Passe a mitigação de hash com uma pequena equipe

1

Eu tenho lido o conselho do MS sobre como atenuar o PtH e sua primeira e principal sugestão é ter contas separadas para administradores de estações de trabalho, administradores de servidores e administradores de controladores de domínio.

Eu sou uma equipe de 1 profissional de TI e meu chefe que está tecnicamente na área de TI, mas não sabe nada sobre TI e outra pessoa que possa redefinir senhas de usuários do AD. Agora, meu chefe e eu somos administradores de domínio e fazemos logon com essas credenciais para o uso diário. A pessoa que redefine a senha é um usuário padrão com privilégios de administrador local (para poder abrir o RSAT) que tenha permissões delegadas para redefinições de senha.

Então deixe-me ver se entendi, em uma situação ideal ... 1) Meu chefe e eu deveríamos ter 4 contas separadas ?! 1 padrão, 1 administrador de estação de trabalho, 1 administrador de servidor e 1 conta de administrador de domínio. 2) A senha admin deve ter 2 contas, 1 senha admin e 1 usuário padrão? 3) Devemos restringir os logons à máquina que tem a função, portanto, a conta de administrador do servidor só pode fazer logon em servidores de arquivos / appserver e a conta de administrador de domínio só pode fazer logon em controladores de domínio?

Portanto, salvo o fato de que, de alguma forma, devo lembrar 4 senhas de conta do AD separadas, quantas estações de trabalho eu preciso para fazer meu trabalho? Se eu deveria estar entrando na minha estação de trabalho principal com minha conta de usuário padrão para fazer coisas como ler e-mail, como devo adicionar um novo usuário ou alterar uma política de grupo? Meus controladores de domínio são instalações de núcleo de servidor e eu estava gerenciando coisas por meio do RSAT em minha estação de trabalho local, mas agora devo usar o RDP como um servidor de salto e gerenciar os usuários por meio disso? E quanto ao administrador de senhas, ela deveria fazer o mesmo com uma estação de trabalho completamente diferente para redefinir as senhas? E quanto a alterar as permissões de pasta, posso RDP para os servidores de arquivos com as permissões de conta do servidor sem expor as credenciais de administrador do servidor?

Posso dizer-lhe se é necessária toda a administração de PS. Na verdade, eu não me importaria tanto, mas meu chefe nunca descobriria. Eu adoraria ouvir uma solução eloquente para o problema ou alguém me diga que estou pensando demais. Por favor me ajude ...

    
por JellyKid 09.08.2017 / 20:31

1 resposta

1

Normalmente, o hash da sua senha é deixado quando você faz logon ou RDP. Portanto, se você estiver usando sua conta de administrador em sua estação de trabalho, seu hash de senha estará lá. Da mesma forma, quando você RDP para um servidor (exceto para o sistema operacional mais recente), o seu hash é deixado lá. Esse problema é atenuado na base de código do sistema operacional Windows 10 (Server 2016). Você deve ter um servidor admin e não fazer logon com direitos elevados de domínio para sua estação de trabalho. Você não quer estar usando e-mail nem navegando na Web usando direitos elevados ou de uma estação de trabalho na qual rotineiramente eleva ou efetua logon com permissões elevadas.

Você pode RDP para o servidor admin e administrar a partir daí. Se você estiver usando o PowerShell para se conectar aos sistemas remotos, não estará saindo como hash. Se você estiver usando um cartão inteligente, poderá virar o bit do cartão inteligente duas vezes para invalidar o hash de senha atual.

Você também pode considerar o uso do LAPS para colocar uma senha de manutenção aleatória do sistema nas estações de trabalho do Windows. O LAPS é gratuito da Microsoft. Isso evita que o problema de um único comprometimento da estação de trabalho derrube todas as estações de trabalho e, se você se conectar com a senha do administrador local da máquina, qualquer comprometimento será limitado. A desvantagem de usar a senha do administrador local é a auditoria e talvez seja necessário ativá-la por meio de um GPO.

    
por 18.08.2017 / 22:37