Supongamos que aseguramos todos los servidores en el dominio ...
- Los controladores de dominio permiten el acceso RDP solo desde los servidores de salto
- Los administradores de dominio no pueden conectarse a servidores que no sean de CC
- Y así sucesivamente
Todo esto está muy bien y debe considerarse una configuración segura para evitar la existencia de una contraseña de administrador de dominio en la memoria de cualquier servidor miembro.
Ahora digamos que un atacante mágicamente logra aprehender una contraseña de administrador de dominio en uno de los servidores miembros, luego ejecuta Mimikatz (o cualquier otra herramienta de extracción de contraseña) a través de PsExec de forma remota en el DC - se acabó el juego .
Sin embargo, si hago cumplir el
Denegar el acceso a este equipo desde la red
en DC y configúrelo para todos los administradores de dominio, ¿algo se romperá?
También hay un razonamiento detrás de esto, donde en ningún caso los administradores de dominio deben autenticarse en el DC desde otro servidor, excepto desde el servidor de salto.
He modelado esto en mi laboratorio y nada se rompe, y la ejecución de psexec con la contraseña del administrador del dominio falla debido a esta configuración. esto es una victoria la pregunta es, ¿funcionará en una red real?
De lo que he recopilado, esta restricción es para cualquier intento de autenticación realizado a través de SMB.
Debería ser movido a Server Fault.