Windowsドメインアカウントが侵害された後はどうなりますか?
ドメインのアカウントの1つが危険にさらされた場合のシナリオの準備をしています。次に何をすればよいですか?
アカウントを無効にすることが私の最初の頼りになる回答ですが、数週間前にここにペンテスターがいて、数か月前に去った管理者ユーザーのハッシュ化されたログインを使用することができました。
これまでの2つの答えは次のとおりです。
- アカウントを削除して再作成します(新しいSIDを作成しますが、ユーザーのためのドラマも増え、私たちのために働きます)
- パスワードを少なくとも3回変更し、アカウントを無効にします
あなたの方法は何ですか、またはあなたは何を勧めますか?
標準ユーザーアカウントのみが危険にさらされている場合は、パスワードを一度変更し、アカウントを有効のままにしておくことは問題ありません。パスワードが変更されると、ハッシュは機能しません。アカウントが無効になっている場合も機能しません。私自身、ペンテスターとして、ペンテスターがKerberosチケットを使用していたのではないかと思います。特定の状況下では、パスワードが変更された場合、またはアカウントが無効にされた場合、これらは機能し続ける可能性がありますOR削除されさえします(軽減のリンクを参照)。
ドメイン管理者アカウントが侵害された場合、それは文字通りゲームオーバーです。ドメインをオフラインにして、すべてのパスワードを変更する必要があります。また、krbtgtアカウントのパスワードを2回変更する必要があります。そうしないと、攻撃者は引き続き、盗んだ情報を使用して有効なKerberosチケットを発行できます。これらをすべて完了したら、ドメインをオンラインに戻すことができます。
アカウントのロックアウトポリシーを実装して、変更されたパスワードを推測できないようにします。アカウントの名前を変更しないでください。攻撃者はログイン名を簡単に見つけることができます。
もう1つの重要なポイントは、ユーザーをトレーニングすることです。彼らはおそらくアカウントが危険にさらされたことを意味する賢明でないことをしました。攻撃者はパスワードを知らなくても、単にそのアカウントとしてプロセスを実行しているだけかもしれません。たとえば、攻撃者にマシンへのアクセスを許可するマルウェアの添付ファイルを開くと、それらはアカウントとして実行されます。彼らはあなたのパスワードを知りません。あなたが管理者でない限り、彼らはあなたのパスワードハッシュを取得できません。ユーザーが自分のワークステーションでローカル管理者として実行できないようにします。ドメイン管理者にドメイン管理者権限でワークステーションにログインさせないでください。
詳細情報/軽減策へのリンク:
https://mva.Microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134
彼らは数ヶ月前に去った管理者ユーザーのハッシュ化されたログインを使用することができました。
盗まれた資格情報のハッシュは、ネットワークに接続されていないコンピューター上にある場合を除き、無効になっているアカウントでは機能しません。プロセスは引き続き、チケットを要求するか、ドメインコントローラで認証する必要があります。アカウントが無効になっている場合はできません。
退職する従業員の退職時に、管理アカウントを無効にする必要があります。
標準のユーザーアカウントを想定して、次のことを検討することができます。
- パスワードを変更します。
- アカウントを無効にします。
- アカウントの名前を変更し(username-suspect)、影響を受けるユーザーの新しいアカウントを作成します。
- 疑わしいアカウントを「無効/侵害されたユーザー」セキュリティグループに追加します。
#4の場合、次のことを行うグループポリシーがすでに用意されています。
- ネットワークからこのコンピューターへのアクセスを拒否:「無効/侵害されたユーザー」
- リモートデスクトップサービスを介したログオンの拒否:「無効/侵害されたユーザー」
- ローカルでログオンを拒否する:「無効/侵害されたユーザー」
ドメイン管理者アカウントの場合、ネットワーク全体がトーストです。