我们的客户有一个 DC,它将位于不安全的位置。管理层不允许使用 RODC 和单独的域/林。
所有服务器都将位于 VMWare ESX 服务器上。
我对 VMWare、Windows、AD 配置和设置感兴趣,它们可以保护 Windows 2008R2 或更新的 DC 免受攻击。
一个可能有帮助的示例配置是使用
- Bitlocker 加密
- 任何基于 VMWare TPM 的解决方案
- 从 AD 中删除 NTLM 哈希(更容易破解)。
- ETC。
答案1
这几乎就是 RODC 的设计目的 - 服务器可能受到物理损害的情况。
获得对 RODC 的物理访问权限将使攻击者对您的域及其结构有深入的了解,以及明确设置为将其密码复制到 RODC 的用户的密码哈希值。
但是,这比常规 DC 要好得多,因为物理访问意味着攻击者无需任何额外凭据即可轻松控制域;RODC 上的单向复制可确保攻击者无法向您的 AD 发送恶意更改。
RODC 是您正在寻找的解决方案,您应该向管理层说明这一点。
答案2
作为一个曾经被迫将服务器(幸好不是 DC)放在没有空调的壁橱里的人,门敞开着,天花板上有一个洞,透过洞可以看到天空,可以看到走过的人流,我很好奇如何位置不安全。如果他们可以在中午将您的服务器抬到路肩上然后离开,您就无能为力了。
看起来你想要的是 Spencer 的建议——这些建议都很好——但我认为,与其采用技术解决方案,你还需要说服管理层使用 RODC,或者说服管理层将 DC 放在更安全的地方。也许这DefCon 21 的演讲将有助于:
那么,您认为您的域控制器是安全的吗?
JUSTIN HENDRICKS 微软安全工程师
域控制器是组织的核心资产。一旦它们失灵,域中的所有内容都会失灵。组织会竭尽全力保护其域控制器,但他们往往无法妥善保护用于管理这些服务器的软件。
本演示将介绍通过滥用组织部署和使用的常用管理软件来获取域管理员的非常规方法。
Justin Hendricks 在 Office 365 安全团队工作,负责红队、渗透测试、安全研究、代码审查和工具开发。
答案3
我倾向于同意 Shane 的观点,这正是 RODC 存在的原因。管理层禁止使用 RODC 的理由是什么?将组织的大脑放在不安全的地方实在是个坏主意。
至于 BitLocker,这是一个好主意,但它似乎不受支持。我建议在虚拟机内使用 TrueCrypt FDE(全盘加密)。这会替换引导加载程序并强制您输入密码才能启动。
该服务器还将运行哪些其他服务?我绝对建议使用您认为合适的某种日志收集服务和审计警报。也许是登录尝试?
另一个考虑因素是如何保护实际的 ESX 主机,因为据我所知,没有办法从 ESX 主机的控制台实际访问虚拟机。因此,如果磁盘已加密,则攻击者就像在您的网络上一样,并且对您的 PDC 具有相同的可见性。这意味着可能有不同的 VLan 并且只打开了某些端口。