Concesión segura de permisos administrativos locales

6

He estado investigando el mejor método para otorgar permisos administrativos locales de manera segura, pero realmente estoy luchando para conciliar las implicaciones de seguridad, operativas y de costos.

He ideado algunas opciones:

  1. Cree un grupo de seguridad de dominio ( PC Admins ), agregue las cuentas de usuario de dominio requeridas y use la Política de grupo para agregar el grupo de seguridad de dominio al grupo de seguridad local Administrators :
    • Pros:
      • Gestionado de forma centralizada.
      • auditable.
      • Gratis.
    • Contras:
      • Vulnerable al robo de credenciales y ataques de movimiento lateral.
  2. Opción # 1 pero usando cuentas de usuario de dominio separadas ( <original username>.admin ):
    • Pros: Igual que # 1
    • Contras: Igual que # 1. La autenticación de una solicitud de UAC crea un caché de inicio de sesión que puede ser explotado.
  3. Opción # 1 pero deshabilitando los inicios de sesión en caché:
    • Pros:
      • Gestionado de forma centralizada.
      • auditable.
      • Gratis.
      • No es tan vulnerable al robo de credenciales ni a los ataques de movimiento lateral, ya que no hay cachés de inicio de sesión para explotar, pero las credenciales aún pueden capturarse por otros medios (keyloggers, etc.).
    • Contras:
      • Los usuarios no podrán iniciar sesión si hay un problema con el dominio, hay un problema con la conectividad de la red, su PC está fuera del sitio, etc.
  4. Implemente Microsoft LAPS y emita usuarios con las credenciales de administrador locales únicas:
    • Pros:
      • Gestionado de forma centralizada.
      • No es vulnerable al robo de credenciales ni a los ataques de movimiento lateral.
      • Gratis.
    • Contras:
      • No auditable.
      • La cuenta de usuario administrativo predeterminada es un objetivo fácil.
  5. Agregue las cuentas de usuario de dominio necesarias al grupo de seguridad local Administrators :
    • Pros:
      • Auditable (hasta cierto punto).
      • No es tan vulnerable al robo de credenciales y ataques de movimiento lateral.
      • Gratis.
    • Contras:
      • No gestionado de forma centralizada.
  6. Implementar MFA:
    • Pros:
      • Gestionado de forma centralizada.
      • auditable.
    • Contras:
      • No es gratis.
      • Aún vulnerable al robo de credenciales y ataques de movimiento lateral (según enlace ).
  7. Implemente un sistema que use TOTP y / o solo otorgue temporalmente permisos administrativos cuando sea necesario:
    • Pros:
      • Gestionado de forma centralizada.
      • auditable.
      • ¿No es vulnerable al robo de credenciales y los ataques de movimiento lateral?
    • Contras:
      • No es gratis.

¿Existe una mejor práctica general?

No puedo evitar sentir que no hay una respuesta tecnológica correcta y que estos riesgos se mitigan simplemente intentando garantizar que nadie pueda o vaya a (1) utilizar una cuenta de usuario administrativo en un día. A diario o (2) ejecutar malware.

    
pregunta mythofechelon 14.11.2017 - 15:11
fuente

2 respuestas

2

Usar usuarios protegidos

Cuando un usuario inicia sesión en una máquina Windows con el protocolo NTLM, su hash se almacena en la memoria en el proceso LSASS. Un atacante puede volcar esta memoria para robar estas credenciales.

Para superar este problema, una buena solución es forzar la autenticación Kerberos para los administradores y prohibir las credenciales de texto sin formato. Puedes hacer esto con un mecanismo llamado usuarios protegidos.

/! \ Necesitará Windows Server 2012 R2 para crear el grupo de seguridad de Usuarios Protegidos y los hosts deben ejecutar Windows 8.1 o posterior para proporcionar restricciones del lado del cliente para los Usuarios Protegidos.

Cuando una cuenta es miembro de un usuario protegido:

  • la delegación de credenciales predeterminadas y el Compendio de Windows (credenciales de texto sin formato) no se almacenan en caché, incluso cuando la política Permitir delegar credenciales predeterminadas está habilitada
  • el hash NTLM no está en caché
  • Se mejoró la configuración de Kerberos
  • El inicio de sesión fuera de línea (el verificador de inicio de sesión en caché) no se crea

Tu primera opción es la buena

  

Cree un grupo de seguridad de dominio (administradores de PC), agregue el dominio requerido   cuentas de usuario y usar la directiva de grupo para agregar el grupo de seguridad del dominio   a los administradores de grupos de seguridad locales.

Eso es exactamente lo que tienes que hacer. Y su grupo de administradores de PC será miembro del grupo de usuarios protegidos.

Malas opciones

  

Implementar Microsoft LAPS

LAPS administra automáticamente la contraseña 500 (administrador local) en las computadoras unidas al dominio, por lo que la contraseña es:

  • único en cada computadora administrada
  • generado aleatoriamente
  • almacenado en la infraestructura AD existente

Sin embargo, las cuentas de administrador local no deben utilizarse para administrar computadoras a través de la red . En un Active Directory, estas cuentas deben considerarse como cuentas de respaldo, en caso de pérdida de la conexión de red. Así que LAPS no se ajusta a sus necesidades.

Además, es vulnerable al robo de credenciales pero no a los ataques de movimiento lateral.

  

Implemente un sistema que use TOTP y / o solo otorgue temporalmente   permisos administrativos como y cuando sea necesario

Por las mismas razones que MFA, todavía es vulnerable a robos de credenciales y ataques de movimiento lateral.

    
respondido por el Trevor65 09.08.2018 - 11:01
fuente
0
  1. Por lo que sé, los inicios de sesión en caché para la cuenta de dominio no son vulnerables al robo de credenciales ni a los ataques de movimientos laterales.
  

Seguridad de las credenciales de dominio almacenadas en caché El término credenciales almacenadas en caché hace   no describe con precisión cómo Windows guarda la información de inicio de sesión para   Inicio de sesión de dominio. En Windows 2000 y en versiones posteriores de Windows, el   nombre de usuario y contraseña no se almacenan en caché. En su lugar, el sistema almacena una   Verificador cifrado de la contraseña. Este verificador es un hash MD4 salado.   que se calcula dos veces La doble computación hace efectivamente   El verificador es un hash del hash de la contraseña del usuario. Este comportamiento es   a diferencia del comportamiento de Microsoft Windows NT 4.0 y versiones anteriores   de Windows NT.

enlace

  1. Pero aún necesita una forma de administrar las cuentas de los administradores locales. Puede deshabilitarlos o usar LAPS. El uso de la misma contraseña de administrador local en todas las computadoras es vulnerable al robo de credenciales y los ataques de movimientos laterales.

  2. Desde mi punto de vista, los usuarios de su dominio no deben tener privilegios de administrador local. El personal de TI debe tener cuentas especiales que estén en el grupo de administradores locales. Las cuentas de los administradores locales deben tener contraseñas diferentes.

respondido por el Serg Kim 15.11.2017 - 06:28
fuente

Lea otras preguntas en las etiquetas