Por que você deve desabilitar o login de rede para contas locais?

Navegue suas respostas
8

Esta questão é em referência ao tópico do @swiftOnSecurity no Twitter: link

Depois de ler o tópico, ainda não entendi porque você deseja desativar o login de rede para contas locais.

Então aqui está o que eu estou pensando, por favor corrija-me onde estou errado:

Digamos que eu tenha um AD configurado com um controlador de domínio e vários clientes. Um dos clientes é o John. Então, de manhã, John entra no trabalho e entra em seu PC de mesa com as credenciais do AD. Ao meio-dia, John sai para uma reunião e "trava" seu computador (windows + L). Ele então precisa se conectar ao seu PC no escritório usando seu laptop pessoal remotamente (via RDP ou algo assim). No entanto, usando essa nova política, ele não poderá fazer isso.

A explicação que a Securitay dá é que as senhas não são salgadas. No entanto, como um invasor teria acesso nesse caso? Em qual extremidade a senha não é salgada? Ou a situação que tenho em minha mente é completamente alheia ao que ela está tentando dizer? Se este é o caso, o que ela está realmente tentando dizer?

    
por The Man 17.10.2015 / 16:38

2 respostas

10

Permitir logon de rede para contas locais é perigoso e uma prática de segurança insatisfatória. Para os membros do grupo de administradores, eu realmente caracterizaria isso como negligência. Ele permite o movimento lateral e é difícil de detectar e auditar, pois os logons da conta não são registrados centralmente (nos controladores de domínio).

Para atenuar essa ameaça, a Microsoft criou dois novos identificadores de segurança internos para adicionar ao direito de usuário "Negar acesso a este computador pela rede": 

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

link

link

    
por 17.10.2015 / 18:29
3

Não, seu cenário de exemplo está incorreto. Se ele estiver usando credenciais do AD para efetuar login, tudo bem. O problema é com contas locais, ou seja, aquelas que são criadas e existem apenas em computadores individuais. Por exemplo,. \ Administrador, mas isso se aplica a qualquer conta no domínio do computador (COMPUTERNAME \ USERNAME). O risco de segurança ", AIUI, é que se as contas locais (por exemplo, o administrador local) compartilham a mesma senha em várias máquinas, é possível extrair os hashes de senha do computador e reutilizar os hashes em alguns casos (como uma infestação de malware ou outro atacante) mova-se lateralmente entre computadores.

    
por 21.10.2015 / 04:29

Tags

Por que o anacron não estaria rodando? Nagios Verifica se o tempo de renderização total da Web é simulado