Windows域帐户受到攻击后,下一步是什么?

我们正在准备一个场景,当一个域中的帐户受到攻击时,下一步该做什么?

禁用帐户是我的第一个答案,但几周前我们在这里做了testing,他们能够使用几个月前离开的pipe理员用户的哈希login。

我们到目前为止的两个答案是:

  1. 删除帐户并重新创build(创build新的SID,但也为用户和我们工作更戏剧)
  2. 更改密码至less3次并禁用帐户

你的方法是什么,或者你会推荐什么?

如果只有一个标准的用户帐户被盗用,那么更改密码一次并保持启用帐户应该没问题。 一旦密码改变,哈希将不起作用。 如果帐户被禁用,它也不会工作。 作为一个笔testing者,我不知道笔testing者是否使用Kerberos票据。 在某些情况下,如果密码被更改,或者帐户被禁用或者甚至被删除,这些可以继续工作(参见缓解的链接)。

如果一个域名pipe理员账号被盗用,那么这个账号就是游戏结束了。 您需要将您的域名脱机,并更改每个密码。 此外,krbtgt帐户密码需要更改两次,否则攻击者仍然能够发出有效的Kerberos票据与他们被盗的信息。 一旦你完成了所有这一切,你可以把你的域名恢复在线状态。

实施帐户locking政策,以便更改的密码不能被猜到。 不要重命名您的帐户。 攻击者可以很容易地找出login名。

另一个重要的一点是培训你的用户。 他们可能做了一些不明智的事情,这意味着这个账户被盗用了。 攻击者可能甚至不知道密码,他们可能只是作为该帐户运行进程。 例如,如果您打开一个允许攻击者访问您的计算机的恶意软件附件,它们将作为您的帐户运行。 他们不知道你的密码。 除非您是pipe理员,否则他们无法获得密码哈希。 不要让用户在其工作站上以本地pipe理员身份运行。 不要让域pipe理员login到具有域pipe理员权限的工作站 – 永远!

进一步的信息/缓解的链接:

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/

http://www.infosecisland.com/blogview/23758-A-Windows-Authentication-Flaw-Allows-DeletedDisabled-Accounts-to-Access-Corporate-Data.html

https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134

他们能够使用几个月前离开的pipe理员用户的散列login。

被盗取的凭证哈希不适用于已禁用的帐户,除非它位于未连接到networking的计算机上。 该过程仍需要请求票证或通过域控制器进行身份validation。 如果帐户被禁用,则不能这样做。

前雇员离开时需要禁用pipe理帐户。

假设一个标准的用户帐户,你可能要考虑:

  1. 更改密码。
  2. 禁用该帐户。
  3. 重命名帐户(username-suspect)并为受影响的用户创build一个新帐户。
  4. 将可疑帐户添加到“已禁用/已损坏用户”安全组。

对于#4,已经有一个组策略,执行以下操作:

  • 拒绝从networking访问此计算机:“已禁用/已损坏的用户”
  • 拒绝通过远程桌面服务login:“已禁用/已损坏的用户”
  • 拒绝本地login:“已禁用/已损坏的用户”

对于域pipe理员帐户,您的整个networking是敬酒。