「パススルー認証」によってもたらされるリスクは何ですか?それらはどのように軽減されますか?
Windowsシステムの「パススルー認証」では、同じ名前とパスワードを持つユーザーアカウントが、同じ特権を持つことを意図していない場合でも、互いに偽装する可能性があります。
例:
ドメインに参加していないスタンドアロンPCがあるとします。 PCは
MyPCと呼ばれ、MyAdminというアカウントを持っています。MyAdminのパスワードは、本来、passwordです。次に、
MyDomainというドメインがあります。ネットワーク管理者は、ドメイン管理者アカウントをMyAdminと呼ぶことに決め、完全な無能のデモンストレーションで、passwordのパスワードを与えました。何らかの理由で、
MyPCとMyDomain上のすべてのコンピューターの間に、完全にフィルター処理されていないネットワーク接続が存在します。
MyPCにMyPC\MyAdminとしてログインできるユーザーは、実際にMyDomain\MyAdminとしてログインしたかのように、MyDomainのすべてのシステムで完全なドメイン管理者権限を行使できます。追加の資格情報を入力するように求められることはありません。
直感的には、これは間違っているように見えます(なぜなら、基本的なユーザー名とパスワードは同じかもしれませんが)MyPC\MyAdminとMyDomain\MyAdminは、異なるスコープで作成され、異なるアクセス許可を持つ2つの異なるユーザーアカウントだからです。しかし、これは実際にどのようなセキュリティリスクをもたらしますか?これらのリスクはどのようにして軽減することができますか、またはどのようにして設計によってすでに軽減されていますか「悪意のある」MyAdminが、ランダムなスタンドアロンシステムではなく、ドメインに参加しているコンピューターのローカルアカウントである場合、リスクは変化しますか?
あなたの質問の問題についてのトリッキーな部分は次のとおりです:それは存在しません。いやいや、私は卑劣ではありません。聞いてください。
パスワードpassword(またはそのようなパスワード)のドメイン管理者アカウントがあり、攻撃者が同じユーザー名とパスワードでローカルアカウントを作成した。ローカルアカウントを作成する必要なく、攻撃者はユーザー名MyAdminとパスワードpasswordを使用してログインし、MyDomain\MyAdminを使用できます。
問題はパススルー認証方式とは何の関係もありません。問題はそのようなパスワードの使用にあります。たとえば、機能全体を無効にした場合でも、攻撃者はユーザー名とパスワードの組み合わせを使用できます。
夜の睡眠が良くなる場合は、グループポリシーで次のセキュリティポリシーを設定することにより、着信NTLM認証トラフィックを完全に無効にすることができます \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Incoming NTLM traffic をDeny all domain accountsに設定します。