我们的一个客户是一家一级 PCI 公司,他们的审计员对我们作为系统管理员及其访问权限提出了建议。
我们管理其完全基于 Windows 的基础架构,包括大约 700 台台式机/80 台服务器/10 个域控制器。
他们建议我们采用拥有三个独立账户的系统:
DOMAIN.CO.UK\UserWS
DOMAIN.CO.UK\UserSRV
DOMAIN.CO.UK\UserDC
- 在哪里WS是仅登录 WorkStations 的帐户,是 WorkStations 上的本地管理员
- 在哪里服务车辆是仅登录非 DC 服务器的帐户,是服务器上的本地管理员
- 在哪里直流是仅登录域控制器的帐户,实际上是域管理员帐户
然后制定策略来防止从错误的帐户登录到错误类型的系统(包括删除非 DC 计算机上的域管理员帐户的交互式登录)
这是为了防止受到感染的工作站可以暴露域管理员登录令牌并在域控制器上重新使用该令牌的情况。
这似乎不仅对我们的日常运营来说是一项非常具有侵入性的政策,而且为了应对相对不可能发生的攻击/漏洞(无论如何这是我的理解,也许我误解了这种漏洞的可行性),还需要进行大量工作。
我很想听听其他管理员的意见,尤其是那些曾在 PCI 注册公司工作过的人,以及你们对类似建议的经验。你们关于管理员登录的政策是什么。
需要说明的是,我们目前有一个通常使用的域用户帐户和一个域管理员帐户,当我们需要额外权限时,我们会提升该帐户的权限。老实说,我们都有点懒,通常只使用域管理员帐户进行日常操作,尽管这在技术上违反了我们公司的政策(我相信您明白!)。
答案1
我是一级 PCI 供应商。我们有一个类似的产品,但略有不同。
审计员实际上正在试图描述一个非常真实的问题,但是在解释其含义和需求分析方面做得非常糟糕。
现在,使用密码哈希或现有令牌来入侵系统变得更加有效。简而言之,攻击者不再需要您的用户名和密码。现在有更简单的方法来攻击系统。 在任何情况下,你都不应该假设或得出结论说这种类型的攻击不太可能发生。哈希攻击现在是事实上的攻击媒介。
对于智能卡账户来说,哈希攻击实际上更为严重,这很讽刺,因为大多数人都认为实施智能卡会增加系统的安全性。
如果某个帐户因传递哈希攻击而遭到入侵,通常的应对措施是更改帐户密码。这会更改用于身份验证的哈希。此外,正常的密码过期/更改可能会暴露入侵行为,因为攻击者的哈希会开始失效。但是,对于智能卡,密码是“系统管理的”(用户永远不会输入密码进行身份验证),因此哈希永远不会改变。这意味着,与使用密码的帐户相比,智能卡帐户的入侵可能更长时间不会被注意到。
以下是我会考虑的缓解措施:
对于启用智能卡的帐户(许多大公司将其用作高权限帐户),请定期更改帐户密码。这会更改哈希值。您也可以通过取消启用智能卡的帐户,然后重新启用智能卡来更改哈希值。Microsoft 每 24 小时执行一次此操作,但您需要评估此操作可能对您的环境造成的潜在影响,并制定合理的时间表,以免造成更多问题。
对于工作站,如果可能的话,我根本不会将域帐户用于管理目的。我们有一个本地帐户,可用于提升 UAC 类型的操作。这满足了 99.9% 的提升要求。由于缺乏严格的变更控制,以及 Java JRE 和 Flash 的存在,工作站往往是热门攻击媒介。
这种方法对我们很有效,因为我们有一个正式的机制来管理和执行本地帐户的密码,并且每个系统的密码都是唯一的,并且存在一种安全的方法来请求密码。也有商业应用程序可以执行此功能。
如果您无法为工作站提供本地帐户解决方案,那么是的,应使用单独的域帐户来管理工作站的访问权限,并且不应使用该帐户来管理服务器的访问权限。另一种选择可能是使用远程、非交互式支持管理工具,这些工具使用 LocalSystem 执行活动,以及独立于 Windows 的身份验证机制。
对于最高权限的帐户(企业管理员、域管理员等),仅使用跳转服务器。此服务器将受到最严格的安全、变更控制和审计。对于所有其他类型的管理功能,请考虑使用单独的管理帐户。跳转服务器应每天重新启动以清除 LSA 进程中的进程令牌。
不要从工作站执行管理任务。请使用强化服务器或跳转服务器。
考虑使用易于重置的虚拟机作为跳转箱,可以在每次会话后重置以清除内存。
进一步阅读:
Microsoft 安全情报报告,第 13 卷,2012 年 1 月 - 6 月
http://www.microsoft.com/security/sir/archive/default.aspx
阅读部分:“防御传递哈希攻击”。
击败可怕的传递哈希攻击
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753