Evite que estaciones de trabajo no autorizadas se unan a un dominio de Windows

3

La política corporativa solo permite a los usuarios conectar máquinas emitidas por la empresa a la red administrada por Active Directory. ¿Hay algún medio para registrar o detectar de otro modo cuando la misma cuenta de usuario se une al dominio con máquinas "no autorizadas"? Supongamos que el usuario se conecta de forma no simultánea y puede cambiar el nombre de su máquina para que coincida con el nombre de una máquina "autorizada".

    
pregunta T. Webster 03.04.2013 - 23:37
fuente

2 respuestas

2

Supongo que le preocupa que los Usuarios de dominio utilicen el privilegio predeterminado para agregar hasta 10 estaciones de trabajo al dominio, sin permiso de administrador de dominio.

Para controlar quién tiene acceso para agregar usuarios al dominio, edite esta política de seguridad local en el DC

  

Configuración del equipo | Configuraciones de Windows | Configuraciones de seguridad | Asignación de derechos de usuario | Agregar estaciones de trabajo al dominio

A continuación, si desea ver quién agregó una estación de trabajo al dominio, sugeriría ver:

  • El registro de auditoría de AD en cada controlador de dominio

  • El propio objeto AD Computer usando ADSI Edit (puede haber un "creado por" SID allí)

Además, has preguntado:

  

Supongamos que el usuario se conecta de forma no simultánea y puede cambiar el nombre de su máquina para que coincida con el nombre de una máquina "autorizada".

Hay dos partes en esto: la suplantación de Kerberos y la suplantación de NetBIOS. Dependiendo de la configuración de su GPO, es posible que una persona cambie el nombre y se haga pasar por uno o ambos tipos de autenticación para una "máquina no autorizada" determinada.

Si el impostor puede convencer a DNS, que está protegido por una ACL, y puede editar AD (mediante SPN u otra función administrativa), es posible suplantar un servidor Kerberos. Depende de tu aplicación detectar esta suplantación. Un ejemplo de suplantación es Windows Terminal Server 2008 y más reciente. Aparecerá un cuadro de diálogo que indica que hay una conexión de red insegura.

Por otro lado, la autenticación basada en NTLM puede tener "impostores" y es casi imposible para el cliente detectar esto. La única defensa que tienes es deshabilitar NTLM y usar Kerberos exclusivamente.

Si necesita usar NTLM para algunos hosts y no para otros, siga las sugerencias de Eric G.

    
respondido por el random65537 04.04.2013 - 05:36
fuente
7

Creo que necesitas tener las credenciales de administrador de dominio para unirte a un dominio (o una cuenta a la que se le haya delegado esta capacidad). No debería ser posible para un usuario simplemente agregar su computadora personal a un dominio. No debe otorgar a los usuarios la capacidad de copiar archivos de sistema de su PC de trabajo a la PC de su hogar (no les dé privilegios de administrador local).

Teóricamente, es posible que puedan crear imágenes de su máquina de trabajo y ponerla en su propio hardware, pero eso no les permitiría cambiar la configuración del sistema y obtener más privilegios, por lo general, sería su GPO en efecto. Para contrarrestar esto, una combinación de TPM y cifrado ayudaría.

Si desea evitar que los sistemas no autorizados se unan a la red, es probable que desee hacer un dominio de capa desde Active Directory a nivel de red. Podría implementar la seguridad del puerto 802.1x o cualquier otro tipo de control de acceso a la red (NAC).

Más recursos:

respondido por el Eric G 04.04.2013 - 00:24
fuente

Lea otras preguntas en las etiquetas