web-dev-qa-db-ja.com

ローカルアカウントのネットワークログインを無効にする必要があるのはなぜですか?

この質問は@SwiftOnSecurityのTwitterスレッドに関連しています: https://Twitter.com/SwiftOnSecurity/status/655208224572882944

スレッドを読んでも、ローカルアカウントのネットワークログインを無効にする理由がわかりません。

だからここに私が考えていることがあります、私が間違っているところを修正してください:

DCと複数のクライアントでADをセットアップしたとします。クライアントの1つはJohnです。そのため、朝、Johnは仕事に取り掛かり、AD資格情報を使用してデスクトップPCにログインします。ジョンは正午に会議に向かい、自分のコンピューター(Windows + L)を「ロック」します。次に、リモートで(RDPなどを使用して)個人用ラップトップを使用してオフィスのPCに接続する必要があります。ただし、この新しいポリシーでは、彼はそうすることができません。

Securitayの説明によると、パスワードはソルト化されていません。しかし、この場合、攻撃者はどのようにしてアクセスを取得するのですか?どちらの側でパスワードがソルトされていませんか?それとも、彼女が言おうとしていることとはまったく無関係なのでしょうか。これが事実である場合、彼女は実際に何を言おうとしていますか?

8
The Man

ローカルアカウントにネットワークログオンを許可することは危険であり、セキュリティが不十分です。管理者グループのメンバーの場合、私は実際にはそれを過失として特徴づけます。これは横方向の移動を可能にし、アカウントログオンが集中的に(ドメインコントローラーで)ログに記録されないため、検出と監査が困難になります。

この脅威を緩和するために、マイクロソフトは実際に「ネットワークからのこのコンピューターへのアクセスを拒否する」ユーザー権利に追加する2つの新しい組み込みセキュリティ識別子を作成しました。

S-1-5-113: NT AUTHORITY\Local account  
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group  

http://blogs.technet.com/b/secguide/archive/2014/09/02/blocking-remote-use-of-local-accounts.aspx

http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

10
Greg Askew

いいえ、シナリオ例は正しくありません。ログインにAD資格情報を使用している場合は、すべて問題ありません。問題は、ローカルアカウント、つまり個々のコンピューター上に作成され、そのコンピューター上にのみ存在するアカウントにあります。たとえば、。\ Administratorですが、これはコンピューターのドメイン(COMPUTERNAME\USERNAME)のすべてのアカウントに適用されます。 AIUIのセキュリティリスクは、ローカルアカウント(ローカル管理者など)が複数のマシン間で同じパスワードを共有している場合、コンピューターからパスワードハッシュを抽出し、場合によってはハッシュを再利用してマルウェアに感染させる可能性があることです。または他の攻撃者)コンピュータ間を横方向に移動します。

3
Micha