¿Existe más riesgo de cambiar la contraseña del administrador localmente desde una ubicación centralizada?

2

Estoy trabajando en un mecanismo para manejar mejor las contraseñas de políticas de grupo en respuesta a MS14-025 . Anteriormente utilizamos este mecanismo para configurar las contraseñas de la cuenta de administrador local en nuestras estaciones de trabajo (principalmente Windows 7)

Con este fin (consulte el método que describí a continuación para obtener información específica) mi idea es cambiar el lado del cliente a través de una tarea programada y guardar la contraseña resultante en una unidad de red de acceso restringido. ¿Qué tipo de exposición estoy creando al permitir que estos cambios ocurran localmente, en lugar de salir de una ubicación central?

Lo único que se me ha ocurrido son los raspadores de memoria y la capacidad de manipular el generador de números aleatorios. Ambos ya deberían requerir derechos de administrador.

Fondo

Goals

  1. Evite almacenar contraseñas de texto sin formato en un elemento de GPP.
  2. Rotación en estas contraseñas
  3. Establezca una contraseña única por dispositivo (evite pasar los ataques de hash)

Método propuesto

  1. Configurar una tarea programada (implementada por preferencia de directiva de grupo, usando la cuenta del sistema)
    1. Programa mensual / trimestral / lo que sea
    2. Ejecutar en el inicio de sesión del administrador local, después de 30 minutos
  2. La tarea ejecuta un ejecutable / script que
    1. Establezca la contraseña de administrador en una cadena aleatoria
    2. Guarde la contraseña en un directorio de la red, usando el nombre de la computadora como referencia
  3. Habilite los derechos de auditoría / acceso restringido / etc en esta carpeta.

Combinado con un activador secundario, por ejemplo, 30 minutos después de que la cuenta de administrador local haya iniciado sesión, y tendríamos un método bastante decente para controlar estas cuentas con el beneficio adicional de saber quién está utilizando la cuenta de Administrador local.

    
pregunta Tim Brigham 29.05.2014 - 18:49
fuente

1 respuesta

0

Se me ocurrió un par de posibles vectores de ataque adicionales.

  • Muchos idiomas usan una marca de fecha / hora para configurar sus generadores de números aleatorios. Esto resulta en obtener la misma contraseña 'aleatoria' para todas las tareas ejecutadas en paralelo. Una posible solución es aquí .
  • En la interfaz / en la captura por cable de los detalles de la cuenta / contraseña. Esto se puede mitigar con IPsec.

Dependiendo de la implementación, cualquiera de estos podría permitir una escalada de privilegios lateral o vertical.

    
respondido por el Tim Brigham 11.06.2014 - 16:23
fuente

Lea otras preguntas en las etiquetas