¿Existe una forma más segura para que los usuarios inicien sesión en el dominio que no sean solo las contraseñas?

5

Di que tienes esto:

Un servidor NPS que otorga acceso a los usuarios mediante certificados de cliente (EAP-TLS).

Entonces, por ejemplo, alguien logró arrebatar la contraseña del administrador del dominio e iniciar sesión en la computadora con el nombre de usuario y la contraseña del administrador del dominio. Luego, utilizando su certificado de usuario regular, el servidor NPS les otorga acceso a la red y, según su certificado, los coloca en una VLAN Users regular. Ese Usuarios VLAN podría acceder al controlador de dominio, de lo contrario ningún usuario del dominio podría iniciar sesión.

Entonces, ahora que esta persona tiene acceso a la red, puede iniciar sesión en el controlador de dominio como administrador aunque no tenga el certificado del administrador. Todo lo que necesitaban era saber la contraseña del administrador. Así que los certificados aquí son esencialmente inútiles.

¿Por qué no hay una manera de iniciar sesión en un controlador de dominio que no sea simplemente usando una contraseña simple? (Sé que hay tarjetas inteligentes, pero son demasiado complicadas y caras de configurar). ¿Por qué no puedes hacer que el controlador de dominio logre que los usuarios usen sus certificados?

    
pregunta Newlo Newly 14.08.2017 - 18:26
fuente

2 respuestas

3

Bloquea el inicio de sesión del administrador del dominio para que no pueda iniciar sesión de forma interactiva en las estaciones de trabajo de los usuarios normales. Puedes hacer esto con la Política de grupo.

Restrinja las conexiones de administrador a los hosts de administración de confianza. El firewall en su controlador de dominio (o VLAN ACL) debe restringir las conexiones remotas de RDP y PowerShell a hosts de administración confiables.

Utilice 2FA. Usted insinúa que es demasiado caro, pero es un requisito común cumplir con los estándares de seguridad más serios en estos días.

    
respondido por el myron-semack 15.08.2017 - 02:16
fuente
4

La implementación del mecanismo de autenticación EAP-TLS como se describe solo demuestra que un usuario autorizado está operando el dispositivo. Esto podría ser un certificado en el perfil del usuario local, el perfil de la computadora, o vinculado a un TPM. Sin embargo, al final, una vez que se realiza la autenticación, la red solo puede asumir que todo el tráfico de red subsiguiente está autorizado.

El ataque que menciona es conceptualmente el mismo que una persona que accede a una estación de trabajo desbloqueada para conectarse a un recurso utilizando credenciales robadas. En lo que respecta a la sesión, el usuario autorizado está realizando la acción.

Si está hablando de red (uso compartido de archivos / administración remota), es muy difícil bloquear eso con mecanismos de autenticación extendidos. El bloqueo del acceso a la consola local (RDP) es tan simple como el cortafuegos de ese puerto a hosts que están fuertemente autenticados y segregados en la red.

La raíz de sus problemas es la contraseña de la cuenta de administrador del dominio. Una buena práctica es otorgar permisos solo según sea necesario, y la membresía de los administradores de dominio se restringe para que los administradores no sean miembros de ese grupo en el curso normal del trabajo.

Si una función debe realizarse con esos privilegios, un proceso bien controlado para otorgar esos permisos temporalmente tendrá más beneficios que intentar aumentar los mecanismos de autenticación de Windows.

    
respondido por el Liam Dennehy 15.08.2017 - 11:21
fuente

Lea otras preguntas en las etiquetas