Como posso evitar o comprometimento de um controlador de domínio no ESX armazenado em um local desprotegido?

Navegue suas respostas
3

Um cliente nosso tem um CD que será localizado em um local inseguro. RODCs e domínios / florestas separados não são permitidos pelo gerenciamento.

Todos os servidores estarão localizados em um servidor VMWare ESX.

Estou interessado em configurações e configurações do VMWare, do Windows e do AD que protegerão um Windows 2008R2 ou um DC mais novo contra comprometimento.

Uma configuração de exemplo que pode ajudar é usar

  • Criptografia do Bitlocker
  • Qualquer solução baseada em VMware TPM
  • Removendo hashes NTLM (mais fáceis de descobrir) do AD.
  • Etc.
por random65537 20.06.2014 / 17:25

3 respostas

7

Isso é exatamente o que o RODC foi projetado para - situações em que o servidor pode estar fisicamente comprometido.

A obtenção de acesso físico a um RODC fornecerá ao invasor uma boa visão do seu domínio e de sua estrutura, bem como hashes de senha de usuários que foram explicitamente configurados para terem suas senhas replicadas para o RODC.

No entanto, isso é muito melhor do que um controlador de domínio regular, em que o acesso físico significa que o invasor pode facilmente obter o controle do domínio sem credenciais adicionais; A replicação unidirecional no RODC garante que um invasor não possa enviar alterações maliciosas para seu AD.

O RODC é a solução que você está procurando e você deve apresentar esse caso à gerência.

    
por 20.06.2014 / 17:38
3

Falando como alguém que uma vez foi forçado a colocar um servidor (não um CD, felizmente) em um armário sem ar condicionado com a porta aberta, um buraco no teto através do qual alguém podia ver o céu e o tráfego de pedestres andando, eu Estou curioso para como inseguro a localização é. Se eles puderem içar seu servidor em um ombro e sair no meio do dia, não há muito o que fazer.

Parece que você está querendo sugestões como a de Spencer - e todas estão boas - mas acho que, em vez de uma solução técnica, você precisa convencer a administração a usar um RODC ou convencer a gerência a colocar o CD em algum lugar mais seguro. Talvez esta apresentação da DefCon 21 ajude:

So You Think Your Domain Controller is Secure?

JUSTIN HENDRICKS SECURITY ENGINEER, MICROSOFT

Domain Controllers are the crown jewels of an organization. Once they fall, everything in the domain falls . Organizations go to great lengths to secure their domain controllers, however they often fail to properly secure the software used to manage these servers.

This presentation will cover unconventional methods for gaining domain admin by abusing commonly used management software that organizations deploy and use.

Justin Hendricks works on the Office 365 security team where he is involved in red teaming, penetration testing, security research, code review and tool development.

    
por 21.06.2014 / 00:25
2

Eu tenderia a concordar com Shane, é exatamente por isso que o RODC existe. Qual é o raciocínio dos administradores para proibir o uso de um RODC? É uma má idéia colocar o cérebro da sua organização em um local inseguro.

Quanto ao BitLocker, é uma boa ideia, mas não parece ser suportado. Eu sugeriria usar o TrueCrypt FDE (Full Disk Encryption) dentro da VM. Isso substitui o carregador de inicialização e força você a digitar uma senha para poder inicializar.

Que outros serviços este servidor irá executar? Eu definitivamente sugiro usar algum tipo de serviço de coleta de log e alertas de auditoria que você achar adequado. Talvez tentativas de logon?

A outra consideração é como você protege o host ESX real, porque, até onde eu sei, não há como acessar realmente as VMs a partir do console do host ESX. Portanto, se o disco estiver criptografado, é como um invasor na sua rede e só tem a mesma visibilidade para o seu PDC. O que significa provavelmente VLans diferentes e apenas algumas portas abertas.

    
por 20.06.2014 / 18:13

Tags

Postfix: retransmitindo todos os e-mails recebidos para outro host O espelhamento do SQL Server é confiável (alta disponibilidade)?