Con casi todos los puertos bloqueados en el dominio, no hay forma de que el intruso acceda de forma remota al controlador de dominio y realice grandes cambios en el dominio. ¿Alguien me puede explicar por qué muchos recursos aún están destinados a proteger las cuentas de administrador de dominio y cuánto daño puede hacer un intruso con la cuenta de administrador de dominio sin acceso a DC?
Tal vez esto ayude:
Usted dijo: "Con casi todos los puertos bloqueados en el dominio, no hay forma de que el intruso acceda de forma remota al controlador de dominio y realice grandes cambios en el dominio".
¿Todos los puertos bloqueados? entrante o saliente? Esta es la idea detrás de las ratas / puertas traseras.
Si un administrador de dominio puede controlar cualquier sistema, puede desactivar un sistema de las restricciones de dominio si así lo deseara. Dejándolos más vulnerables de lo que cabría esperar (una nota de seguimiento). Si el administrador del dominio deseara acceso al controlador de dominio, simplemente necesitaría hacer una puerta trasera o monitorear a un usuario que tiene acceso. Pueden lanzar exploits que pueden requerir privilegios de administrador localmente para explotar. Fileshare y vm escape se venden por un buen dinero en estos días. Quiero decir, hay todo un mundo de posibilidades. Si su único punto de falla es su DC, es posible que desee pensar en la plataforma en la que se encuentra su DC. La mayoría de la gente está en Windows, con otros servicios, en una caja física de mierda o en una instancia virtual. Si está en una instancia virtual, eso es probablemente dentro de un reino completamente diferente. La gente ha encontrado atacantes que usan dns, http, smtp, irc, xmpp, smb, nss, api de web inactiva, otra api de web, etc ... para extraer datos sobre su empresa en función de las capacidades de su red. Algunos atacantes tienen docenas de generadores de malware solo para estos tipos de red y rotarán entre las estructuras de muestra hasta que algo más funcione (a menudo desde phishing).
Entonces, para responder a la pregunta, su empresa está en juego. No necesita acceso de controlador de dominio, que un intruso tendría un mejor aprovechamiento para atacar con credenciales de administrador de dominio, para poseer una compañía completa. Eso no se ha pensado como necesario o requerido durante muchos años. La afirmación de que los puertos están bloqueados realmente no cambia eso.
Si toda su red no tiene acceso externo, las campañas de PoC han demostrado que esto realmente no detiene a alguien dedicado a tomar su empresa.
Soo ... La razón por la que la gente pone tanto esfuerzo es porque es un requisito de monitoreo de línea de base, si no es así, intentar proteger las cuentas administrativas que pueden comprometer cualquier sistema de su empresa.