¿El cumplimiento de esta restricción en los administradores de dominio "romperá la red"?

9

Supongamos que aseguramos todos los servidores en el dominio ...

  • Los controladores de dominio permiten el acceso RDP solo desde los servidores de salto
  • Los administradores de dominio no pueden conectarse a servidores que no sean de CC
  • Y así sucesivamente

Todo esto está muy bien y debe considerarse una configuración segura para evitar la existencia de una contraseña de administrador de dominio en la memoria de cualquier servidor miembro.

Ahora digamos que un atacante mágicamente logra aprehender una contraseña de administrador de dominio en uno de los servidores miembros, luego ejecuta Mimikatz (o cualquier otra herramienta de extracción de contraseña) a través de PsExec de forma remota en el DC - se acabó el juego .

Sin embargo, si hago cumplir el

  

Denegar el acceso a este equipo desde la red

en DC y configúrelo para todos los administradores de dominio, ¿algo se romperá?

También hay un razonamiento detrás de esto, donde en ningún caso los administradores de dominio deben autenticarse en el DC desde otro servidor, excepto desde el servidor de salto.

He modelado esto en mi laboratorio y nada se rompe, y la ejecución de psexec con la contraseña del administrador del dominio falla debido a esta configuración. esto es una victoria la pregunta es, ¿funcionará en una red real?

De lo que he recopilado, esta restricción es para cualquier intento de autenticación realizado a través de SMB.

Debería ser movido a Server Fault.

    
pregunta Franko 09.12.2016 - 22:57
fuente

1 respuesta

2

El bosque de ESAE (rojo) es ahora la recomendación para ir a asegurar Active Directory. enlace

Sin conocer las complejidades de su red, es difícil decirlo con seguridad, pero los administradores de dominio no requieren acceso de red a los controladores de dominio que conozco, pero podría ser un movimiento arriesgado sin pruebas. Dicho esto, obviamente requerirías acceso físico a esos dispositivos.

La mejor solución es utilizar un modelo por niveles para el acceso privilegiado donde los controladores de nivel son el nivel 0, los servidores miembros o los servidores confidenciales son el nivel 1, el nivel dos es el escritorio. No debe haber un recorrido vertical de las cuentas, por lo que un administrador puede tener una cuenta t0 para los controladores de dominio, t1 para los servidores miembros y t2 para la administración de escritorio, y t3 para el uso del usuario final. Ninguno de ellos puede acceder a otros niveles. Puede dar un paso más allá con las estaciones de trabajo de acceso protegido (PAW) (vea el enlace anterior).

Si sus DA no pueden acceder a sus servidores miembros, el compromiso de un servidor miembro no puede revelar un administrador de dominio. Tendrían que continuar saltando o encontrando otras cosas cortas donde los procesos o herramientas filtran datos entre niveles. Ahí es donde entra la PAW donde tiene un dispositivo físico con IPSec que es el único dispositivo que puede conectarse a un DC, y ninguna otra cuenta puede acceder a ese dispositivo. Entonces tendría que tener acceso físico para comprometer el DA y como ese DA solo se puede usar en ese dispositivo físico, Mimikatz nunca lo vería en uso en ningún otro lugar.

Nota: esto se complica más si hay dispositivos que no son de Windows para administrar. Esto tampoco importa si no está 100% actualizado en los parches y no sigue otras prácticas de seguridad básicas como no ejecutar java / adobe en servidores / DC, restringir el acceso de Internet a servidores / DC, implementar la segmentación de red, etc.

No dude en comunicarse si desea más información.

    
respondido por el Andrew Alaniz 13.12.2016 - 18:50
fuente

Lea otras preguntas en las etiquetas