我们的客户之一是一级PCI公司,他们的审计师就我们的系统pipe理员和我们的访问权限提出了build议。
我们pipe理他们完全基于Windows的大约700个台式机/ 80个服务器/ 10个域控制器的基础设施。
他们build议我们进入一个有三个独立账户的系统:
DOMAIN.CO.UK\UserWS DOMAIN.CO.UK\UserSRV DOMAIN.CO.UK\UserDC
然后,策略将阻止从错误的帐户login到错误的系统types(包括删除非直stream机器上域pipe理员帐户的交互式login)
这是为了防止受感染的工作站可能公开域pipe理员login标记并将其重新用于域控制器的情况。
这似乎不仅对我们的日常操作是非常干扰性的政策,而且还有相当多的工作要解决什么是相对不太可能的攻击/利用(这是我的理解,也许我误解了这种利用的可行性) 。
我有兴趣听到其他pipe理员的意见,尤其是那些参与PCI注册公司的人员,并且有类似的build议。 你有什么关于pipe理员login的政策。
为了logging,我们目前有一个我们通常使用的域用户帐户,当我们需要额外的权限时,我们也会提升域pipe理员帐户。 诚实地说,我们都有些懒惰,通常只是使用域pipe理帐户进行日常操作,尽pipe这在技术上违背了我们公司的政策(我相信你明白了!)。
我在一级PCI供应商。 我们有这样的地方,有一些不同之处。
审计人员实际上是在试图描述一个非常现实的问题,但是却做了一个非常糟糕的工作来解释影响和需求分析。
现在通过使用密码散列或现有令牌来破坏系统更为有效。 说白了,你的攻击者不再需要你的用户名和密码。 现在有更简单的方法来攻击一个系统。 在任何情况下,您都不应假设或断定这种攻击不太可能。 哈希攻击现在是事实上的攻击vector 。
对于智能卡账户来说,哈希攻击实际上更糟糕,这很具有讽刺意味,因为大多数人希望实施智能卡可以提高系统的安全性。
如果一个帐户由于哈希攻击而受到攻击,通常的回应是更改帐户的密码。 这改变了用于authentication的散列。 而且,正常的密码过期/更改可能会导致入侵,因为攻击者的哈希将开始失败。 但是,对于智能卡,密码是“系统pipe理的”(用户从不input密码进行authentication),所以散列不会改变。 这意味着智能卡账户的入侵可能会比使用密码的账户更长时间被忽视。
以下是我会考虑的缓解措施:
对于许多大型企业用于高特权帐户的支持智能卡的帐户,请经常更改帐户的密码。 这改变了散列。 您还可以通过启用帐户的非智能卡更改散列,然后重新启用智能卡。 微软每24小时都会这样做,但是您需要评估这可能会在您的环境中造成的潜在影响,并build立一个明智的时间表,以免造成额外的问题。
对于工作站,如果可能的话,我完全不会将域帐户用于pipe理目的。 我们有一个本地帐户,可以用来提升UACtypes的操作。 这满足了大多数海拔要求的99.9%。 由于缺乏严格的变更控制以及Java JRE和Flash的存在,工作站往往成为热门的攻击媒介。
这种方法适用于我们,因为我们有一个正式的机制来pipe理和执行本地帐户的密码,并且密码在每个系统上是唯一的,并且存在一个安全的方法来请求密码。 也有商业应用程序可以执行此function。
如果您无法为工作站提供本地帐户解决scheme,那么是的,应该使用单独的域帐户来pipe理工作站的访问权限,并且该帐户不应该用于对服务器的pipe理访问。 另一个select可能是使用远程非交互式支持pipe理工具,它们使用LocalSystem来执行活动,以及与Windows不同的身份validation机制。
对于最高特权帐户(企业pipe理员,域pipe理员等),只能使用跳转服务器。 这台服务器将受到最严格的安全性,变更控制和审计的限制。 对于所有其他types的pipe理typesfunction,请考虑拥有一个单独的pipe理帐户。 应该每天重新启动跳转服务器重新启动以清除LSA进程中的进程令牌。
不要从工作站执行pipe理任务。 使用强化的服务器或跳转服务器。
考虑使用轻松重置虚拟机作为您的跳转框,可以重置每个会话后清除内存。
进一步阅读:
Microsoft安全情报报告,第13卷,2012年1月至6月
http://www.microsoft.com/security/sir/archive/default.aspx
阅读“防范哈希攻击”一节。
打败可怕的传递哈希攻击
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753