ローカル管理者は、適切に設定されたネットワークへの危険にアクセスしていますか?
私はこの質問を読みます: 組織の開発者にローカル管理者アクセスを許可することは一般的ですか?
この質問は私に不思議に思います。ローカル管理者アクセスがマシンにとって危険であることがわかります。しかし、ローカル管理者アクセス権を持つユーザーアカウントを持つコンピューターは、ローカルがいないコンピューターよりも、適切に設定されたネットワークにとって実際に大きな危険になる可能性があります管理アクセス?はいの場合、どのように?
ローカル管理者アクセスとは、攻撃者がホストの永続的な制御を確立し、ソフトウェアをインストールしてシステム設定を変更し、ネットワークを傍受して他のシステムに横方向に移動できるようなアクションを実行するのが簡単であることを意味します。
そのため、はい、それはネットワークへの危険です。それは、攻撃者が横方向の動きのためのより有能なプラットフォームへのより安定したアクセスを提供するからです。
危険は少し強い言葉です。ローカル管理者アクセスは、非管理者アクセスよりもネットワークリスクが高いと言えます。
管理アクセスにより、ユーザーは無差別モードでパケットスニファを実行できます。そのcanは、問題のネットワークがMiTM攻撃に対して脆弱である場合、または他の暗号化されていない機密情報がネットワークを通過する場合に、追加のリスクを提示します。
このリスクは、ユーザーが通常ネットワークに物理的にアクセスできる状況で理解する必要があります。ネットワークケーブルに物理的にアクセスできる悪意のある内部関係者は、ルート/管理者アクセス権を持つ自分のデバイスをネットワークに接続するだけで、自分のマシンでルートアクセスなしでパケットを傍受し、同じ攻撃を実行できます。
それはほとんどの人が推測するよりもはるかに危険です。ドメインに参加している1台のマシンのローカル管理者(ドメインアカウントではなくローカルアカウント)から何ができるかを議論したところ、「調べてみませんか?」誰もしなかった。彼らは理論を討論したが、それをテストに入れたくなかったことがわかりました。
私は主張しました 他の質問についてあなたは何を防御していますか?まあここにあるものです。次回、他の誰かが問題のマシンに接続したときに、ローカル管理者がそのユーザーになりすますことができます。ネットワーク共有アクセスの場合、なりすましは数分間しか使用できません。しかし、数秒のドメイン管理者は、ドメインコントローラーのネットワーク共有上にサービスを作成するのに十分です。
昔はバカだった。このマシンは、arpスプーフィングに対して特に防御されていないネットワーク上の任意のユーザーをMITM攻撃できます。最近まで、これは終盤のゲームでしたが、MSはauthパッケージを修正し、後方互換性のない変更を実際に行うことでMITMに対してSMBを最終的に解決しました。
しかし、開発者のインターネットへのアクセスを許可しないVLANばかげています。おそらく、彼らにマシンまたはVMの管理者を許可し、ドメインに参加させないことが最善の方法です。
しかし、これはほとんど起こりません。解雇され起訴されるという脅威は、開発者がこのように全面的に進むのを防ぎ、何らかの理由でインターネット搭載マルウェアはこのようなものを使用しません。繰り返しますが、本当に何を防御していますか?開発者はおそらくとにかくを引き継ぐことができます。遅かれ早かれ、製品版にバージョンアップデートをインストールする必要があります。
はい、危険です。
2014年に私はこのようなケースがありました:
- ローカル管理者権限を持つ開発者は、簡単にアクセスできるアプリケーションである
utilman.exeの所有権を取得します utilman.exeをcmd.exeに置き換えます(これもMicrosoftによって署名されているため、署名チェックでは明らかになりません)。- PCを再起動し、ユーザー補助アイコンをクリックします
ほら、あなたはNT Authority/System権限を持つコンソールを持っています。 LSASSなどの重要なプロセスから資格情報をスパイできるようになりました(例: Mimikatz を使用)。管理者(ソーシャルエンジニアリング)をだましてPCにリモートログオンさせることができる場合、彼の資格情報があります。
できない場合は、システム権限で実行されるサービスもインストールしてください。その後、ハックを元に戻し、資格情報を収集するためにサービスをより長い時間待機させることができます。
これは、Windows 10では 修正されていません のようです。
管理アクセスとは、特権を必要とする特定のツールを実行できることを意味します。パケットスニファは、他の人が言及しているものです。別の例は、MitM攻撃のARP-spoofer/poisoner、またはmDNS/NBT-NS偽装者(例:Responder)です。一般に、低レベルのネットワークアクセスを必要とするツール、または特定の保護されたポートを開く機能は、管理者アクセスを必要とする可能性が高くなります。
また、ローカル管理者であることと非管理者であることは、そのマシン上の特定のものにアクセスできるようになることを意味します。 mimikatzを使用して、保存されているADパスワードをダンプし、Windowsの完全なレジストリにアクセスし、キーロガークロスアカウントをインストールします(つまり、デーモン/サービスとして)。
正直に言うと、管理者アクセス権がない夜間です。 OSCPのようなものが、最初の足がかりを得ることだけでなく、特権の昇格の学習に重点を置く理由です。
まあ単なる例です。ユーザーのデスクトップからの完全な発信http/httpsアクセスを許可し、それらのマシンからの他の着信または発信アクセス、および内部サーバー用のその他のプロトコル(DNS、メールなど)を許可しないファイアウォールを備えた合理的に安全なネットワークがあるとします。
ローカル管理者は、自分のデスクトップから外部リレーへのhttpsプロキシをセットアップし、それを使用してファイアウォールルールを完全にバイパスできます。 goodの理由で実行することもできます。自宅から作業またはテストを続けることができるためです。しかし、それは企業のファイアウォールの目標を打ち負かすだけです...
それは、「ネットワークを適切に設定する」という意味によって異なります。
ネットワーク上のすべてのホストを潜在的に悪質な、おそらく侵害された、および攻撃の可能性のあるソースとして扱うようにネットワークを構成する場合、ローカル管理者アクセスは危険ではありません(まだ予期していません)。
現実の世界では、すべての内部ネットワークとほとんどのデータセンターネットワークは、ある程度の信頼を前提に設定されています。つまり、外部/インターネットよりも信頼性が高いということです。
ローカル管理者はその仮定に異議を唱えます。私は「ブレイク」ではなく「チャレンジ」と言ったことに注意してください。
意図的な行動の規模とエラーやミスの規模の両方で、ローカル管理者がどれほど信頼できるかを自問する必要があります。これがネットワークに対する信頼のレベルです。
あなたの質問に対する答えは「はい」です。攻撃者は非常に簡単にマシンをゾンビに変換し、ネットワーク上で(完全な管理者権限で)悪意のあるタスクを実行できます。
軽減するのが最も難しい攻撃の1つは"Insider Attack。"です。この場合、攻撃者はゾンビ(侵害されたマシン)に対する完全な権限で内部ネットワークからの攻撃を実行できます。