Além disso, a senha da conta krbtgt precisaria ser alterada duas vezes; caso contrário, os invasores ainda poderão emitir tíquetes válidos do Kerberos com as informações que eles roubaram. Depois de fazer tudo isso, você pode colocar seu domínio novamente on-line.

Implemente uma política de bloqueio de conta para que as senhas alteradas não sejam adivinhadas. Não renomeie suas contas. Os atacantes podem facilmente descobrir nomes de login.

Outro ponto importante é treinar seus usuários. Eles provavelmente fizeram algo imprudente que significava que a conta foi comprometida. O invasor pode nem saber a senha, eles podem estar apenas executando processos como essa conta. Por exemplo, se você abrir um anexo de malware que forneça a um atacante acesso à sua máquina, ele será executado como sua conta. Eles não sabem sua senha. Eles não podem obter seu hash de senha, a menos que você seja um administrador. Não permita que os usuários sejam executados como administradores locais em suas estações de trabalho. Não permita que os administradores de domínio efetuem login nas estações de trabalho com direitos de administrador de domínio - nunca!

Links para mais informações / atenuações:

link

link

link

    
por 20.12.2016 / 00:44
12

they were able to use hashed logins of an admin user who left a couple of months ago.

Os hashes de credenciais roubadas não funcionam para contas desativadas, a menos que estejam em um computador que não esteja conectado à rede. O processo ainda precisa solicitar um ticket ou autenticar com um controlador de domínio. Não é possível fazer isso se a conta estiver desativada.

Você precisa desativar contas administrativas de ex-funcionários quando eles saírem.

    
por 20.12.2016 / 01:57
3

Supondo uma conta de usuário padrão, convém considerar:

  1. Altere a senha.
  2. Desativar a conta.
  3. Renomeie a conta (nome de usuário suspeito) e crie uma nova conta para o usuário afetado.
  4. Adicione a conta suspeita a um grupo de segurança "Usuários com deficiência / comprometidos".

Para o nº 4, já existe uma política de grupo que faz o seguinte:

  • Negar acesso a este computador pela rede: "Usuários com deficiências / comprometidos"
  • Negar logon pelos Serviços de Área de Trabalho Remota: "Usuários Desabilitados / comprometidos"
  • Negar logon localmente: "Usuários com deficiências / comprometidos"

Para uma conta de administrador de domínio, toda a sua rede é torrada.

    
por 20.12.2016 / 00:49

Tags

Não é possível montar o dispositivo de bloco / dev / loop somente leitura Como redefinir ou recuperar a senha da conta de administrador do MySQL?