我们正在为域中的一个帐户被盗用的场景做准备——下一步该怎么办?
禁用该帐户是我首先想到的答案,但几周前我们这里有渗透测试人员,他们能够使用几个月前离开的管理员用户的散列登录信息。
到目前为止,我们的两个答案是:
- 删除该帐户并重新创建(创建新的 SID,但也会给用户带来更多麻烦,并给我们带来更多工作)
- 更改密码至少 3 次并禁用该帐户
您的方法是什么?或者您会推荐什么?
答案1
如果只有标准用户帐户被盗用,那么更改一次密码并保持帐户启用状态应该没问题。更改密码后,哈希将不起作用。如果帐户被禁用,它也不会起作用。作为一名渗透测试人员,我想知道渗透测试人员是否使用了 Kerberos 票证。在某些情况下,如果更改密码,或者禁用甚至删除帐户,这些票证可以继续工作(请参阅缓解措施的链接)。
如果域管理员帐户被盗用,那么一切就真的结束了。您需要将您的域脱机,并更改每个密码。此外,krbtgt 帐户密码也需要更改两次,否则攻击者仍然能够使用他们窃取的信息发出有效的 Kerberos 票证。完成所有这些操作后,您就可以让您的域重新上线。
实施帐户锁定策略,这样更改的密码就无法被猜到。不要重命名你的帐户。攻击者可以容易地找出登录名。
另一个重点是培训您的用户。他们可能做了一些不明智的事情,导致帐户被盗用。攻击者甚至可能不知道密码,他们可能只是以该帐户运行进程。例如,如果您打开恶意软件附件,攻击者可以访问您的计算机,他们将以您的帐户身份运行。他们不知道您的密码。除非您是管理员,否则他们无法获取您的密码哈希。不要让用户在其工作站上以本地管理员身份运行。永远不要让域管理员以域管理员权限登录工作站!
更多信息/缓解措施的链接:
https://mva.microsoft.com/en-us/training-courses/how-to-avoid-golden-ticket-attacks-12134
答案2
他们能够使用几个月前离开的管理员用户的散列登录信息。
被盗凭证哈希对已禁用的帐户不起作用,除非该帐户位于未连接到网络的计算机上。该过程仍需要请求票证或通过域控制器进行身份验证。如果帐户已禁用,则无法执行此操作。
您需要在前员工离职时禁用他们的管理帐户。
答案3
假设有一个标准用户帐户,您可能需要考虑:
- 更改密码。
- 禁用该帐户。
- 重命名该帐户(username-suspect)并为受影响的用户创建一个新帐户。
- 将可疑帐户添加到“禁用/受损用户”安全组。
对于#4,已经制定了执行以下操作的组策略:
- 拒绝从网络访问此计算机:“已禁用/已感染的用户”
- 拒绝通过远程桌面服务登录:“已禁用/已感染的用户”
- 拒绝本地登录:“已禁用/受损的用户”
对于域管理员帐户,您的整个网络都将崩溃。