¿Usar el administrador local o el administrador del dominio para aumentar los privilegios en una máquina con fines administrativos?

Risk

Dos vectores de ataque para tener en cuenta aquí:

• Si un atacante compromete la cuenta de administrador local y utiliza una contraseña común con otros sistemas en el entorno, es un riesgo de seguridad debido al intercambio de credenciales.
• Si un usuario se eleva a una cuenta de administrador de dominio, sus credenciales están disponibles en texto sin formato (durante su sesión de inicio de sesión) y disponibles en forma de caché posteriormente. Nota: las credenciales almacenadas en la memoria caché pueden estar disponibles o no, pero están habilitadas de forma predeterminada en Windows y almacenan 10 de los últimos usuarios registrados . Entonces, el riesgo de seguridad aquí es que si las credenciales de DA están comprometidas, el movimiento lateral involucra el dominio completo .

Solución

Ya sabes lo que dicen las opiniones ... (inserta cliché aquí) , pero esta es mi recomendación para los clientes.

• Seleccione aleatoriamente la contraseña del administrador local para todos los sistemas en el dominio (busque Microsoft LAPS para obtener más información), e incluso los sistemas no en el dominio.
• Utilice el administrador local para los cambios a nivel del sistema (parcheo, actualización, instalación, etc.)
• Establezca las cuentas de administrador de dominio en solo podrá iniciar sesión en los controladores de dominio para reducir el riesgo de dejar credenciales en el entorno.
• Opcionalmente, cree un "Usuario avanzado de TI" para las tareas de administración en servidores dentro del entorno que no es un administrador de dominio, si los usuarios no desean iniciar sesión como administrador local cada vez. Asegúrese de desactivar las credenciales almacenadas en caché y asegúrese de que los usuarios cierren la sesión cuando hayan terminado.