Pat*_*ick 14 domain-controller pci-dss user-accounts
我们的客户之一是 Tier 1 PCI 公司,他们的审计员就我们作为系统管理员和我们的访问权限提出了建议。
我们管理他们完全基于 Windows 的基础架构,大约有 700 台桌面/80 台服务器/10 台域控制器。
他们建议我们转向一个拥有三个独立账户的系统:
DOMAIN.CO.UK\UserWS
DOMAIN.CO.UK\UserSRV
DOMAIN.CO.UK\UserDC
然后制定策略以防止从错误的帐户登录到错误类型的系统(包括删除非 DC 计算机上域管理员帐户的交互式登录)
这是为了防止受感染的工作站公开域管理员登录令牌并针对域控制器重新使用该令牌的情况。
这似乎不仅对我们的日常运营来说是一项非常具有侵入性的政策,而且还需要进行大量工作,以解决相对不太可能的攻击/利用(无论如何这是我的理解,也许我误解了这种利用的可行性) .
我很想听听其他管理员的意见,尤其是这里那些曾经参与过 PCI 注册公司并且您有类似建议的人。您对管理员登录有何政策。
作为记录,我们目前有一个我们通常使用的域用户帐户,以及一个域管理员帐户,当我们需要其他权限时,我们也会提升该帐户。老实说,我们都有点懒惰,经常只是使用域管理员帐户进行日常操作,尽管这在技术上违反了我们公司的政策(我相信你明白!)。
Gre*_*kew 18
我在一级 PCI 供应商工作。我们有类似的东西,但有一些不同。
审计员实际上是在试图描述一个非常真实的问题,但在解释其影响和需求分析方面做得非常糟糕。
现在通过使用密码或现有令牌的散列来破坏系统更有效。简而言之,您的攻击者不再需要您的用户名和密码。现在有更简单的方法来攻击系统。 在任何情况下,您都不应假设或得出此类攻击不太可能发生的结论。哈希攻击现在是事实上的攻击媒介。
具有讽刺意味的是,智能卡帐户的哈希攻击实际上更糟,因为大多数人都期望实施智能卡会增加系统的安全性。
如果帐户因散列传递攻击而遭到破坏,通常的反应是更改帐户的密码。这会更改用于身份验证的哈希。此外,正常的密码过期/更改可能会导致入侵,因为攻击者的哈希将开始失败。但是,对于智能卡,密码是“系统管理的”(用户从不输入密码进行身份验证),因此哈希值永远不会改变。这意味着对于智能卡帐户,与使用密码的帐户相比,入侵可能被忽视的时间要长得多。
以下是我会考虑的缓解措施:
对于许多大公司用于高特权帐户的启用智能卡的帐户,请频繁更改帐户密码。这会更改哈希。您还可以通过取消智能卡启用帐户,然后重新智能卡启用它来更改哈希。Microsoft 每 24 小时执行一次此操作,但您需要评估这可能对您的环境造成的潜在影响,并制定合理的时间表,以免造成其他问题。
对于工作站,如果可能的话,我根本不会将域帐户用于管理目的。我们有一个本地帐户,可用于提升 UAC 类型的操作。这满足了大多数高程要求的 99.9%。由于缺乏严格的变更控制以及 Java JRE 和 Flash 的存在,工作站往往是热门攻击媒介。
这种方法对我们有用,因为我们有一个正式的机制来管理和强制执行本地帐户的密码,并且密码在每个系统上都是唯一的,并且存在一种安全的方法供某人请求密码。也有可以执行此功能的商业应用程序。
如果您不能为工作站提供本地帐户解决方案,那么是的,应该使用单独的域帐户来管理工作站,并且该帐户不应用于服务器的管理访问。另一种选择可能是使用远程、非交互式支持管理工具,这些工具使用 LocalSystem 来执行活动,以及与 Windows 分开的身份验证机制。
对于最高特权帐户(企业管理员、域管理员等),仅使用跳转服务器。该服务器将受到最严格的安全、变更控制和审计。对于所有其他类型的管理类型功能,请考虑拥有一个单独的管理帐户。应该每天重新启动跳转服务器以从 LSA 进程中清除进程令牌。
不要从您的工作站执行管理任务。使用强化服务器或跳转服务器。
考虑使用轻松重置的虚拟机作为您的跳转框,可以在每次会话后重置以清除内存。
进一步阅读:
Microsoft 安全情报报告,第 13 卷,2012 年 1 月至 6 月
http://www.microsoft.com/security/sir/archive/default.aspx
阅读“防御哈希传递攻击”部分。
击败可怕的 pass-the-hash 攻击
https://www.infoworld.com/d/security/defeat-dreaded-pass-the-hash-attacks-179753
| 归档时间: |
|
| 查看次数: |
2842 次 |
| 最近记录: |