Eliminar un privilegio de una cuenta de administrador de Windows: ¿una idea buena o inútil?

4

Con el fin de proteger una cuenta de administrador de Windows de ataques como Pass-the-Hash y otras token Passing tehcniques (por ejemplo, a través de la herramienta de incógnito), ¿puede decirme si es una buena idea eliminar el privilegio "SeImpersonatePrivilege" en ¿De qué incógnito confiar? Si se elimina este privilegio, debería ser imposible suplantar un token, ¿verdad? (por supuesto, asumimos que el administrador no necesita este privilegio en sus tareas).

Por otro lado, un malware con privilegios de administrador puede llamar a PrivilegeCheck y luego agregue el privilegio" SeImpersonatePrivilege "a la cuenta de administrador.

Por eso le pregunto si eliminar SeImpersonatePrivilege es un buen & idea fuerte? ¿O inútil?

Gracias.

    
pregunta Jeremy 09.01.2014 - 16:26
fuente

1 respuesta

3

En general, siempre que el Administrador tenga los privilegios suficientes para realizar sus tareas de administración, entonces puede tomar más o menos control total de la máquina. Por ejemplo, cualquier usuario que pueda acceder a la memoria del kernel puede alterar las tablas que definen sus propios privilegios y otorgarse todos los privilegios posibles.

Eliminar un privilegio específico puede ayudar solo en el caso de que algún malware se ejecute en la máquina y se dispare por falta de privilegio, incluso si recuperarlo sea fácil. Esto supone que el malware instalado es sin sentido . Además, si el malware se puede romper en la falta de SeImpersonatePrivilege, el software no malicioso también se puede romper.

Esto es equivalente a poner una trampa para osos en tu sala de estar. Un potencial ladrón, a tientas en la oscuridad en busca de sus objetos de valor e inconsciente de su astuta emboscada, podría provocar la trampa y quedar incapacitado. Sin embargo, esto funciona solo mientras los ladrones no se adapten: si demasiadas personas ponen trampas para osos en su sala de estar, entonces los ladrones aprenderán a usar una linterna para ver dónde caminan. Además, ninguna trampa para osos cambiaría el hecho perturbador de que un ladrón entró en su casa y todavía puede hacer una gran travesía sin entrar en la sala de estar. Finalmente, la trampa puede ser contraproducente: usted también podría entrar inadvertidamente en su propia trampa.

    
respondido por el Tom Leek 09.01.2014 - 19:37
fuente

Lea otras preguntas en las etiquetas